Datenschutzerklärung
Regionalspital Surselva AG
Spitalstrasse 6, CH-7130 Ilanz
+41 81 926 51 11 | datenschutz@spitalilanz.ch
Stand: Juni 2026
Diese Datenschutzerklärung beschreibt, wie die Regionalspital Surselva AG Personendaten bearbeitet. Sie gilt insbesondere für unsere Website sowie für Datenbearbeitungen im Zusammenhang mit unseren Leistungen als Spital.
Für einzelne Situationen, zum Beispiel eine Behandlung, eine Bewerbung, Forschungsvorhaben oder Videoüberwachung, können ergänzende Informationen abgegeben werden.
Gesundheitsdaten sind besonders vertraulich. Wir bearbeiten solche Daten nur, soweit dies für unsere Aufgaben, für die Behandlung und Betreuung, für gesetzliche Pflichten oder mit einer anderen zulässigen Grundlage erforderlich ist.
Verantwortlichkeit
Verantwortlich für die in dieser Datenschutzerklärung beschriebenen Datenbearbeitungen ist:
Regionalspital Surselva AG
Spitalstrasse 6
CH-7130 Ilanz
Telefon: +41 81 926 51 11
E-Mail: datenschutz@spitalilanz.ch
Unseren externen Datenschutzberater erreichen Sie unter folgenden Kontaktdaten:
x-tention Informationstechnologie AG
Stelzenstrasse 4
8152 Glattpark (Opfikon), Zürich
service.datenschutz@x-tention.com
Fragen zum Datenschutz können an die oben genannte Adresse mit dem Vermerk „Datenschutz“ gerichtet werden. Wir prüfen Anfragen sorgfältig und leiten sie intern an die zuständige Stelle weiter.
Anwendbares Datenschutzrecht
Je nach Datenbearbeitung können unterschiedliche Rechtsgrundlagen anwendbar sein. Massgebend sind insbesondere:
- das kantonale Datenschutzgesetz des Kantons Graubünden (KDSG GR), soweit wir als öffentliches Organ oder im Rahmen eines übertragenen öffentlichen Auftrags handeln
- das Bundesgesetz über den Datenschutz (DSG), soweit eine Datenbearbeitung nicht dem kantonalen Datenschutzrecht untersteht
- das Gesundheitsrecht, das Sozialversicherungsrecht, Aufbewahrungs- und Dokumentationspflichten sowie das Berufsgeheimnis
Als Listenspital erfüllt das Regionalspital Surselva einen kantonalen Leistungsauftrag. Für diese Tätigkeiten ist deshalb besonders sorgfältig zu prüfen, ob das KDSG GR und die spezialgesetzlichen Regeln des Gesundheitswesens anwendbar sind. Diese Datenschutzerklärung ist entsprechend auf das kantonale Recht ausgerichtet.
Welche Personendaten wir bearbeiten
Wir bearbeiten nur Personendaten, die für den jeweiligen Zweck erforderlich sind oder die wir aufgrund gesetzlicher Pflichten benötigen. Dazu gehören je nach Situation insbesondere:
- Stammdaten und Kontaktdaten, zum Beispiel Name, Adresse, Geburtsdatum, Geschlecht, Sprache, Telefonnummer und E-Mail-Adresse
- Gesundheitsdaten wie zum Beispiel Angaben zur Behandlung, Pflege, Diagnostik, Medikation, Labor, Radiologie, Therapie, Anamnese, Diagnosen, Befunde, Allergien, Notfalldaten und Austrittsberichte
- Administrations- und Abrechnungsdaten wie zum Beispiel Versicherungsdaten, Fallnummern, Kostengutsprachen, Rechnungsdaten und Zahlungsinformationen
- Kommunikationsdaten wie zum Beispiel E-Mails, Briefe, Telefonnotizen, Rückmeldungen oder Anfragen
- Daten von Angehörigen, gesetzlichen Vertretungen, zuweisenden Ärztinnen und Ärzten, Rettungsdiensten, Versicherern und Behörden, soweit diese für die Behandlung, Betreuung oder Administration erforderlich sind
- Daten von Mitarbeitenden und Bewerbenden, soweit dies für das Arbeitsverhältnis, eine Bewerbung oder gesetzliche Pflichten notwendig ist
- technische Daten bei der Nutzung unserer Website wie zum Beispiel IP-Adresse, Datum und Uhrzeit des Zugriffs, Browser, Betriebssystem, aufgerufene Seiten oder Logdaten
Bild- und Zutrittsdaten, soweit solche Systeme eingesetzt werden und dies für Sicherheit, Zutrittskontrolle oder den Schutz von Personen und Infrastruktur erforderlich ist.
Woher wir Personendaten erhalten
Wir erhalten Personendaten in erster Linie direkt von den betroffenen Personen. Im Spitalalltag erhalten wir Daten aber auch von Dritten, soweit dies zulässig und erforderlich ist. Dazu gehören zum Beispiel zuweisende oder weiterbehandelnde Gesundheitsfachpersonen, Angehörige, Rettungsdienste, Labore, Versicherer, Behörden, Gerichte oder andere Stellen, die an Behandlung, Betreuung, Abrechnung oder gesetzlichen Verfahren beteiligt sind.
Wenn wir Daten nicht direkt bei der betroffenen Person beschaffen, informieren wir im Rahmen des rechtlich Erforderlichen und Zumutbaren über die Datenbearbeitung.
Zwecke der Datenbearbeitung
Wir bearbeiten Personendaten insbesondere für folgende Zwecke:
- Aufnahme, Behandlung, Pflege, Diagnostik, Therapie, Rehabilitation, Nachsorge und Notfallversorgung
- medizinische Dokumentation, Fallführung, interne Koordination und Qualitätssicherung
- Organisation des Spitalbetriebs, Terminplanung, Kommunikation, Patientenadministration und Abrechnung
- Zusammenarbeit mit zuweisenden und weiterbehandelnden Stellen, Apotheken, Laboren, Rettungsdiensten, Versicherern und Behörden
- Erfüllung gesetzlicher Melde-, Dokumentations-, Aufbewahrungs-, Auskunfts- und Mitwirkungspflichten
- Sicherstellung von Informationssicherheit, Betriebssicherheit, Zugriffskontrolle, Missbrauchsbekämpfung und Nachvollziehbarkeit
- Bearbeitung von Bewerbungen, Durchführung von Arbeitsverhältnissen und Personaladministration
- Bearbeitung von Kontaktanfragen und allgemeiner Kommunikation
- Betrieb, Sicherheit und Verbesserung der Website
Ausbildung, Forschung, Statistik und Qualitätsentwicklung, soweit hierfür eine gesetzliche Grundlage besteht, Daten anonymisiert oder ausreichend pseudonymisiert werden oder eine gültige Einwilligung vorliegt.
Rechtsgrundlagen
Die Bearbeitung von Personendaten stützt sich je nach Situation auf eine oder mehrere Rechtsgrundlagen. Dazu gehören insbesondere:
- gesetzliche Aufgaben und Leistungsaufträge im Gesundheitswesen
- gesetzliche Pflichten, zum Beispiel Dokumentations-, Aufbewahrungs-, Melde- und Abrechnungspflichten
- die Erfüllung eines Behandlungs-, Arbeits- oder sonstigen Vertragsverhältnisses
- lebenswichtige Interessen, namentlich in medizinischen Notfällen
- eine Einwilligung, soweit eine solche erforderlich oder sinnvoll ist
- überwiegende öffentliche oder private Interessen, soweit das anwendbare Recht dies zulässt
Eine Einwilligung ist nicht in jedem Fall erforderlich. Bei der medizinischen Behandlung besteht häufig eine gesetzliche Aufgabe oder eine andere rechtliche Grundlage. Eine Einwilligung ist aber zum Beispiel relevant, wenn Daten freiwillig für zusätzliche Zwecke verwendet werden sollen oder wenn eine Entbindung vom Berufsgeheimnis notwendig ist.
Berufsgeheimnis und Vertraulichkeit
Gesundheitsfachpersonen und Hilfspersonen unterstehen dem Berufsgeheimnis. Patientendaten werden deshalb nur jenen Personen zugänglich gemacht, die sie für ihre Aufgabe benötigen. Auch externe Dienstleister zum Beispiel werden vertraglich verpflichtet und dürfen Daten nur im vereinbarten Umfang bearbeiten.
Eine Bekanntgabe von Patientendaten an Dritte erfolgt nur, wenn eine gesetzliche Grundlage besteht, die betroffene Person eingewilligt hat, eine Entbindung vom Berufsgeheimnis vorliegt oder eine gesetzliche Melde- oder Mitwirkungspflicht besteht.
Empfängerinnen und Empfänger von Personendaten
Personendaten können, soweit erforderlich und zulässig, insbesondere folgenden Empfängerinnen und Empfängern bekanntgegeben werden:
- internen Stellen, die an Behandlung, Pflege, Administration, Abrechnung, Qualitätssicherung, Sicherheit oder Betrieb beteiligt sind
- zuweisenden und weiterbehandelnden Ärztinnen und Ärzten, Spitälern, Pflegeeinrichtungen, Therapien, Apotheken, Laboren und Rettungsdiensten
- Kranken-, Unfall-, Invaliden- und Sozialversicherern sowie weiteren Kostenträgern
- Behörden, Gerichten, Aufsichtsstellen und anderen öffentlichen Stellen, sofern eine gesetzliche Grundlage oder Pflicht besteht
- IT-, Cloud-, Wartungs-, Archivierungs-, Druck-, Versand-, Beratungs- und weitere Dienstleister, die uns beim Betrieb unterstützen
- Revisionsstellen, Rechtsvertretungen, Inkassostellen oder Versicherungen, soweit dies zur Wahrung unserer Rechte oder zur Erfüllung rechtlicher Pflichten notwendig ist.
Wir geben nicht mehr Daten bekannt, als für den jeweiligen Zweck erforderlich ist. Empfängerinnen und Empfänger erhalten Daten grundsätzlich zweckgebunden.
Auftragsbearbeitung und Dienstleister
Wir setzen Dienstleister ein, zum Beispiel für IT-Betrieb, Hosting, Wartung, Support, Archivierung, Kommunikation oder Abrechnung. Solche Dienstleister bearbeiten Personendaten nur nach unseren Weisungen und nur soweit dies für ihre Aufgabe erforderlich ist.
Mit Dienstleistern werden entsprechende Verträge abgeschlossen. Dabei werden insbesondere Vertraulichkeit, Informationssicherheit, Unterauftragsverhältnisse, Bearbeitungsort, Kontrollrechte, Rückgabe oder Löschung von Daten sowie die Einhaltung des Berufsgeheimnisses berücksichtigt.
Datenbearbeitung im Ausland
Personendaten werden nach Möglichkeit in der Schweiz oder in Staaten mit angemessenem Datenschutz bearbeitet. Eine Bekanntgabe ins Ausland erfolgt nur, wenn dies zulässig ist und ein angemessener Schutz gewährleistet wird. Dies kann zum Beispiel durch einen Angemessenheitsbeschluss, vertragliche Garantien oder eine gesetzliche Grundlage erfolgen.
Bei Gesundheitsdaten und Daten, die dem Berufsgeheimnis unterstehen, prüfen wir Auslandsbezüge besonders sorgfältig. Dies gilt auch für Cloud- und Supportleistungen, bei denen ein Zugriff aus dem Ausland nicht ausgeschlossen werden kann.
Aufbewahrung und Löschung
Wir bewahren Personendaten nur so lange auf, wie dies für den jeweiligen Zweck erforderlich ist oder wie gesetzliche Aufbewahrungs-, Dokumentations- oder Nachweispflichten bestehen.
Patientendokumentationen werden nach den anwendbaren gesundheitsrechtlichen Vorgaben geführt und aufbewahrt. Im Kanton Graubünden besteht für Patientendokumentationen grundsätzlich eine Aufbewahrungsdauer von mindestens zehn Jahren nach Abschluss der letzten Behandlung, soweit keine längere Pflicht oder kein anderer rechtlich zulässiger Grund besteht.
Bewerbungsdaten, Kommunikationsdaten, Website-Logdaten und andere Daten werden nach Ablauf der massgebenden Fristen gelöscht oder anonymisiert, sofern keine gesetzlichen Pflichten, berechtigten Interessen oder laufenden Verfahren entgegenstehen.
Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten. Ziel ist es, Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit sicherzustellen.
Dazu gehören je nach System und Risiko insbesondere rollenbasierte Zugriffsrechte, Authentisierung, Protokollierung, Verschlüsselung, Backup- und Wiederherstellungsverfahren, physische Zutrittskontrollen, Schulungen, Weisungen, Kontrollen und Massnahmen zum Schutz vor Missbrauch, Verlust, unbefugtem Zugriff oder unbefugter Bekanntgabe.
Trotz sorgfältiger Massnahmen kann keine absolute Sicherheit garantiert werden. Insbesondere bei der Kommunikation per E-Mail oder über das Internet bestehen Restrisiken. Vertrauliche Informationen sollten deshalb nur über geeignete Kommunikationswege übermittelt werden.
Website, Server-Logfiles und Cookies
Beim Besuch unserer Webseite werden technische Daten bearbeitet, die für den sicheren und stabilen Betrieb erforderlich sind. Dazu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, übertragene Datenmenge, Browser, Betriebssystem, Referrer-Adresse und Server-Logdaten.
Diese Daten werden zur Bereitstellung der Webseite, zur Fehleranalyse, zur Sicherheit und zur Abwehr von Missbrauch verwendet. Eine personenbezogene Auswertung findet nur statt, wenn dies zur Aufklärung von Störungen, Sicherheitsvorfällen oder rechtswidriger Nutzung erforderlich ist.
Unsere Webseite kann Cookies einsetzen. Technisch notwendige Cookies dienen dem Betrieb der Website. Nicht notwendige Cookies oder vergleichbare Technologien, insbesondere für Analyse oder Marketing, setzen wir nur ein, soweit dies rechtlich zulässig ist und, falls erforderlich, eine Einwilligung vorliegt. Browser können so eingestellt werden, dass Cookies blockiert werden. Dadurch können einzelne Funktionen eingeschränkt sein.
Eingebundene Dienste auf der Website
Unsere Webseite kann Dienste Dritter einbinden, zum Beispiel Karten, Sicherheitsdienste gegen Spam und automatisierte Zugriffe, Analysefunktionen, Webschriften oder Videos. Solche Dienste können technische Daten wie IP-Adresse, Gerätedaten, Browserinformationen oder Nutzungsdaten bearbeiten.
Soweit Dienste von Dritten eingesetzt werden, prüfen wir deren Datenschutz- und Sicherheitsanforderungen. Nicht notwendige Dienste werden nur eingesetzt, soweit dies rechtlich zulässig ist und, falls erforderlich, eine Einwilligung vorliegt. Dienste mit möglichem Auslandbezug werden besonders geprüft.
Falls Dienste wie zum Beispiel Google Maps, reCAPTCHA, Google Analytics, Google Fonts oder YouTube eingesetzt werden, gelten zusätzlich die Datenschutzhinweise von Google. Bei Analyse- oder Trackingdiensten achten wir darauf, dass diese möglichst datensparsam konfiguriert werden, zum Beispiel durch IP-Anonymisierung, angemessene Speicherdauer und Einwilligungslösungen, soweit erforderlich.
Kontaktaufnahme per E-Mail, Telefon oder Kontaktformular
Wenn Sie uns per E-Mail, Telefon, Brief oder über ein Kontaktformular kontaktieren, bearbeiten wir Ihre Angaben zur Beantwortung der Anfrage und für allfällige Anschlussfragen. Dazu gehören zum Beispiel Name, Kontaktdaten, Inhalt der Mitteilung sowie technische Angaben bei elektronischer Kommunikation.
Bitte senden Sie besonders vertrauliche Informationen, insbesondere Gesundheitsdaten, nur über geeignete und sichere Kommunikationswege. Bei Unsicherheit können Sie telefonisch nachfragen, welcher Kommunikationsweg für Ihr Anliegen geeignet ist.
Bewerbungen
Wenn Sie sich bei uns bewerben, bearbeiten wir die von Ihnen eingereichten Daten zur Prüfung Ihrer Bewerbung, zur Durchführung des Bewerbungsverfahrens und zur Kommunikation mit Ihnen. Dazu gehören zum Beispiel Kontaktangaben, Lebenslauf, Zeugnisse, Qualifikationen, Gesprächsnotizen und weitere von Ihnen eingereichte Informationen.
Bewerbungsdaten werden nur Personen zugänglich gemacht, die am Bewerbungsverfahren beteiligt sind. Nach Abschluss des Verfahrens werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten, keine Einwilligung zur längeren Aufbewahrung oder keine anderen berechtigten Gründe vorliegen.
Videoüberwachung und Zutrittskontrollen
Soweit wir Videoüberwachung oder Zutrittskontrollen einsetzen, dienen diese dem Schutz von Patientinnen und Patienten, Besucherinnen und Besuchern, Mitarbeitenden, Infrastruktur, Medikamenten, medizinischen Geräten und sensiblen Bereichen.
Videoüberwachung wird nicht flächendeckend eingesetzt und nicht zur allgemeinen Verhaltenskontrolle genutzt. Bereiche, in denen eine besondere Vertraulichkeit gilt, werden besonders geschützt. Betroffene Personen werden vor Ort angemessen informiert, zum Beispiel durch Hinweisschilder.
Aufzeichnungen werden nur so lange aufbewahrt, wie dies für den jeweiligen Zweck erforderlich und rechtlich zulässig ist. Eine längere Aufbewahrung kommt insbesondere in Betracht, wenn Aufnahmen zur Abklärung eines Vorfalls, zur Beweissicherung oder zur Übergabe an zuständige Behörden benötigt werden.
Datenschutzvorfälle
Wenn es trotz Schutzmassnahmen zu einem Datenschutz- oder Informationssicherheitsvorfall kommt, klären wir den Vorfall ab und treffen die erforderlichen Massnahmen. Soweit gesetzlich vorgeschrieben, informieren wir die zuständige Aufsichtsstelle und betroffene Personen.
Betroffene Personen werden insbesondere dann informiert, wenn dies zu ihrem Schutz erforderlich ist oder eine gesetzliche Pflicht besteht. Die Information erfolgt verständlich und enthält die wesentlichen Angaben zum Vorfall, zu möglichen Folgen und zu empfohlenen Schutzmassnahmen.
Ihre Rechte
Betroffene Personen haben insbesondere folgende Rechte:
- Auskunft darüber, ob und welche Personendaten über sie bearbeitet werden
- Information über Zweck, Rechtsgrundlage, Kategorien von Daten, Empfängerinnen und Empfänger sowie über eine allfällige Bekanntgabe ins Ausland
- Berichtigung unrichtiger oder unvollständiger Personendaten
- Einsicht in die Patientendokumentation sowie Herausgabe einer Kopie, soweit keine gesetzlichen Einschränkungen bestehen
- Einschränkung, Löschung oder Vernichtung unrechtmässig bearbeiteter Daten, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
- Anbringung eines Bestreitungsvermerks, wenn die Richtigkeit oder Unrichtigkeit von Daten nicht festgestellt werden kann
- Widerspruch gegen bestimmte Datenbekanntgaben, soweit das anwendbare Recht dies vorsieht
- Widerruf einer Einwilligung für die Zukunft, sofern eine Datenbearbeitung auf Einwilligung beruht
Rechte können eingeschränkt sein, wenn gesetzliche Pflichten, überwiegende öffentliche oder private Interessen, Rechte Dritter, Berufsgeheimnisse, laufende Verfahren oder Aufbewahrungspflichten entgegenstehen.
Anfragen sind an unseren Datenschutzkontakt zu richten. Damit wir Missbrauch verhindern können, müssen wir die Identität der anfragenden Person angemessen prüfen. Wir beantworten Anfragen in der Regel innert 30 Tagen.
Beschwerdemöglichkeit
Wenn Sie der Ansicht sind, dass wir Personendaten nicht rechtmässig bearbeiten, können Sie sich an uns wenden. Wir nehmen solche Hinweise ernst und prüfen sie sorgfältig.
Für datenschutzrechtliche Anliegen im Anwendungsbereich des kantonalen Datenschutzrechts ist die Datenschutzaufsicht des Kantons Graubünden zuständig. Die aktuellen Kontaktdaten sind auf der Website des Kantons Graubünden publiziert: Datenschutz – Dienstleistungen
Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung jederzeit anpassen, wenn sich unsere Datenbearbeitungen, unsere Website, eingesetzte Dienste oder die rechtlichen Vorgaben ändern. Es gilt die jeweils auf unserer Website veröffentlichte Fassung.