Datenschutz bei Tonaufnahmen in Gesundheitseinrichtungen
Die immer weiter steigende Aufzeichnung von Telefongesprächen wirft Fragen zum Datenschutz bei Tonaufnahmen in Gesundheitseinrichtungen auf. Der Jahresbericht 2023 der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) beschäftigt sich mit einem Fall, bei dem eine Einrichtung plante, sämtliche Telefongespräche mit medizinischem Personal aufzuzeichnen. Dabei sollten auch Gesundheitsdaten erfasst werden. Ziel war es, unter anderem die ärztliche Dokumentationspflicht zu erfüllen, Beschäftigte zu schützen und die Aufzeichnungen für Schulungszwecke zu nutzen. Die Datenschutzbehörde stellte jedoch fest, dass dieses Vorhaben weder den gesetzlichen Anforderungen entsprach noch datenschutzrechtlich erforderlich war.
Zugrundeliegender Fall
Eine Gesundheitseinrichtung, die sich auf die Vermittlung ärztlicher Versorgung spezialisiert hat, plante die vollständige Tonaufnahme aller Telefongespräche mit medizinischen Fachpersonal. Neben allgemeinen Gesprächsinhalten sollten dabei auch Daten von Patienten aufgenommen werden. Diese Maßnahme sollte bei der Erfüllung der ärztlichen Dokumentationspflicht helfen und Angestellte vor rechtlichen Risiken bewahren. Darüber hinaus war auch die Verwendung der Aufzeichnungen für Schulungszwecke sowie Feedbackgespräche vorgesehen.
Prüfung durch die Datenschutzbehörde
Die Berliner Datenschutzbehörde analysierte in ihren Jahresbericht 2023 die geplanten Maßnahmen und kam zu dem Ergebnis, dass die Tonaufnahmen gegen grundlegende Datenschutzprinzipien verstoßen. Weder die ärztliche Dokumentationspflicht noch andere genannte Ziele würden eine solche umfassende Verarbeitung personenbezogener Daten rechtfertigen.
Ärztliche Dokumentationspflicht
Zwar ist die ärztliche Dokumentation eine zentrale Verpflichtung, doch erfordere sie nicht die vollumfassende Aufnahme von Telefongesprächen. Es gäbe andere, datensparsamere Lösungen, um dieser Pflicht nachzukommen. Beispielhaft können schriftliche Protokolle angefertigt werden. Das geplante Vorgehen überschreite somit das Erforderliche und verletze das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 lit. c Datenschutzgrundverordnung (DSGVO).
Schutz der Beschäftigten
Die Einrichtung argumentierte, dass die Aufzeichnungen dem Schutz der Beschäftigten vor potenziellen Rechtsansprüchen dienen sollten. Dieses Argument konnte die Datenschutzbehörde jedoch nicht überzeugen, da ein bloßes potenzielles Risiko nicht genüge, um eine Erforderlichkeit nach Art. 6 Abs. 1 DSGVO zu begründen.
Nutzung zu Schulungszwecken
Auch der Einsatz der Aufzeichnungen für Schulungs- und Feedbackgespräche sei datenschutzrechtlich nicht ausreichend, um die Verarbeitung zu rechtfertigen. Die Speicherung besonders geschützter Gesundheitsdaten zu solchen Zwecken erfordere eine ausdrückliche Einwilligung der Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO. Da eine allgemeine Aufzeichnungspraxis nicht auf einer solchen Einwilligung basiere, sei sie unzulässig.
Beschäftigtendatenschutz
Zudem stelle die anlasslose Aufnahme aller Telefonate von Angestellten einen erheblichen Eingriff in die Rechte der Beschäftigten dar. Wie das Bundesarbeitsgericht (BAG) bereits in früheren Entscheidungen zu Überwachungsmaßnahmen wie Keyloggern oder Kameras betont hat, verletzt eine dauerhafte Kontrolle den Beschäftigtendatenschutz. Sie erzeuge mentalen Stress und reduziere die Arbeitsleistung.
Fazit
Der vorliegende Fall verdeutlicht, dass die geplante systematische Aufzeichnung von Telefongesprächen in medizinischen Einrichtungen sowohl die Rechte der Patienten als auch der Beschäftigten verletzen kann. Gesundheitsdaten gehören zu den sensibelsten Informationen, die einer besonders strengen datenschutzrechtlichen Prüfung unterliegen. Verantwortliche müssen daher sicherstellen, dass jede Verarbeitung personenbezogener Daten auf einer klaren Rechtsgrundlage beruht und die Prinzipien der DSGVO beachtet werden. Wir als Externe Datenschutzbeauftragte beraten Sie gerne dabei, wie sie wirtschaftlichen und gesetzlichen Anforderungen gerecht werden können und gleichzeitig den Datenschutz befolgen.