Die Lagerung von Patientenakten in einem ehemaligen Krankenhaus stellt nach Ansicht der hamburgischen Gerichtsbarkeit keine Datenverarbeitung dar. Dies hat den HmbBfDI daran gehindert, wirksame Schutzmaßnahmen für ein umfassendes Aktenarchiv durchzusetzen. Es ist ungewiss, wie diese Rechtsschutzlücke zu schließen ist.
Eine Krankenhausträgergesellschaft in Büren (NRW) meldete im April 2010 Insolvenz an, im Oktober desselben Jahres wurde der Klinikbetrieb eingestellt. Der Insolvenzverwalter gab die Krankenhausimmobilie im Jahr 2011 an eine Grundstücksgesellschaft zurück, die eine 100%ige Tochter des Krankenhauskonzerns ist, welcher auch die Krankenhausträgergesellschaft in Büren gehörte. Nach Einstellung des Klinikbetriebs verblieben die in Papierform geführten Behandlungsdokumentationen (Patientenakten) in zwei auch ursprünglich zur Unterbringung der Akten vorgesehenen Kellerräumen. Das Krankenhausgebäude stand in der Folgezeit leer und wurde zeitweise durch unterschiedliche Hausmeister betreut.
Im Mai 2020 betrat ein Youtuber das ehemalige Krankenhausgebäude einschließlich der beiden im Keller befindlichen Aktenräume, wobei er auf die zurückgelassenen Patientenakten stieß. Das hierüber veröffentliche Video sorgte für ein breites mediales Echo sowie für datenschutzrechtliche Beschwerden ehemaliger Patienten. Der HmbBfDI hat umgehend versucht, das in Hamburg ansässige Mutterunternehmen zu veranlassen, die Patientenakten angemessen zu sichern. Dies scheiterte nicht zuletzt an einer Verweigerungshaltung des Klinikkonzerns. Dieser antwortete lediglich mit dem Hinweis auf die aus seiner Sicht fehlende örtliche Zuständigkeit des HmbBfDI.
In der Folge hat der HmbBfDI eine Anordnung erlassen, mit der der Grundstücksgesellschaft aufgegeben wurde, die Unterlagen angemessen zu sichern und die Erfüllung datenschutzrechtlicher Auskunftsansprüche sicherzustellen. Die Anordnung wurde für sofort vollziehbar erklärt, wogegen die Grundstücksgesellschaft Rechtsschutz beim VG Hamburg suchte.
Das Gericht hat dem Antrag mit Beschluss vom 30.7.2020 (17 E 2756/20) stattgegeben. Zur Begründung führte es im Wesentlichen aus, dass der Ausdruck „Verarbeitung“ nach der in Art. 4 Ziffer 2 DSGVO enthaltenen Begriffsbestimmung jeden Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezeichne wie das Erheben, das Erfassen, die Speicherung usw. Das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex unterfalle nicht den Anforderungen an den Begriff der Datenverarbeitung. Der Begriff des „Vorgangs“ zeige an, dass Verarbeitung nicht einen Zustand, sondern eine Handlung, also die Veränderung eines Zustands, beschreibe. Eine Verarbeitung erfordere damit die Überführung eines Zustands in einen anderen Zustand.
Der HmbBfDI hält diese Rechtsauffassung für problematisch. Sie entzieht die personenbezogenen Daten in Form von Patientenakten dem Datenschutzrecht, weil der bisherige Verarbeiter in Insolvenz ging.
Dies führt in der Folge zu einem Zustand der datenschutzrechtlichen Verantwortungslosigkeit in der Hinsicht, dass kein Verantwortlicher mehr existiert und Anfragen ehemaliger Patienten ins Leere laufen. Sie müssen schlicht nicht mehr beantwortet werden. Da das VG Hamburg mit dieser Rechtsauffassung juristisches Neuland beschritten hat, legte der HmbBfDI Beschwerde zum OVG Hamburg ein. Mit Beschluss vom 15.10.2020 (5 Bs 152/20) hat das OVG Hamburg jedoch die Auffassung des Verwaltungsgerichts bestätigt. Der Beschluss enthält keine nennenswerten eigenen Erwägungen, sondern schließt sich den Ausführungen des VG Hamburg an.
Auch wenn diese Rechtsauffassung aus Sicht des HmbBfDI bedauerlich ist und nur schwer zu rechtfertigende Schutzlücken für das Grundrecht auf Datenschutz reißt, war einzusehen, dass der HmbBfDI sich mit seiner Gegenansicht nicht durchsetzen konnte, da eine weitere Beschwerde gesetzlich nicht vorgesehen ist. Der HmbBfDI hat daher die Anordnung aufgehoben und der Stadt Büren mitgeteilt, dass man gerichtlich daran gehindert sei, datenschutzrechtliche Anforderungen durchzusetzen.
Die Entscheidungen der hamburgischen Verwaltungsgerichtsbarkeit wurden in der juristischen Fachpresse kritisch besprochen. Es bleibt abzuwarten, ob sich diese Auffassung durchsetzen wird. Für den Schutz der personenbezogenen Daten und die Rechte von Patienten wäre dies jedenfalls ein nicht unerheblicher Rückschritt.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks