Arztpraxen: Videoüberwachung im Eingangsbereich
Die Videoüberwachung im Eingangsbereich von Arztpraxen kann zwar Sicherheitsaspekte fördern, ist aus datenschutzrechtlicher Sicht jedoch nicht völlig unproblematisch. Ein Vorfall in Sachsen verdeutlicht die Herausforderungen und möglichen Konsequenzen bei unsachgemäßer Handhabung.
Liveübertragung aus einer Gesundheitspraxis in Sachsen
Die sächsische Datenschutz- und Transparenzbeauftragte berichtet in ihrem 24. Tätigkeitsbericht von einem merkwürdigen Fall. Dort wurden durch eine fehlerhafte Konfiguration Livebilder und Gespräche aus dem Eingangsbereich einer Praxis versehentlich öffentlich im Internet übertragen. Zuvor hatte der Eigentümer einer Physiotherapieeinrichtung eine Sicherheitskamera im Eingang angebracht. Im Anschluss fand ein Internetnutzer die Liveübertragung des Praxisalltags im Internet. Daraufhin informierte er den Praxisinhaber. Dieser schaltete die Kamera zwar kurzzeitig ab, später erschienen die Liveaufnahmen jedoch wieder – diesmal aus einem anderem Blickwinkel – online.
Einschreiten der Datenschutzbeauftragten
Nun schaltete sich die zuständige sächsische Datenschutzbeauftragte ein. Dass es sich bei der Liveübertragung um einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) handelt, ist recht offensichtlich. Ein Bußgeld gab es jedoch überraschenderweise nicht. Der Vorfall in Sachsen zeigt trotzdem, wie wichtig eine korrekte Einrichtung und Verwendung von Überwachungskameras ist, um Datenschutzverletzungen zu vermeiden.
Sinn und Zweck der Videoüberwachung
Eine Videoüberwachung im Eingangsbereich von Arztpraxen kann aus verschiedenen Gründen von Vorteil sein. Sie kann den unbefugten Zutritt verhindern, indem sie potenzielle Täter abschreckt, oder zumindest im Falle einer Straftat bei der Aufklärung hilft. Zudem kann sie, wenn eine Praxis aufgrund eines Personalmangels den Empfangsbereich nicht ununterbrochen besetzen kann, einen Überblick über die ankommenden Patienten verschaffen.
Rechtliche Rahmenbedingungen
Die Verarbeitung personenbezogener Daten durch Videoüberwachung unterliegt der Datenschutzgrundverordnung (DSGVO). Eine rechtliche Grundlage für die Datenverarbeitung kann das berechtigte Interesse des Praxisinhabers nach Art. 6 Abs. 1 lit. f DSGVO darstellen, beispielsweise der Schutz vor Straftaten oder der Ausgleich eines Personalmangels.
Gesundheitsdaten und deren Schutz
In Arztpraxen besteht die Möglichkeit, dass durch die Videoaufnahmen auch Gesundheitsdaten verarbeitet werden. Die Verarbeitung dieser besonders schutzwürdigen Datenkategorie ist jedoch nur unter den Vorgaben des Art. 9 DSGVO erlaubt. Sucht ein Individuum eine Gesundheitspraxis auf, werden unabhängig von etwaig aufgenommenen Gesprächen auch seine äußeren Merkmale verarbeitet. Ermöglicht die aufgenommene äußere Erscheinung eine eindeutige Identifizierung der Person, dürfte es sich auch regelmäßig um ein Gesundheitsdatum handeln. Denn allein die Tatsache, dass eine Person eine Arztpraxis besucht, gibt in der Regel eine Information über ihren Gesundheitszustand.
Hinweisschild und Informationspflichten
Grundsätzlich sind datenschutzrechtlich Verantwortliche nach Art. 13 und 14 DSGVO verpflichtet bestimmte Transparenz- und Hinweispflichten gegenüber betroffenen Personen zu erfüllen. Ein Praxisinhaber könnte dies erfüllen, in dem er ein gutsichtbares Hinweisschild im Empfangsbereich positioniert, auf dem er auf die Videoüberwachung hinweist und erläutert, wie Betroffene an detaillierte Datenschutzinformationen kommen können. Diese weiterführende Auskunft muss dann Angaben zu Verantwortlichen, den Zwecken der Überwachung, der Rechtsgrundlage, der Speicherdauer und den Rechten der Betroffenen enthalten.
Speicherdauer und Löschpflichten
Verarbeitete Videos und Fotos sind grundsätzlich nach Erreichung des entsprechenden Zwecks unverzüglich zu vernichten. Wann dies genau der Fall ist, hängt vom jeweiligen Einzelfall ab. Bei Überwachung zur Sicherheit kann eine Speicherdauer von bis zu 48 Stunden als Orientierung dienen. Dient die Videoaufnahme hingegen lediglich dem Ausgleich des Personalmangels im Eingangsbereich, kann eine Löschung schon unmittelbar nach Wahrnehmung des ankommenden Patienten erforderlich sein. Grundsätzlich gilt, dass eine längere Speicherung auch einen höheren Rechtfertigungsbedarf hat.
Technische und organisatorische Maßnahmen
Neben den Modalitäten der Videoüberwachung selbst, müssen Praxen auch geeignete Maßnahmen treffen, um die Datensicherheit zu gewährleisten und unbefugten Zugriff zu verhindern. Art. 32 DSGVO schreibt vor, dass hierfür die Maßnahmen zu ergreifen sind, die nach dem Stand der Technik, den Implementierungskosten und der Art, des Umfangs, der Umstände und dem Zwecke der Verarbeitung sowie den jeweiligen Risiken angemessen sind. Hierzu zählt vor allem die Pseudonymisierung der personenbezogenen Daten. Hinzu kommt eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO hinsichtlich der potenziellen Risken. Bei Datenpannen ist dies unverzüglich der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO zu melden.
Bewertung des Falls durch die Datenschutzbehörde
Die sächsische Datenschutzbehörde bewertete den Vorfall in der Physiotherapiepraxis als datenschutzwidrig. Dies begründete sie nicht allein anhand der rechtswidrigen Übertragung in Internet. Der Praxisinhaber argumentierte mit seinem berechtigten Interesse, da er den Empfangsbereich nicht ständig besetzen könne. Dies erkannte die Behörde grundsätzlich an, kritisierte jedoch einige andere Aspekte.
Die Überwachung solle sich auf den Eingangsbereich beschränken. Eine Überwachung des Wartebereichs – wie im vorliegenden Fall – sei hingegen nicht vom berechtigten Interesse gedeckt. Dass dies nicht mehr für die Erreichung des Zwecks erforderlich sei, bestätige auch das Bundesverwaltungsgericht als es um die Überwachung in einer Zahnarztpraxis ging.
Außerdem dürfe die Kamera nicht ununterbrochen Livebilder erstellen, da dies unverhältnismäßig sei. Vielmehr solle man sich beim Konfigurieren an den Funktionen einer Klingelkamera orientieren. Diese schalte sich erst beim Klingeln oder Eintreten ein und nach Erfassung der jeweiligen Person wieder ab.
Weiterhin müsse gewährleiste sein, dass nur berechtigte Personen Zugang zu der Liveübertragung hätten. Im vorliegenden Fall hätten auch Patienten die Aufnahmen im Behandlungszimmer über ein Notebook einsehen können. Hierbei handle es sich um einen rechtswidrigen Zugriff durch unbefugte Dritte.
Zuletzt habe der Praxisinhaber nicht alle Transparenz- und Informationspflichten erfüllt. Neben der Erkennbarkeit der Videoüberwachung, hätte er auch auf die exakte Art und Weise dieser Videoaufnahmen hinweisen müssen und den Patienten die Durchsetzung ihrer Betroffenenrechte erleichtern müssen.
Fazit
Videoüberwachung im Eingangsbereich von Arztpraxen kann unter bestimmten Bedingungen sinnvoll sein. Damit sie auch zulässig ist, bedarf es jedoch einer sorgfältigen Abwägung der Interessen und einer exakten Beachtung des Datenschutzes. Praxen sollten ein berechtigtes Interesse darlegen können, transparent ihre Informationspflichten erfüllen und durch Sicherheitsmaßnahmen die Daten schützen. Die konkrete Ausgestaltung der Videoüberwachung sollte genau geplant und sorgfältig eingerichtet werden, insbesondere bezüglich Art, Ort und Umfang der Überwachung.