Patientendaten im Bild: ULD-Bericht 2026 warnt vor fatalen Fehlern in Klinik-Recruiting-Videos
Unkenntlichmachung versäumt: Kurzeinblendung von CT-Aufnahmen führt zu meldepflichtiger Datenpanne
Die Veröffentlichung eines neuen Recruiting-Videos sollte einer Klinik eigentlich dabei helfen, dringend benötigtes Personal zu gewinnen – stattdessen endete das Marketingprojekt in einem datenschutzrechtlichen Albtraum. Wie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in seinem aktuellen Tätigkeitsbericht 2026 dokumentiert, führte die fehlerhafte Bearbeitung von Filmmaterial zu einer schwerwiegenden Verletzung des Schutzes personenbezogener Daten gemäß der DSGVO. Der Fall verdeutlicht, dass bereits Unaufmerksamkeiten von weniger als einer Sekunde ausreichen, um Klinikträger in rechtliche Bedrängnis zu bringen.
Nach den Feststellungen des ULD hatte die betroffene Klinik eine externe Agentur mit der Erstellung des Imagefilms beauftragt. Im Rahmen der Dreharbeiten wurden CT-Bilder ehemaliger Patienten an medizinischen Geräten eingeblendet und abgefilmt, um eine authentische Arbeitsatmosphäre zu erzeugen. Obwohl die Klinik die Agentur ausdrücklich angewiesen hatte, alle identifizierenden Merkmale im Rohmaterial unkenntlich zu machen, wurde diese Vorgabe weisungswidrig ignoriert. In der finalen Schnittfassung waren für einen extrem kurzen Moment – deutlich unter einer Sekunde – der Name, das Geburtsdatum sowie das Geschlechtskürzel von zwei Patienten im Hintergrund sichtbar.
Trotz einer internen Abnahme durch die PR-Abteilung der Klinik und die Agentur blieb der Fehler zunächst unentdeckt. Das Video wurde auf mehreren Plattformen veröffentlicht und war etwa eine Woche lang online, bevor ein Klinikmitarbeiter den Verstoß zufällig bemerkte. Beim Stoppen des Videos an der entsprechenden Stelle waren die sensiblen Gesundheitsdaten gemäß Art. 9 DSGVO klar lesbar. Die Klinik reagierte umgehend, löschte das Material und stoppte weitere Veröffentlichungen. Zudem wurden die betroffenen Patienten nach Art. 34 DSGVO über die Panne informiert.
Als Konsequenz aus dem Vorfall hat die Klinik weitreichende strukturelle Änderungen angekündigt. Künftig soll eine strikte Social-Media-Richtlinie jegliche Veröffentlichung von Patientendaten – selbst in anonymisierter Form – untersagen. Zudem sind spezifische Datenschutzschulungen für das PR-Personal geplant. Das ULD nimmt diesen Fall zum Anlass, alle Einrichtungen im Gesundheitswesen zu höchster Wachsamkeit zu mahnen: Da Patientendaten als besonders schutzwürdig gelten, führen bereits kleinste Mängel in der Qualitätssicherung von Marketingprojekten zu schwerwiegenden Rechtsverstößen und möglichen Sanktionen.
