Videoüberwachung in medizinischen Einrichtungen und die DSGVO umfasst die rechtlichen, organisatorischen und technischen Anforderungen an die Aufzeichnung von Bildmaterial in Krankenhäusern, Arztpraxen, Ambulanzen und anderen Gesundheitseinrichtungen im Einklang mit den Vorschriften zum Schutz personenbezogener Daten. In der Praxis geht es darum, wann und unter welchen Voraussetzungen Bilder von Patientinnen und Patienten, Mitarbeitenden, Besuchenden und anderen Personen auf dem Gelände der Einrichtung aufgezeichnet werden dürfen und wie solche Aufnahmen zu schützen sowie in ihrer Nutzung zu beschränken sind.
Im medizinischen Umfeld ist die Videoüberwachung mit einem erhöhten Risiko für die Privatsphäre verbunden. Bereits das Gesichtsbild ist ein personenbezogenes Datum, wenn es die Identifizierung einer Person ermöglicht, gemäß Art. 4 Nr. 1 DSGVO – „personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. In medizinischen Einrichtungen kann eine Aufnahme darüber hinaus mittelbar Informationen über den Gesundheitszustand, die Inanspruchnahme von Gesundheitsleistungen, den Ort der stationären Behandlung oder die Beziehung einer Patientin bzw. eines Patienten zu einer bestimmten Fachambulanz offenlegen. Dadurch entsteht das Risiko einer Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO sowie das Risiko eines Verstoßes gegen die ärztliche Schweigepflicht bzw. das Patientengeheimnis.
Im Zusammenhang mit Fotos und Videos bedeutet DSGVO-Konformität kein Verbot des Einsatzes von Kameras. Sie bedeutet vielmehr, dass Zweck, Erfassungsbereich, Speicherdauer, Empfängerkreis und Identifizierbarkeit von Personen begrenzt werden müssen. Soll Material weitergegeben, zu Schulungszwecken ausgewertet, an einen Dienstleister übermittelt oder außerhalb des ursprünglichen Sicherheitszwecks verwendet werden, ist häufig eine Anonymisierung von Videoaufnahmen oder zumindest eine Pseudonymisierung erforderlich. In der Praxis werden bei Videomaterial vor allem Gesichter und Kfz-Kennzeichen unkenntlich gemacht; andere Elemente wie Dokumente, Namensschilder oder Bildschirminhalte erfordern meist eine manuelle Bildredaktion.
Rechtsgrundlage der Videoüberwachung in medizinischen Einrichtungen
Die Beurteilung der Rechtmäßigkeit einer Videoüberwachung in medizinischen Einrichtungen stützt sich nicht auf eine einzelne Vorschrift, sondern auf mehrere parallel geltende Rechtsrahmen. Für Datenschutzbeauftragte ist insbesondere die klare Trennung zwischen Sicherheitszweck, medizinischem Zweck und Schulungszweck entscheidend. Je nach Zweck unterscheiden sich Rechtsgrundlage, Datenumfang und Speicherfrist.
Die wichtigsten Rechtsakte und Referenzdokumente sind:
- DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
- Gesetz vom 15. April 2011 über die medizinische Tätigkeit.
- Gesetz vom 6. November 2008 über Patientenrechte und den Patientenbeauftragten.
- Arbeitsgesetzbuch – Art. 22(2) und 22(3), sofern die Überwachung Beschäftigte betrifft.
- EDSA-Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, verabschiedet am 29. Januar 2020.
- Rechtsprechung des EuGH und nationaler Verwaltungsgerichte zum Umfang personenbezogener Daten und zum Grundsatz der Verhältnismäßigkeit.
Die EDSA-Leitlinien 3/2019 betonen, dass Videoüberwachung nur zulässig ist, wenn Notwendigkeit und Verhältnismäßigkeit nachgewiesen werden können. In medizinischen Einrichtungen bedeutet dies insbesondere, Kameras an Orten zu vermeiden, an denen die Privatsphäre von Patientinnen und Patienten den höchsten Schutz genießt, etwa in Untersuchungszimmern, Behandlungsräumen, Umkleiden oder Sanitärbereichen, es sei denn, es besteht eine besonders spezielle Rechtsgrundlage und zusätzliche Schutzmaßnahmen wurden umgesetzt.
Bedeutung der ärztlichen Schweigepflicht und sensibler Daten auf Aufnahmen
In einem Krankenhaus oder einer Praxis kann bereits das Betreten eines bestimmten Bereichs Gesundheitsinformationen offenbaren. Eine Aufnahme einer Person, die vor einer onkologischen, psychiatrischen, suchtmedizinischen oder infektiologischen Ambulanz wartet, kann Rückschlüsse auf ihren Gesundheitszustand zulassen. Deshalb sollte die Risikoanalyse für medizinische Videoüberwachung nicht nur die Gesichtserkennung berücksichtigen, sondern auch den Kontext von Ort, Zeit und Interaktionen.
Die häufigsten Risikofaktoren in Videomaterial sind:
- das Gesicht von Patientinnen, Patienten und Mitarbeitenden,
- Kfz-Kennzeichen auf dem Parkplatz oder vor der Notaufnahme,
- Türschilder an Behandlungsräumen und Stationsbezeichnungen,
- Patientenarmbänder, Mitarbeiterausweise und Informationszettel,
- Monitorinhalte mit medizinischen Daten, die ins Bild geraten können,
- Tonaufzeichnungen, sofern das System auch Audio erfasst.
In der Praxis bezieht sich die ärztliche Schweigepflicht nicht nur auf die medizinische Dokumentation. Sie kann auch durch die Weitergabe oder unzureichende Sicherung einer Aufnahme verletzt werden, die eine Patientin oder einen Patienten in Umständen zeigt, aus denen sich eine Behandlung, ein Krankenhausaufenthalt oder die Art der Leistung ableiten lässt.
Anonymisierung von Videoaufnahmen und Fotos aus der medizinischen Videoüberwachung
Soll eine Aufnahme aus einer medizinischen Einrichtung außerhalb des ursprünglichen Sicherheitszwecks verwendet werden, ist zu prüfen, ob eine Anonymisierung von Videoaufnahmen erforderlich ist. In der Praxis betrifft dies häufig die Weitergabe von Material für die Untersuchung eines Vorfalls, für Mitarbeiterschulungen, interne Verfahren, die Veröffentlichung von Anschauungsmaterial oder die Bereitstellung an externe Stellen.
Bei Videomaterial bedeutet Anonymisierung in der Regel eine dauerhafte und irreversible Einschränkung der Identifizierbarkeit von Personen. Für Gesichter und Kfz-Kennzeichen wird eine automatische Erkennung und Unkenntlichmachung eingesetzt. Ein solcher Prozess kann KI-Modelle auf Basis von Deep Learning nutzen, da die Erkennung bei unterschiedlichen Blickwinkeln, teilweisen Verdeckungen, wechselnden Lichtverhältnissen, Bewegung, Spiegelungen und geringer Bildqualität funktionieren muss. Das Modell wird zunächst auf großen Datensätzen trainiert und anschließend für die Inferenz verwendet, also zur Objekterkennung in einer konkreten Aufnahme und zum Aufbringen einer Unschärfe- oder Pixelmaske.
Dabei ist zwischen der automatischen Anonymisierung von Gesichtern und Kennzeichen und einer vollständigen Bildredaktion zu unterscheiden. Gallio PRO macht automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte erkennt das System nicht automatisch. Solche Elemente können im Editor manuell unkenntlich gemacht werden. Das ist in medizinischen Einrichtungen besonders relevant, weil Patientendaten häufig gerade auf Armbändern, Displays und Ausdrucke im Bild sichtbar werden.
Wichtige Parameter zur Bewertung eines Systems zur Videoanonymisierung
Bei der Bewertung eines Tools reicht die Aussage „es verwischt Gesichter“ nicht aus. Im medizinischen Umfeld werden Kennzahlen benötigt, mit denen sich das Risiko nicht erkannter Objekte oder übermäßiger Maskierung einschätzen lässt. Diese Parameter sollten mit eigenem Testmaterial überprüft werden, da die Wirksamkeit von der Kameratechnik und der jeweiligen Szene abhängt.
Parameter | Praktische Bedeutung | Hinweise für medizinische Einrichtungen
|
|---|---|---|
Detection Recall | Anteil der vom Modell erkannten Gesichter oder Kennzeichen | Entscheidend, um nicht erkannte Patientinnen und Patienten auf Aufnahmen zu minimieren |
Detection Precision | Anteil korrekter Erkennungen an allen Erkennungen | Beeinflusst die Zahl falscher Maskierungen und die Lesbarkeit des Materials nach der Anonymisierung |
FN-Rate | Anteil der übersehenen Objekte | Wichtigste Kennzahl aus Sicht des Risikos einer Datenschutzverletzung |
Verarbeitungszeit | Zeit, die für die Anonymisierung des Materials benötigt wird | Gallio PRO führt keine Anonymisierung in Echtzeit oder auf einem Videostream durch |
Bereitstellungsmodell | On-Premise oder Cloud | On-Premise begrenzt die Übertragung medizinischer Aufnahmen außerhalb der Organisation |
Umfang der Protokollierung | Welche Ereignisse das System protokolliert | Wichtig ist, dass Logs keine personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten enthalten |
Für die Risikobewertung kann ein einfacher Indikator für die Abdeckung der Anonymisierung verwendet werden: Wirksamkeit = 1 - FN-Rate. Wenn das System in einer Stichprobe von 1000 Gesichtern 8 übersehen hat, beträgt die FN-Rate = 0,008 und die Abdeckungswirksamkeit 99,2 %. Auch ein solcher Wert erfordert weiterhin eine qualitative Bewertung, denn entscheidend ist, welche Gesichter übersehen wurden und in welchem klinischen Kontext sie auftreten.
Organisation eines DSGVO-konformen Prozesses
In einer medizinischen Einrichtung hängt die DSGVO-Konformität nicht allein vom Algorithmus ab. Ebenso wichtig sind Regeln für Zugriff, Speicherfristen, Weitergabe und die Dokumentation von Verarbeitungstätigkeiten. Das hohe Risiko für die Rechte von Patientinnen und Patienten kann die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO rechtfertigen.
Ein Prozess mit Mindestanforderungen an die Sicherheit sollte Folgendes umfassen:
- Festlegung des Zwecks der Videoüberwachung und der Rechtsgrundlage,
- Analyse der von Kameras erfassten Bereiche und Ausschluss besonders sensibler Zonen,
- Festlegung der Speicherfrist für Aufnahmen und der Regeln für deren Überschreibung,
- rollenbasierte Zugriffskontrolle,
- ein Verfahren für den Export von Aufnahmen und deren Anonymisierung vor jeder weiteren Nutzung,
- ein Verzeichnis der Empfänger und der Fälle, in denen Material weitergegeben wurde,
- Prüfung von Auftragsverarbeitungsverträgen, sofern externe Stellen am Prozess beteiligt sind.
Im On-Premise-Modell verbleibt das Material in der Infrastruktur der Organisation, was die Kontrolle über Datenübermittlungen in der Regel erleichtert. Das ist bei Aufnahmen aus Krankenhäusern und Arztpraxen besonders wichtig, da jede zusätzliche Kopie des Materials das Risiko einer Verletzung der Vertraulichkeit erhöht.
Praktische Anwendungsfälle von Videoüberwachung und Anonymisierung in medizinischen Einrichtungen
Die häufigsten zulässigen Einsatzbereiche der Videoüberwachung im Gesundheitswesen betreffen die Sicherheit von Personen und Eigentum, die Zugangskontrolle zu beschränkten Bereichen, die Aufklärung von Vorfällen und den Schutz der Infrastruktur. Soll eine Aufnahme jedoch in Schulungsmaterial, eine Präsentation, ein externes Audit oder an einen Softwareanbieter weitergegeben werden, sollte die Identifizierbarkeit von Personen eingeschränkt werden.
Praktische Beispiele für den Einsatz der Anonymisierung sind:
- Erstellung von Schulungsmaterial aus der Notaufnahme mit unkenntlich gemachten Gesichtern von Patientinnen und Patienten sowie Kfz-Kennzeichen,
- Weitergabe einer Fluraufnahme an ein Unternehmen, das einen Sicherheitsvorfall analysiert, nach vorheriger Redaktion aller personenbezogenen Informationen im Bild,
- Bereitstellung eines Ausschnitts aus der Überwachung für ein internes Qualitätsaudit, ohne die Identität unbeteiligter Personen offenzulegen,
- Sicherung von Beweismaterial vom Krankenhausparkplatz mit anonymisierten Kennzeichen für weitere Empfänger, die nicht zur vollständigen Identifizierung berechtigt sind.
Es ist zu beachten, dass der Status von Kfz-Kennzeichen als personenbezogene Daten in Polen kontextabhängig bewertet wird. Einerseits sprechen Leitlinien der Datenschutzaufsicht, des EDSA und Teile der europäischen Rechtsprechung für einen vorsichtigen Ansatz und damit für deren Maskierung. Andererseits vertreten Verwaltungsgerichte auch die Auffassung, dass Kennzeichen nicht in jedem Fall personenbezogene Daten darstellen. Für medizinische Einrichtungen ist in der Praxis ein konservativer Ansatz sicherer, insbesondere bei der weiteren Weitergabe von Material.
Normative Verweise und Quellen
Die folgenden Quellen sind grundlegend für die Auslegung der Anforderungen an die Videoüberwachung in medizinischen Einrichtungen und die Anonymisierung von Aufnahmen:
- DSGVO – Verordnung (EU) 2016/679, ABl. EU L 119 vom 4.05.2016.
- EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, verabschiedet am 29.01.2020.
- Gesetz vom 6.11.2008 über Patientenrechte und den Patientenbeauftragten.
- Gesetz vom 15.04.2011 über die medizinische Tätigkeit.
- Arbeitsgesetzbuch, Art. 22(2) und 22(3).
- Norm ISO/IEC 27001:2022 – Informationssicherheits-Managementsystem, als Referenzpunkt für organisatorische und technische Kontrollen.
- Norm ISO/IEC 27701:2019 – Erweiterung für das Datenschutzinformationsmanagement, nützlich bei der Gestaltung von Datenschutzprozessen.