In vielen Bereichen ringen Unternehmen und Behörden um geeignete Kandidat*innen für bestehende oder neue Stellen. Häufig wird dann durch Recruiting-Videos versucht, auf Jobs aufmerksam zu machen und sich als Arbeitgeber gut zu präsentieren. Um Einblicke in die „echte“ Arbeitswelt zu geben, entstehen solche Videos, die dann später auf der eigenen Website oder dem Social-Media-Auftritt veröffentlicht werden, nicht selten direkt im Büro oder in der Fabrik. Auch im Gesundheitswesen lässt sich bei Krankenhäusern ein Trend erkennen, mithilfe von Imagefilmen die eigene Einrichtung sowie verschiedene Berufe vorzustellen und um neue Mitarbeitende zu werben.
Doch trotz des Eifers im Marketing (und bei den externen, professionellen Agenturen) darf der Datenschutz nicht auf der Strecke bleiben. Wenn bei diesen Kampagnen also Fotos oder Namen von Beschäftigten, insbesondere aber von externen Personen gezeigt und über das Internet verbreitet werden, kann schnell eine Datenschutzverletzung eintreten. Das gilt umso mehr, wenn bspw. bei Dreharbeiten im Krankenhaus echte Namen oder Befunde von Patient*innen im Hintergrund zu sehen, also diese personenbezogenen Daten nicht vorab unkenntlich gemacht worden sind. Dann droht sogar neben der Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO auch die damit einhergehende Benachrichtigung der betroffenen Person nach Art. 34 Abs. 1 DSGVO sowie unter Umständen sogar die strafbewehrte Verletzung des Patientengeheimnisses (§ 203 StGB).
Missglückter Recruiting-Film
In dem vor Kurzem veröffentlichten Tätigkeitsbericht zum Datenschutz 2025 vom Unabhängigen Landeszentrum für Datenschutz (ULD) aus Kiel wurde ein solcher Vorfall beim Recruiting-Video eines Krankenhauses näher erläutert.
Das ULD beschrieb den Verstoß wie folgt:
„Bei der Durchführung der Filmaufnahmen in der Klinik sollten CT-Bilder von früher behandelten Patientinnen und Patienten an den Geräten eingeblendet und abgefilmt werden. Die Agentur wurde in diesem Zusammenhang angewiesen, identifizierende Merkmale in den Aufnahmen des Rohmaterials unkenntlich zu machen, was jedoch weisungswidrig – im Anschluss auch bei der Veröffentlichung der Videos – unterlassen wurde. Verwendet wurden Aufnahmen von zwei Patienten, von denen keine entsprechende Einwilligung eingeholt wurde.
Neben den CT-Bildern waren Name, Geburtsdatum und Geschlechtskürzel erkennbar. Die Einblendung der identifizierenden Daten erfolgte nur innerhalb eines sehr kurzen Schnitts von deutlich unter einer Sekunde. Jedoch waren die Angaben bei einem Stoppen des Videos im entsprechenden Moment erkennbar. Trotz einer Kontrolle des Videos durch die Agentur und die Klinik vor einer nachfolgenden Veröffentlichung wurden die problematischen Stellen im Video nicht bemerkt und es folgten Veröffentlichungen auf verschiedenen Plattformen.“
Der Fall aus der Klinik in Schleswig-Holstein macht deutlich, welch hohe rechtliche Anforderungen bei der Aufnahme und Verbreitung von Filmaufnahmen im Gesundheitswesen bestehen. Selbst wenn nur für einen kurzen Moment ein Klarname im Hintergrund zu sehen ist, kann durch die technischen Steuerungsinstrumente (Pausieren des Films, Anfertigung eines Screenshots, Heranzoomen etc.) eine Datenschutzverletzung angenommen werden. Zukünftig dürfte die Technik sogar noch besser werden. Die betroffenen Personen müssen daher alle vorab ihre Einwilligung hierin erklären!
Verantwortlichkeiten kennen
Je nach datenschutzrechtlicher Konstellation wird i. d. R. das Unternehmen, also der dieses Projekt planende Arbeitgeber, Verantwortlicher im Sinne des Datenschutzrechts sein. Die rechtliche Prüfung und auch die Sicherstellung der zu ergreifenden Sicherheitsvorkehrungen treffen daher dieses Unternehmen. Eine weisungsgebunden handelnde Agentur agiert meist als Auftragsverarbeiter (nach Art. 28 DSGVO) und hätte daher nicht die Datenpanne in dieser Funktion zu prüfen bzw. zu melden. Gleichwohl treffen auch den Auftragsverarbeiter gewisse datenschutzrechtliche Pflichten, insbesondere hat dieser auf erkennbare Verstöße hinzuweisen. Und insgesamt bestehen auch Mitwirkungspflichten aufseiten des Auftragsverarbeiters (wir berichteten).
Sonderfall: Mitarbeiterexzess
Ganz anders verhält sich übrigens die Rechtslage, wenn Beschäftigte eigenständig und ohne Vorgabe oder Erlaubnis des Arbeitgebers ein paar Videos vom eigenen Berufsalltag drehen und auf den persönlichen Social-Media-Accounts veröffentlichen (wir berichteten). Das passiert zwar (leider) immer häufiger, wäre aber i. d. R. eine Verarbeitung, für die diese handelnde Person selbst verantwortlich ist (Mitarbeiterexzess). Dann wäre dieser Verstoß generell nicht dem Arbeitgeber zuzurechnen, der gleichwohl den Vorfall – vorsorglich – prüfen und ggf. unter Verweis auf den Mitarbeiterexzess melden könnte (wir berichteten). Das hängt aber vom Einzelfall und dem konkreten Vorgang ab.
Daher gilt der Hinweis: Durch interne, klare Anweisungen, Regelungen und Social-Media-Richtlinien sollten Unternehmen und öffentliche Stellen verbindliche Vorgaben schaffen, die Aufnahmen/Videos mit dem privaten Handy sowie die private Nutzung von Arbeitsmitteln (z. B. Diensthandys) verbieten. Alle Beschäftigten sind am ersten Tag auf das Datenschutzrecht hinzuweisen. Es könnten ferner auch generelle Verbote für die Anfertigung von Foto-/Video-/Tonaufnahmen in den eigenen Geschäftsbereichen ausgesprochen werden. Die internen Regelungen sind von den Beschäftigten zu unterschreiben – auch wäre regelmäßig auf diese Regelungen hinzuweisen. So lassen sich solche Fehler vermeiden.
Patient*innendaten auf Social Media – ein wachsendes Problem?
Das Problem der Werbung/Selbstdarstellung auf Social Media, in die andere unfreiwillig involviert werden, scheint in der letzten Zeit größer zu werden. So macht bspw. die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) von Nordrhein-Westfalen deutlich: „Patient*innendaten gehören nicht in die Sozialen Medien“ – und das gilt für den gesamten Gesundheitsbereich, also auch für Arztpraxen, Apotheken, Pflegeeinrichtungen, Labore usw. In ihrem aktuellen Tätigkeitsbericht geht die Landesbeauftragte dann noch genauer auf einzelne Fälle ein (vgl. Tätigkeitsbericht 2025, Punkt 8.2, 8.3 und 8.4). Bei solchen Datenschutzverletzungen können auf die Verantwortlichen nicht nur Bußgelder durch Aufsichtsbehörden zukommen, sondern ggf. auch Schadensersatzansprüche der betroffenen Personen.
Fazit
Personenbezogene Daten sollten bei Foto- und Videoaufnahmen geschützt werden. Ansonsten kann ein Imagevideo schnell zum Reinfall werden – es sei denn, dieses Missgeschick führt nun zur Ausschreibung einer neuen Stelle als externer/interner Datenschutzbeauftragter!