Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog Artikel
Ein bisschen wie Dagobert Duck im Geldbad wühlt sich der YouTuber „ItsMarvin“ in seinem Video „Lostplaces: Unglaublich“ durch sämtliche Krankenakten des seit zehn Jahren geschlossenen St.-Nikolaus-Hospitals in Büren. Zusammen mit seinen Begleitern findet er dort unter anderem Tausende sensibler Daten, die bis heute jedem kleinen Entdecker und Abenteurer durch leichtes Eindringen in das längst verlassene Krankenhaus zugänglich waren. Röntengenbilder, Therapie und Behandlungsverlauf - in wenigen Minuten zugänglich, denn der Sicherheitsdienst des Gebäudes sei wohl kein Problem gewesen
Für Aufregung hatte das Video vor allem in der „Büren“-Facebookgruppe gesorgt. Denn dort fragten sich die Bewohner, wie es in Zeiten wie diesen, wo doch Datenschutz immer wichtiger werde, der Zugriff auf eine solch große Aktenmenge überhaupt noch möglich gewesen sei.
Gegen den YouTuber wird nun wegen Hausfriedensbruch ermittelt - aber ist die eigentliche Frage nicht, wie solch hochsensible Daten einfach so zugänglich gemacht werden konnten?
Nach Angaben der Kassenärztlichen Vereinigung NRW besteht grundsätzlich eine mindestens zehnjährige Aufbewahrungspflicht für Patientenakten.
Doch was, wenn das Krankenhaus „leer“ steht und das Gebäude nun zu einer Grundstücksgesellschaft gehört?
Das Problem ist, dass in diesen besonderen Fällen keine Verantwortlichkeit nach der Datenschutz-Grundverordnung (DSGVO) vorliegt (OVG Hamburg, Beschl. v. 15.10.2020 - Az.: 5 Bs 152/20), denn das alleinige Einlagern von ärztlichen Patienakten ist noch lange keine vollendete Datenverarbeitung.
Der hamburgerische Datenschutzbeauftragte, welchem dieser Fall zugeteilt wurde, erlies deshalb gegen die verantwortliche Gesellschaft des Grundstücks, auf welchem sich das verlassene Krankenhaus befindet, sofort eine datenschutzrechtliche Anordnung. Dadurch sollten die entsprechenden Daten schnellstmöglich sichergestellt werden.
Doch das Problem schien die Firma nicht auf ihre „Kappe“ nehmen zu wollen, denn sie sähen sich selbst weit außerhalb der Verantwortung. Ihr Job wäre es das Grundstück lediglich zu verwalten und dabei hätten sie anscheinend selbst „nur“ bloße Zugangsrechte - mehr aber auch nicht. Die Verantwortlichkeit läge einzig und allein bei dem ehemalige Insolvenzverwalter, den eine entsprechende Haftung treffen solle.
Sowohl das VG Hamburg als auch OVG Hamburg gaben der Klägerin Recht und hoben die behördliche Anordnung auf.
Denn es fehle bereits an einer Datenverarbeitung durch die Klägerin:
"Mit diesem Vorbringen werden die Ausführungen des Verwaltungsgerichts nicht erschüttert.
Das Verwaltungsgericht hat entgegen der Darstellung des Antragsgegners keine Unterscheidung zwischen der Speicherung und Aufbewahrung von Daten getroffen und ist insbesondere nicht davon ausgegangen, dass die Aufbewahrung von Akten keine Datenverarbeitung im Sinne der Datenschutzgrundverordnung darstellen könne.
Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege.
Diese Ausführungen sind rechtlich nicht zu beanstanden. Auch das Beschwerdegericht geht davon aus, dass eine „Verarbeitung“ (...) eine Handlung im Sinne einer menschlichen Aktivität erfordert (...). Dafür spricht bereits der Wortlaut der Vorschrift, die Verarbeitung als „ausgeführten Vorgang oder jede solche Vorgangsreihe“ bezeichnet. Auch die englische („processing means any operation or set of operations which is performed“) und französische Sprachfassung („traitement, toute operation ou tout ensemble d'operations effectuees“) stützen diese Auffassung. Art. 30 Abs. 1 und 2 DSGVO sprechen sogar ausdrücklich von einem „Verzeichnis aller Verarbeitungstätigkeiten“ bzw. einem „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“, das von den Verantwortlichen bzw. den Auftragsverarbeitern zu führen ist.
Auch ansonsten besteht Einigkeit, dass die Definition des Verarbeitungsbegriffs einen „Umgang“ mit personenbezogenen Daten voraussetzt (...). Entgegen der Auffassung des Antragsgegners können auch bei diesem Verständnis sowohl die Speicherung als auch die Aufbewahrung von personenbezogenen Daten ohne weiteres als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO verortet werden, da in beiden Fällen eine menschliche Handlung bzw. eine Zustandsveränderung stattfindet: Bei nicht körperlichen Akten wird im Computer der Befehl „Speichern“ erteilt; körperliche Akten werden zur Aufbewahrung etwa in einem dafür vorgesehenen Raum eingelagert.“
Und obwohl die Security bei dem YouTuber und seinen Kumpanen wohl etwas „gepennt“ hat und ein physischer Zugriff auf die Daten nur zu leicht möglich gewesen ist, ergebe sich daraus trotzdem nicht der Grund einer Verantwortlichkeit:
"Das Verwaltungsgericht hat dazu ausgeführt, die Antragstellerin sei nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO, weil nicht ersichtlich sei, dass sie alleine oder gemeinsam mit der (...)-Kliniken AG die Entscheidungshoheit über das „Ob“ und „Wie“ einer Datenverarbeitung gehabt haben könne.
Die Überwachung der Liegenschaft durch die Hausmeister und den Sicherheitsdienst mit Billigung der Antragstellerin sowie die Rückgabe der Schlüssel für das Klinikgebäude reiche in diesem Zusammenhang nicht aus. Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung.“
Gegenüber der Presse erklärte der Hamburgische Datenschutzbeauftragte, dass er inzwischen die Anordnung zurückgenommen habe und läuft im Gegensatz zu „ItsMarvin“ ins Leere.
Die Stadt Büren schließt sich jedoch der Auffassung der Datenschutzbehörde an und fordert eine Aushöhlung des Datenschutzes. Bereits jetzt wurde in kürzester Zeit verschiedene Sicherungsmaßnahmen getätigt, wie eine Alarmsicherung, die das Gebäude und die personenbezogenen Daten vor unbefugten Übergriffen sichern soll.
Für Anfragen zu einer Rechtsberatung im Datenschutzecht stehen wir Ihnen mit unseren erfahrenen Anwälten für Datenschutzrecht und zertifizierte Datenschutzbeauftragten sehr gerne zur Verfügung. Unser Team berät Sie fachlich kompetent und kaufmännisch zielorientiert.
Bitte melden Sie sich bei uns. Wir freuen wir uns auf Ihre Kontaktaufnahme.