| DATENSCHUTZWISSEN

Patientendatenschutz – wer muss sich eigentlich um „herrenlose“ Daten kümmern

Bei einer Insolvenz werden normalerweise alle Wertgegenstände sichergestellt. Patientendaten scheinen nicht dazuzugehören, wie ein aktueller Fall zeigt.

Die Landesdatenschutzaufsicht Hamburg (LDA Hamburg) musste sich mit einem Fall befassen, bei dem Patientenakten in einem ehemaligen Krankenhaus nach der Insolvenz der Trägergesellschaft, einem Tochterunternehmen einer Betreibergesellschaft von medizinischen Einrichtungen, ohne gehörige Obhut und Schutz zurückgelassen wurden.

Nachdem sich Unberechtigte mehrfach Zugang zu den Akten verschafft hatten, ordnete die LDA Hamburg gegenüber der jetzigen Eigentümerin des Gebäudes, einer Schwestergesellschaft des ursprünglichen Krankenhausbetreibers, an, die Akten in datenschutzgerechter Weise zu lagern, und zwar sofort. Gegen die sofortige Vollziehbarkeit setzte sich die Eigentümerin erfolgreich vor dem Verwaltungsgericht Hamburg durch. Die LDA Hamburg hat hiergegen Beschwerde beim Oberverwaltungsgericht Hamburg eingelegt.

Man darf gespannt sein, ob aus der gesellschaftsrechtlichen Verbindung oder der Eigentümerstellung eine datenschutzrechtliche Verantwortlichkeit erwächst. Oder ist die berufsrechtliche Aufbewahrungspflicht bei der Muttergesellschaft oder den ursprünglich leitenden Ärzten geblieben und folgt dem die datenschutzrechtliche Verantwortlichkeit? Die Lagerung der Akten als Datenverarbeitungsvorgang könnte der entscheidende Punkt sein. Das Verwaltungsgericht hatte damit argumentiert, dass die Lagerung der Patientenakten in dem Gebäude der Krankenghauseigentümerin kein Verarbeitungsvorgang sei, der unter die DSGVO falle, sondern dass es sich um einen bloßen Zustand handele. Die Lagerung von Papierakten von Patientendaten stellt jedoch eine Speicherung dar, weil diese Akten mit Sicherheit mit einem Ordnungssystem gelagert werden und damit in den Anwendungsbereich der DSGVO fallen.

Es wird eine spannende Frage sein, ob das Oberverwaltungsgericht in dieser Weise argumentieren wird. Oder evtl. schließt der DSGVO-Verordnungsgeber in der ohnehin gerade laufenden Evaluierung der DSGVO die eventuell vorhandene Schutzlücke dahingehend, dass im Insolvenzfall eines Verantwortlichen die Pflichten auf eine evtl. vorhandene Muttergesellschaft übergehen. Die LDA Bayern berichtete in ihrem Tätigkeitsbericht 2015/2016, S. 96 von einem ähnlichen Fall, der allerdings pragmatisch gelöst wurde: In den Gebäuden einer insolventen Klinik befanden sich in verschiedenen Räumen und Gebäudeteilen verstreut ungeordnet Patientenakten „aus allen Nutzungszeiträumen“.

Die LDA Bayern vereinbarte mit dem neuen Eigentümer, das Gelände durch einen Zaun zu sichern.

„Weiterhin wurden nach unserer Besichtigung alle Akten unter Aufsicht des Datenschutzbeauftragten des neuen Eigentümers datenschutzkonform vernichtet. Wir hielten es in diesem Fall für vertretbar, trotz eventuell in Einzelfällen möglicherweise noch laufender Aufbewahrungsfristen alle Akten der Vernichtung zuzuführen, da aufgrund der unübersichtlichen Lage und der Aktenunordnung eine manuelle Sortierung und Auswertung nicht mit verhältnismäßigen Mitteln möglich war. [...] Der Fall zeigt, dass bei der Übergabe von Datenbeständen und Geschäftsaufgaben genaue Regelungen getroffen werden sollten und auch Insolvenzverwalter ein Augenmerk auf einen sicheren und datenschutzkonformen Umgang mit den verbliebenen Akten haben sollten.“

Autor: David Seiler

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.