Patientenakten in Büren ohne Datenschutz - HmbBfDI legt Beschwerde beim OVG Hamburg ein

Patientenakten in Büren ohne Datenschutz - HmbBfDI legt Beschwerde beim OVG Hamburg ein

21.08.2020 VG Hamburg

In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren werden seit 2010 ungesichert tausende von Krankenakten gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, hatte 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt. Der Insolvenzverwalter gab das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurück. Das Krankenhausgelände wurde seither zeitweilig durch einen Hausmeister betreut. Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.

Über diesen Fall wurde im Mai 2020 auf YouTube detailliert berichtet. Dieses erzielte eine breite Medienwirksamkeit. Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten. Zudem wurde die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten, die sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hatten.

Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben. Dieser leitete in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen ein. Dennoch kam es zu erneuten Versuchen unbefugter Personen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies machte die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich.

Mit Bescheid vom 23.6.2020 ordnete der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, an, die Krankenakten in einer datenschutzgerechten Weise zu lagern und, um die Rechte von Betroffenen an den Daten zu sichern, diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung gab das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung statt, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht. Der Beschluss ist unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen. Die verengende Auslegung des Begriffs der Verarbeitung ist geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reicht demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen. Sie haben weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten ist juristisch problematisch und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, die das Verwaltungsgericht vorliegend offenbar nicht in Betracht zieht, kann hier weiterhelfen: Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeutet, der den Verarbeitungsbegriff in der DSGVO konkretisiert. Im Übrigen begegnet es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden kann, der dann insolvenzbedingt untergehen kann, ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend. Der Beschluss des VG Hamburg wirft viele Fragen auf, die insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschweren. Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt. Gleichzeitig muss grundsätzlich geklärt werden, dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann.“


Pressekontakt
Telefon: +49 40 428 54-4044
E-Mail: