Patientenfotos und DSGVO: Wenn Dokumentation zum Risiko wird
Ein mangelhafter Umgang mit Patientenfotos ist nicht nur ein Datenschutzproblem, sondern vor allem ein Problem der Dokumentation. Aus Dokumentationslücken werden DSGVO-Risiken, wenn eine Praxis nicht mehr verlässlich nachvollziehen kann, wo Patientenbilder gespeichert sind, wofür sie verwendet werden und wer darauf zugreifen darf.
Viele Praxen verstehen Datenschutz-Compliance als etwas, das nachträglich über bestehende Abläufe gelegt wird. Doch wenn der Dokumentationsprozess selbst fehlerhaft ist, fehlt die stabile Grundlage für Compliance.
In der ästhetischen Medizin haben Fotografien eine besondere Rolle. Sie sind klinische Aufzeichnungen, personenbezogene Daten, sensible Gesundheitsinformationen und in vielen Praxen auch kommerziell wertvolle Inhalte. Doch bevor daraus eine rechtliche Frage wird, entsteht zuerst eine Frage der Dokumentation.
Die Datenschutzrisiken rund um Patientenbilder entstehen selten durch bewusste Nachlässigkeit. Häufiger entstehen sie durch Dokumentationsprozesse, die nie darauf ausgelegt waren, Bilder sachgerecht zu verwalten: Aufnahme durch wechselnde Mitarbeitende, Speicherung dort, wo es im Alltag am einfachsten erscheint, Einwilligung als Teil allgemeiner Formulare, Zugriff über geteilte Ordner ohne klare Rollen oder Protokollierung. Hier liegt das eigentliche Problem, aus dem die Compliance-Risiken erst entstehen.
Warum Bilder keine gewöhnlichen Patientendaten sind
Die meisten Patientendaten sind strukturiert: Namen, Daten, Behandlungscodes. Bilder sind anders. Sie können von Natur aus identifizierend sein, sind häufig hochsensibel und leicht aus ihrem ursprünglichen Kontext zu lösen. Ein Foto des Gesichts einer Person vor und nach einer kosmetischen Behandlung ist keine gewöhnliche Datei. Es ist eine sensible Gesundheitsinformation, die mit einer bestimmten Person verknüpft ist und sich leichter kopieren, weiterleiten und aus dem ursprünglichen Kontext lösen lässt als viele Textdaten.
Nach der DSGVO und dem Schweizer Datenschutzgesetz (DSG) sind Bilder identifizierbarer Personen personenbezogene Daten. Ästhetische Vorher-Nachher-Fotos können unter die besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO fallen, wenn sie Informationen über Gesundheit, Behandlung oder körperlichen Zustand offenlegen, was im klinisch-ästhetischen Kontext häufig der Fall ist. Das bedeutet strengere Anforderungen an Rechtsgrundlage, Speicherbegrenzung, Zugangskontrolle und Rechtemanagement. Jede Schwachstelle im Dokumentationsprozess ist damit nicht nur ein klinisches Problem, sondern auch eine rechtliche Risikoposition. Während sich DSGVO-Bussen in der Regel gegen das Unternehmen richten, können Bussen nach dem Schweizer DSG bis zu CHF 250'000 betragen und direkt die verantwortliche natürliche Person treffen, etwa die für die Datenbearbeitung verantwortliche Person oder die Geschäftsleitung, insbesondere bei vorsätzlichen Verstössen.
Die vier Variablen einer prüffähigen Bilddokumentation
Vor der Compliance-Frage steht eine grundlegendere Frage: Sind die Bilder überhaupt verlässlich dokumentiert? Ästhetische Ergebnisse zeigen sich im Vergleich: eine geglättete Falte, ein verändertes Hautbild, eine harmonischere Kontur. Doch diese Vergleiche sind nur aussagekräftig, wenn die Bilder von Anfang an konsistent aufgenommen wurden. Dafür müssen vier Variablen bei jeder Aufnahme kontrolliert werden.
| Variable | Klinische Auswirkung | Relevanz |
|---|---|---|
| Licht | Verändert wahrgenommene Textur und Volumen | Schwächt den Beweiswert der Dokumentation |
| Distanz | Verzerrt Proportionen zwischen Sitzungen | Vorher-Nachher-Vergleich verliert an Aussagekraft |
| Orientierung | Verschiebt scheinbare Symmetrie und Kontur | Dokumentation bildet nicht mehr dieselbe Ansicht ab |
| Ausdruck | Überdeckt oder übertreibt Behandlungseffekt | Untergräbt den Dokumentationszweck |
Für eine vertiefte Betrachtung, wie diese Variablen die Vergleichbarkeit beeinträchtigen, siehe Warum Patientenfotos über Besuche hinweg nicht vergleichbar werden.
Wo Praxen unbeabsichtigt Risiken erzeugen
Bilder auf privaten Endgeräten
Wenn Behandelnde Patientenfotos auf privaten Smartphones aufnehmen oder empfangen, verlassen diese Bilder sofort die Kontrolle der Praxis. Sie können automatisch in persönlichen Cloud-Speichern gesichert, nach Ende des Beschäftigungsverhältnisses behalten oder über nicht prüfbare Kanäle weitergegeben werden. Das ist nicht nur ein Speicherproblem. Es ist ein Strukturproblem der Dokumentation.
Bildaustausch per Messenger oder E-Mail
Werden Patientenfotos über WhatsApp, herkömmliche E-Mail oder unverschlüsselte Kanäle versendet oder empfangen, etwa wenn Patientinnen und Patienten selbst Verlaufsbilder von zu Hause schicken, entstehen Kopien auf mehreren Servern, in persönlichen Accounts und möglicherweise in Archiven Dritter. Die Praxis kann diese Kopien kaum noch zuverlässig kontrollieren, und in der Regel fehlt eine ausdrückliche Einwilligung für genau diesen Übertragungsweg. Sobald ein Bild auf diese Weise übertragen wird, verliert die Praxis die Kontrolle über den Dokumentationspfad.
Speicherung ohne Zugangskontrolle
Ein geteilter Ordner mit Zugang für alle Praxismitarbeitenden ist keine kontrollierte Patientenakte. Bilder benötigen Zugriffsrechte, die den klinischen Bedarf widerspiegeln. Ohne sie kann die Praxis keine ordnungsgemässe Verwaltung ihrer eigenen Dokumentation nachweisen.
Fehlende Einwilligungsdifferenzierung
Die Einwilligung für klinische Fotodokumentation muss von Einwilligungen für andere Verwendungen getrennt werden, etwa für Schulung, Marketing, Fallstudien oder Patientenportale. Wenn Einwilligungen gebündelt oder ohne ausdrückliche Zustimmung vorausgesetzt werden, entstehen bei der Einwilligung dieselben Lücken wie bei den Bildern selbst: kein klarer Nachweis, kein definierter Umfang und keine verlässliche Möglichkeit, einen Widerruf umzusetzen.
Die Grundsätze für den Dokumentations-Workflow
Zweckbindung
Bilder, die für die klinische Dokumentation aufgenommen werden, sollten nur für diesen Zweck verwendet werden. Jede weitere Verwendung erfordert einen gesonderten Einwilligungsnachweis und eine klare Rechtsgrundlage. Beides muss Teil des Dokumentationssystems sein, nicht separat verwaltet werden.
Datenminimierung
Es sollte nur das aufgenommen werden, was der klinische Zweck erfordert. Wird ein Ganzkörperfoto erstellt, obwohl ein Gesichtsfoto genügt, ist das unverhältnismässig und erschwert die Datenverwaltung.
Speicherbegrenzung
Bilder sollten nur so lange aufbewahrt werden, wie es klinisch und rechtlich erforderlich ist. Ohne eine bildspezifische Aufbewahrungsrichtlinie bleibt unklar, wann Bilder gelöscht, archiviert oder weiter aufbewahrt werden müssen.
Sicherheit
Patientenfotos gehören in Systeme mit Zugangskontrolle, Prüfprotokoll und verschlüsselter Speicherung, mit demselben Standard, der für alle anderen besonderen Kategorien von Gesundheitsdaten gilt.
Rechtemanagement
Patienten haben Rechte an ihren Daten: Auskunft, Berichtigung und unter bestimmten Umständen Löschung. Diese Rechte lassen sich nur umsetzen, wenn das Dokumentationssystem so strukturiert ist, dass Bilder auffindbar und verwaltbar sind.
Was strukturierte Dokumentation verändert
Eine speziell für klinische Fotodokumentation entwickelte Plattform wie evooia geht das Problem an der Wurzel an. Statt Compliance-Funktionen nachträglich auf einen mangelhaften Prozess zu setzen, ersetzt sie ihn durch einen strukturierten.
Das bedeutet konkret:
- Kontrollierte Erfassung: geführte Fotoaufnahmen bei jeder Sitzung, sodass Licht, Distanz, Orientierung und Ausdruck konsistent bleiben und der Bildbestand vergleichbar und prüffähig ist
- Zentrale Speicherung: Bilder an einem zentralen Ort mit klar definierten Aufbewahrungsregeln, nicht verteilt auf Geräte und private Accounts
- Rollenbasierter Zugang: Zugriffsrechte, die den klinischen Bedarf widerspiegeln, nicht die Bequemlichkeit des Praxisalltags
- Einwilligungs-Workflows: integriert in den Prozess, mit nachvollziehbarem Umfang und Status pro Patientenakte
- Abrufbarkeit: Bilder sind so mit der Patientenakte verknüpft, dass individuelle Anfragen umsetzbar sind. Mehr dazu: Wie evooia klinische Fotodokumentation strukturiert
- Prüffähigkeit: nachvollziehbarer Nachweis, wer wann auf welche Bilder unter welcher Einwilligung zugegriffen hat
Das bedeutet nicht, dass eine Praxis nicht länger über Datenschutz nachdenken muss. Es macht die Ausgangsposition strukturiert statt ad hoc, was zugleich die richtige Richtung für Compliance und eine tragfähigere Grundlage für die klinische Arbeit darstellt.
Hinweis zu Schweizer Rechtsrahmen und evooia
evooia wird in der Schweiz entwickelt und speichert die Daten in der Schweiz, in einer Umgebung, die auf Workflows nach DSGVO und Schweizer Datenschutzgesetz (DSG) ausgerichtet ist. Daten werden verschlüsselt in Schweizer Microsoft-Rechenzentren gespeichert. Zugriffsrechte werden rollenbasiert vergeben, Einwilligungen werden dokumentiert.
Häufig gestellte Fragen
Welche Konsequenzen drohen bei unsachgemässem Umgang mit Patientenfotos nach DSGVO und Schweizer Recht?
Bussen können erheblich sein, und eine persönliche Haftung ist möglich. Nach DSGVO drohen Bussen bis EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes (gegen das Unternehmen). Nach dem Schweizer DSG können Bussen bis CHF 250'000 direkt die verantwortliche natürliche Person treffen, insbesondere bei vorsätzlichen Verstössen. Hinzu kommen Reputationsschäden und behördliche Untersuchungen.
Dürfen Patientenfotos für Marketingzwecke verwendet werden?
Nur mit ausdrücklicher, gesondert eingeholter Einwilligung für diesen spezifischen Zweck. Die klinische Einwilligung erstreckt sich nicht auf Marketingnutzung. Die Einwilligung muss konkret, informiert, freiwillig erteilt und einfach widerrufbar sein.
Was sollte eine Praxis als Mindestmassnahme umsetzen?
Die Aufnahme und Übermittlung von Patientenbildern über private Geräte und unverschlüsselte Kanäle sollte eingestellt werden. Stattdessen sollte ein System mit zentraler Speicherung, rollenbasierter Zugangskontrolle und einem Einwilligungs-Workflow eingesetzt werden, der die klinische Verwendung klar von jeder anderen unterscheidet.
Nächster Schritt
Patientenfotos richtig dokumentieren
evooia unterstützt Praxen mit einem strukturierten Standard für Aufnahme, Speicherung und Abruf von Patientenfotos. Konzipiert für DSGVO- und Schweizer DSG-Workflows.