-
- Art. 3 BV
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
MEDIZINPRODUKTEVERORDNUNG
GELDWÄSCHEREIGESETZ
- I. Allgemeines
- II. Sorgfaltspflichten für Gesundheitseinrichtungen (Abs. 1)
- III. Risikomanagement für Spitäler (Abs. 2)
- IV. Rechtsfolgen bei Verletzung der Sorgfaltspflichten
- Literaturverzeichnis
- Materialienverzeichnis
I. Allgemeines
1 In den letzten Jahren hat sich gezeigt, dass Spitäler und andere Gesundheitseinrichtungen vermehrt zu beliebten Zielen von Cyberangriffen geworden sind.
2 Abzugrenzen ist Art. 74 MepV dabei von den entsprechenden – bundesrechtlichen oder kantonalen – Datenschutzbestimmungen (z.B. Art. 8 DSG), welche dem Schutz von Personendaten dienen. Art. 74 MepV hingegen dient in erster Linie nicht dem Schutz von Patientendaten, sondern dem Schutz vor einem Ausfall der technischen Infrastruktur der Gesundheitseinrichtung durch elektronische Angriffe auf netzwerkfähige Medizinprodukte. Ganz voneinander trennen lassen sich die beiden Bereiche jedoch nicht, denn eine Verletzung von Art. 74 MepV kann auch eine Verletzung der datenschutzrechtlichen Sicherheitsbestimmungen (Art. 8 DSG) zur Folge haben, da zahlreiche netzwerkfähige Medizinprodukte (wie z.B. Computertomographen oder Ultraschall-Geräte) auch Patientendaten bearbeiten und sich diese Daten teilweise auf dem Medizinprodukt befinden.
3 Darüber hinaus sind die Pflichten gemäss Art. 74 MepV von der Pflicht der Hersteller, sichere Medizinprodukte herzustellen und in Verkehr zu bringen, abzugrenzen. Gemäss Art. 6 Abs. 2 MepV müssen Medizinprodukte den grundlegenden Sicherheits- und Leistungsanforderungen nach Anhang I der Verordnung (EU) 2017/745 («EU-MDR») genügen. Anhang I der EU-MDR definiert in den Ziffern 17.2 sowie 17.4 allgemeine (Sicherheits-)Anforderungen in Zusammenhang mit Cybersicherheit für Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme gehören, sowie Produkte in Form einer Software.
II. Sorgfaltspflichten für Gesundheitseinrichtungen (Abs. 1)
4 Abs. 1 von Art. 74 MepV verlangt von Gesundheitseinrichtungen, alle technischen und organisatorischen Massnahmen zu treffen, die nach dem Stand der Technik notwendig sind, um bei netzwerkfähigen Medizinprodukten den Schutz vor elektronischen Angriffen und Zugriffen sicherzustellen.
5 Diese Sorgfaltspflicht trifft gemäss Art. 74 Abs. 1 MepV Gesundheitseinrichtungen. Als Gesundheitseinrichtung gilt gemäss Art. 4 Abs. 1 lit. k MepV jede Organisation, deren Hauptzweck in der Versorgung oder Behandlung von Patientinnen und Patienten oder der Förderung der öffentlichen Gesundheit besteht. Dies entspricht der Definition in Art. 2 Ziff. 36 der EU-MDR und umfasst namentlich (privat- und öffentlich-rechtliche) Spitäler, aber auch Einrichtungen wie Laboratorien und andere (öffentliche) Gesundheitseinrichtungen, die zwar das Gesundheitssystem unterstützen, in denen Patienten aber nicht unmittelbar behandelt oder betreut werden.
6 Die Sorgfaltspflicht gemäss Abs. 1 greift nur bei netzwerkfähigen Medizinprodukten. Netzwerkfähig bedeutet, dass das Medizinprodukt in ein Netzwerk mit anderen Geräten eingebunden werden kann, so dass virtuell Informationen zwischen den verschiedenen netzwerkfähigen Produkten ausgetauscht und auf dieses von verschiedenen Standorten zugegriffen werden kann. Mit anderen Worten ist das Medizinprodukt nicht nur ins interne System der Gesundheitseinrichtung integriert, sondern auch von extern – via Fernzugriff – erreichbar. Der erläuternde Bericht des BAG spricht in diesem Zusammenhang davon, dass Medizinprodukte direkt und dauerhaft mit dem Inter- und Intranet verbunden sind.
7 Gemäss Art. 74 Abs. 1 MepV sind alle technischen und organisatorischen Massnahmen zu treffen, welche nach dem Stand der Technik notwendig sind, um den Schutz vor elektronischen Angriffen und Zugriffen sicherzustellen. Die MepV selbst enthält keine Definition der technischen und organisatorischen Massnahmen. Der Begriff der «technischen und organisatorischen Massnahmen» ist aber aus anderen Rechtsgebieten, insbesondere aus dem Datenschutzrecht, bekannt. So verlangt Art. 8 Abs. 1 DSG, dass Verantwortliche und Auftragsbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten müssen. In diesem Zusammenhang werden als technische Massnahmen jene Massnahmen beschrieben, die direkt mit einem Informationssystem oder mit Datenträgern zusammenhängen.
8 Dieses Verständnis von technischen und organisatorischen Massnahmen aus anderen Rechtsgebieten lässt sich auf Art. 74 Abs. 1 MepV übertragen: Als technische Massnahmen gelten alle Massnahmen, die direkt mit dem Medizinprodukt, der IT-Infrastruktur der Gesundheitseinrichtung sowie der Schnittstelle zwischen Medizinprodukt und IT-Infrastruktur zusammenhängen. Beispiele von technischen Massnahmen sind: Verschlüsselung, Fire Walls, Back-ups, Passwortschutz, VPN bei Fernzugriff, Netzwerksegmentierung, automatische Desktop-Sperre etc. Dazu gehört auch das Durchführen von periodischen bzw. vom Hersteller vorgeschriebenen (Software-)Sicherheitsupdates sowie die vom Hersteller vorgeschriebene bzw. regelmässige Wartung des Medizinprodukts. Das BACS nennt als technische Massnahmen insbesondere (a) die zeitnahe Überwachung der Endpunkte, (b) Offline-Backups bzw. Disaster Recovery, (c) Netzwerk-Segmentierung, (d) Schutz der Authentisierung (z.B. durch Multi-Faktor-Authentifizierung), (e) Blockierung von gefährlichen E-Mail Anhängen sowie (f) die Kontrolle der Ausführung von Dateien. Die technischen Massnahmen nach (b), (c) und (d) werden vom BACS als zwingend angesehen, diejenigen nach (a), (e) und (f) hingegen als freiwillig bzw. «kann»-Vorschriften.
9 Die zu treffenden technischen und organisatorischen Massnahmen haben sich nach dem Stand der Technik zu richten. Auch dieser Begriff wird durch die MepV nicht näher definiert. «Stand der Technik» ist jedoch ein Begriff, dem im Rahmen der Entwicklung von Medizinprodukten ein hoher Stellenwert zukommt, ist doch in Bezug auf die grundlegenden Sicherheits- und Leistungsanforderungen gemäss Kapitel I von Anhang I EU-MDR der allgemein anerkannte Stand der Technik zugrunde zu legen. Jedoch enthält auch die EU-MDR keine allgemeine Definition, welche diesem Begriff mehr Konturen geben würde. Dem übrigen Schweizer Recht ist der Begriff des «Stands der Technik» geläufig: Gemäss Art. 3 Abs. 2 PrSG müssen Produkte in Bezug auf Sicherheit dem Stand des Wissens und der Technik entsprechen. Gemäss Art. 5 Abs. 1 lit. e PrHG haftet eine Herstellerin nicht, wenn sie beweist, dass der Produktfehler nach dem Stand der Wissenschaft und Technik im Zeitpunkt, in dem das Produkt in Verkehr gebracht wurde, nicht erkannt werden konnte. Aus Literatur und Rechtsprechung zu diesem Begriff im übrigen Schweizer Recht lässt sich folglich ableiten, dass der Stand der Technik nach objektiven Kriterien ermittelt werden und von der betreffenden wissenschaftlichen Gemeinschaft als seriös anerkannt sein muss.
10 Es ist zu empfehlen, diese Anforderungen, welche ein netzwerkfähiges Medizinprodukt insbesondere aus technischer Sicht erfüllen muss, bereits in den Beschaffungsprozess der Gesundheitseinrichtung einfliessen zu lassen. Der Gesundheitseinrichtung sollte bereits zu Beginn der Beschaffung von netzwerkfähigen Medizinprodukten klar sein, welchen technischen und IT-sicherheitsrelevanten Standards das zu beschaffende Medizinprodukt genügen muss, damit eben auch die Cybersicherheit im Einzelfall gewährleistet ist. H+, der Verband der Schweizer Spitäler, hat dazu, in enger Zusammenarbeit mit den Verantwortlichen für die Cyber- und Informationssicherheit der Schweizer Spitäler, im Mai 2024 ein Merkblatt «IT-Grundschutzanforderungen an Systeme – Informationssicherheit und Datenschutz» herausgegeben, welches «die minimalen technischen und organisatorischen Informationssicherheits- und Datenschutzanforderungen des Spitals an Systeme», insbesondere an alle medizintechnischen Systeme, festlegt.
11 Art. 74 Abs. 1 MepV stellt in Bezug auf den Stand der Technik – anders als z.B. Art. 5 Abs. 1 lit. e PrHG – nicht auf einen bestimmten Zeitpunkt ab. Folglich unterliegt das Verständnis des Begriffs «Stand der Technik» einem zeitlichen Wandel. Ändert sich der Stand der Technik in Bezug auf die Cybersicherheit und die angemessenen technischen und organisatorischen Massnahmen, welche für eine effektive Abwehr von Cyberangriffen implementiert werden sollten, hat die Gesundheitseinrichtung ihre getroffenen Massnahmen entsprechend anzupassen. Folglich muss die Gesundheitseinrichtung ihre technischen und organisatorischen Massnahmen zur Gewährleistung der Cybersicherheit regelmässig überprüfen, mit dem aktuellen Stand der Technik abgleichen und – falls notwendig – dem aktuellen Stand der Technik anpassen. Zumindest für Spitäler ergibt sich diese Pflicht zudem auch aus Abs. 2 von Art. 74 MepV, denn Teil eines effektiven Risikomanagementsystems ist auch die periodische Überprüfung des Risikos sowie die Angemessenheit der dagegen implementierten Massnahmen. In grundsätzlicher Hinsicht muss festgehalten werden, dass das Thema Cybersicherheit ein laufender Prozess und folglich nie abgeschlossen ist.
12 Gemäss dem Wortlaut von Art. 74 Abs. 1 MepV hat die Gesundheitseinrichtung alle Massnahmen zu treffen, die notwendig sind, um den Schutz vor elektronischen Angriffen und Zugriffen sicherzustellen. Art. 74 Abs. 1 MepV unterscheidet sich im Wortlaut insbesondere vom verwandten Art. 8 DSG, welcher eine «dem Risiko angemessene Datensicherheit» verlangt und damit im Bereich der Sicherheit für Personendaten das Verhältnismässigkeitsprinzip gesetzlich statuiert, weshalb z.B. auch Implementierungskosten bei der Beurteilung der Angemessenheit berücksichtigt werden dürfen.
13 Die technischen und organisatorischen Massnahmen müssen Schutz vor elektronischen Angriffen und Zugriffen gewährleisten. Mit anderen Worten geht es um den Schutz vor Cyberangriffen, also dem gezielten Angriff auf die IT-Infrastruktur und die verwendeten (netzwerkfähigen) Medizinprodukte von Gesundheitseinrichtungen durch Unberechtigte. Dabei muss unterschieden werden zwischen Angriffen, bei denen das Medizinprodukt selbst das eigentliche Angriffsziel ist und Angriffen, bei denen das Medizinprodukt als Einfallstor für Zugriffe auf die weitere IT-Infrastruktur der Gesundheitseinrichtung dient. Art. 74 Abs. 1 MepV deckt beide Arten von Angriffen ab und die technischen und organisatorischen Massnahmen müssen demnach auch beide Arten von Angriffen erfassen. Typische Cyberangriffe sind Malware, Phishing, Zero-Day-Exploits, DDoS-Angriffe oder Attacken, welche die Verfügbarkeit der Systeme beeinträchtigen (wie z.B. Ransomware). Nach Ansicht der Autoren sind grundsätzlich Ransomware-Attacken am gefährlichsten, da diese dazu führen, dass die Verfügbarkeit der Systeme nicht mehr gewährleistet ist, was aus operativer und medizinischer Sicht schwerwiegende Folgen sowohl für das Spital als auch die Patienten haben kann.
III. Risikomanagement für Spitäler (Abs. 2)
14 Anders als die Pflichten in Art. 74 Abs. 1 MepV, welche alle Gesundheitseinrichtungen treffen, die netzwerkfähige Medizinprodukte einsetzen, treffen die Pflichten gemäss Art. 74 Abs. 2 MepV nur die Spitäler.
15 Die Praxis zeigt, dass ein umfassendes Risikomanagement auch in Spitälern zum Standard gehört.
IV. Rechtsfolgen bei Verletzung der Sorgfaltspflichten
A. Zivilrechtliche Folgen
16 Im Falle der Nichtbeachtung der durch Art. 74 MepV statuierten Sorgfaltspflichten stellt sich die Frage nach den rechtlichen Konsequenzen. Insbesondere ist an Situationen zu denken, in denen ein Cyberangriff dazu führt, dass lebenserhaltende Medizinprodukte ausfallen und zum Tod oder einer schweren Schädigung von Patienten führen. Darüber hinaus sind auch zahlreiche andere Konstellationen denkbar, wie z.B. die Verschiebung von lebenswichtigen Operationen oder die Fehlfunktion von medizinischen Geräten. Zu unterscheiden ist dabei in grundsätzlicher Hinsicht, ob es sich um eine private oder eine öffentlich-rechtliche Gesundheitseinrichtung handelt. Diese Qualifikation entscheidet darüber, welches Haftungsrecht Anwendung findet. Vorliegend soll nicht weiter auf diese Unterscheidung eingegangen werden, sondern es wird diesbezüglich auf die einschlägige Literatur und Rechtsprechung verwiesen.
17 Besteht ein (privatrechtliches) Vertragsverhältnis zwischen Spital und Patient, richtet sich eine allfällige Haftung des Spitals nach Art. 97 Abs. 1 OR: Kann die Erfüllung der Verbindlichkeit überhaupt nicht oder nicht gehörig bewirkt werden, so hat der Schuldner für den daraus entstehenden Schaden Ersatz zu leisten, sofern er nicht beweist, dass ihm keinerlei Verschulden zur Last falle.
18 Wann liegt konkret eine Verletzung der aus Art. 74 Abs. 1 MepV resultierenden Sorgfaltspflicht vor? Wie vorgängig dargelegt, geht es um den angemessenen Schutz vor elektronischen Angriffen und Zugriffen. Dieser angemessene Schutz ist anhand eines objektiven Massstabs im Einzelfall zu bestimmen. Merkblätter und Leitlinien – wie diejenigen des BACS oder von H+ – können als Hilfestellung zur Konkretisierung dieses objektiven Massstabs hinzugezogen werden, jedoch vermag die Nichteinhaltung von in solchen Leitlinien oder Merkblättern enthaltenen Empfehlungen nicht automatisch eine Sorgfaltspflichtverletzung zu begründen. In der Praxis ist betroffenen Unternehmen jedoch zu empfehlen, sich an solchen Leitlinien und Merkblätter von Expertengruppen zu orientieren und ihre Sicherheitsvorkehrungen anhand dieser Empfehlungen auszugestalten.
19 Eine Verletzung der Sorgfaltspflichten von Art. 74 Abs. 1 MepV kann daher – sofern die übrigen Haftungsvoraussetzungen von Art. 97 OR erfüllt sind – zu einer Haftung der Gesundheitseinrichtung gegenüber den betroffenen Patienten führen, wobei die Haftungsvoraussetzungen durch den betroffenen Patienten nachgewiesen werden müssen (Art. 8 ZGB). In der Praxis dürfte insbesondere der Beweis der Sorgfaltspflichtverletzung aufgrund mangelnder Einsicht in die IT-Infrastruktur der Gesundheitseinrichtung nicht leicht gelingen. Der Umstand, dass ein Angriff bzw. Zugriff stattgefunden hat, reicht allein für den Beweis der Sorgfaltspflichtverletzung nicht aus. Vielmehr muss nachgewiesen werden, dass die Gesundheitseinrichtung nicht alle (zumutbaren) technischen und organisatorischen Massnahmen getroffen hat, um solche Angriffe bzw. Zugriffe zu verhindern. Insofern ist zu verlangen, dass die betroffene Gesundheitseinrichtung im Rahmen ihrer prozessualen Mitwirkungspflicht gemäss Art. 160 Abs. 1 ZPO die notwendige Dokumentation zur IT-Sicherheit herauszugeben hat.
B. Verwaltungsrechtliche Folgen
20 Neben den zivilrechtlichen sind auch die verwaltungsrechtlichen Folgen einer Verletzung von Art. 74 MepV zu beachten. Swissmedic als Vollzugsbehörde ist für die Marktüberwachung und den Vollzug der Medizinprodukteregulierung zuständig (Art. 66 Abs. 1 HMG). Die Kontrolle im Rahmen der Marktüberwachung umfasst unter anderem das Erfüllen der Pflichten der Wirtschaftsakteure (Art. 75 Abs. 1 MepV), folglich also auch die Umsetzung der aus Art. 74 MepV resultierenden Pflichten. Anlässlich der Swissmedic-Spitalinspektion 2023 in Bezug auf Medizinprodukte hat sich gezeigt, dass das Thema Cybersicherheit in 43% der Inspektionen von Abweichungen betroffen war.
Literaturverzeichnis
Baeriswyl Bruno, Kommentierung zu Art. 8, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum Datenschutzgesetz, 2. Aufl., Bern 2023.
Bielefeld Jörg, Kressin Bernhard, Zawilla Peter, Wirksame Organisations-, Risiko- und Compliance-Kultur zur Haftungsvermeidung, CB 2020, S. 205 ff.
Bühr Daniel Lucien, Good Governance von Aufsicht und Kontrolle im Unternehmen, SJZ 118 (2022), S. 7 ff.
Dinkel Erik, Cyber-Sicherheit in Spitälern, LSR 2/2023, S. 59 ff.
Fellmann Walter, Kommentierung zu Art. 5 PrHG, in Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
Fuchs Philippe, Software als Medizinprodukt LSR 3 (2018), S. 183 ff.
Lienhard Andreas, Beweislast und Beweislastumkehr, ZZZ 53 (2021), S. 389 ff.
Long William/Blythe Francesca/Sommer Josefine, Cybersecurity and Medical Devices, LSR 1 (2021), S. 58 ff.
Pfaff, Dieter/Thomet, Ursula, Risikomanagement des Universitätsspitals Zürich, Expert Focus 12 (2017), S. 953 ff.
Sidiropoulos Alexia, Haftung für Gerätefehler bei der medizinischen Diagnostik und Behandlung, Sicherheit & Recht 1 (2020), S. 49 ff.
Stamm-Pfister Christa, Kommentierung zu Art. 8, in: Vasella David/Blechta Gabor P. (Hrsg.), Basler Kommentar, Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl., Basel 2024.
Wiegand Wolfgang, Kommentierung von Art. 97, in: Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
Materialienverzeichnis
Bundesamt für Gesundheit, Erläuternder Bericht zur Totalrevision der Medizinprodukteverordnung und Verordnung über klinische Versuche mit Medizinprodukten, Juli 2020 («BAG, Erläuternder Bericht»).