- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
DSGVO: Lagerung von Patientenakten stellt keine Datenverarbeitung dar
Patientendaten im Krankenhaus sind besonders schützenswert und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Aber nicht jeder Vorgang, bei dem solche Patientendaten betroffen sind, stellt auch eine Datenverarbeitung dar, die unter die Regelungen der Datenschutzgrundverordnung (DSGVO) fällt. Das Oberverwaltungsgericht Hamburg entschied mit seinem Beschluss vom 15. Oktober 2020 (Az.: 5 Bs 152/20), dass die bloße Lagerung von alten Patientenakten keine Datenverarbeitung im Sinne der DSGVO ist.
Hintergrund
Im vergangenen Jahr sorgte ein Video des Youtubers „ItsMarvin“ im Netz für Aufsehen. Er filmte sich dabei, wie er ein verlassenes Krankenhaus in der Stadt Büren betrat. Hierbei entdeckte der Youtuber im Keller des Krankenhauses eine Vielzahl von älteren Patientenakten. Diese hatte der ehemalige Betreiber unzensiert und ungesichert zuvor dort eingelagert. Das Krankenhaus stand seit rund zehn Jahren leer. Der ehemalige Betreiber ging insolvent, das Grundstück mit dem Gebäude fiel auf den ursprünglichen Eigentümer zurück. Dieser kümmerte sich nicht mehr um die Immobilie. Im Laufe der Jahre betreuten verschiedene Hausmeister das Gebäude.
Nachdem das Video weitere mediale Aufmerksamkeit erlangte, legten ehemalige Patienten Beschwerde bei den datenschutzrechtlichen Aufsichtsbehörden ein. Der zuständige hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, ordnete schließlich an, dass die Grundstücksgesellschaft als Eigentümerin des verlassenen Krankenhauses die dort befindlichen Akten nach den Regeln des Datenschutzrechts entsprechend zu schützen und zu lagern habe. Der Datenschutzbeauftragte war der Ansicht, die Grundstückseigentümerin sei Verantwortlicher im Sinne der DSGVO.
Begründung des OVG Hamburg für seinen Beschluss
Hiergegen wehrte sich die Grundstücksgesellschaft vor Gericht und bekam vom Verwaltungsgericht Hamburg in einem vorläufigen Verfahren Recht. Auch die darauf erhobene Beschwerde des Datenschutzbeauftragten war nicht erfolgreich: Das OVG Hamburg bestätigte diese Entscheidung und wies die Beschwerde des Datenschutzbeauftragten am 15. Oktober 2020 zurück. Die Lagerung der Patientenakten durch die Grundstückeigentümerin sei keine Datenverarbeitung im Sinne der DSGVO. Die bloße Lagerung sei nicht mit einem Auslesen, Abfragen, Bereitstellen oder Löschen von Daten gleichzusetzen. Demnach seien die örtlichen Behörden für den Fall zuständig.
Der Datenschutzbeauftragte Prof. Dr. Caspar nahm daraufhin die Anordnung zurück, allerdings nicht ohne Kritik an der Entscheidung zu äußern: der Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen. Das Gericht habe den Begriff der Verarbeitung zu eng ausgelegt. Der Beschluss würde nach Ansicht des Datenschutzbeauftragten erhebliche Rechtslücken für Grundrechte betroffener Personen hinterlassen. Durch den Beschluss reiche anscheinend ein bloßes Nichtstun des neuen Eigentümers aus, um eine datenschutzrechtliche Verantwortlichkeit auszuschließen. Dadurch liefen die Regeln der DSGVO ins Leere, da insbesondere die Datenschutzrechte der Betroffenen auf Auskunft und Löschung nicht geltend gemacht werden könnten.
Den Beschluss des OVG Hamburg in voller Länge finden Sie hier: https://justiz.hamburg.de/contentblob/14563474/4412454194f6066413132c9c7eb82f43/data/5bs152-20.pdf
Co-Autor: Wissenschaftlicher Mitarbeiter - Ref. jur. Philipp Schmelz
Bildquelle: Image by Birgit Böllinger from Pixabay
