Patientendatenschutz – wer muss sich eigentlich um „herrenlose“ Daten kümmern (Aktualisiert)

Bei einer Insolvenz werden normalerweise alle Wertgegenstände sichergestellt. Patientendaten scheinen nicht dazuzugehören, wie ein aktueller Fall zeigt.

Die Landesdatenschutzaufsicht Hamburg (LDA Hamburg) musste sich mit einem Fall befassen, bei dem Patientenakten in einem ehemaligen Krankenhaus nach der Insolvenz der Trägergesellschaft, einem Tochterunternehmen einer Betreibergesellschaft von medizinischen Einrichtungen, ohne gehörige Obhut und Schutz zurückgelassen wurden.

Nachdem sich Unberechtigte mehrfach Zugang zu den Akten verschafft hatten, ordnete die LDA Hamburg gegenüber der jetzigen Eigentümerin des Gebäudes, einer Schwestergesellschaft des ursprünglichen Krankenhausbetreibers, an, die Akten in datenschutzgerechter Weise zu lagern, und zwar sofort. Gegen die sofortige Vollziehbarkeit setzte sich die Eigentümerin erfolgreich vor dem Verwaltungsgericht Hamburg durch. Die LDA Hamburg hat hiergegen Beschwerde beim Oberverwaltungsgericht Hamburg eingelegt.

Mit Beschluss vom 15.10.2020 zum Az. 5 Bs 152/20 hat das OVG Hamburg die Entscheidung des VG Hamburg bestätigt, wonach die Anordnung gegen den Gebäudeeigentümer mangels datenschutzrechtlicher Verantwortlichkeit für die Lagerung rechtswidrig war. Es liege schon keine Datenverarbeitung, Art. 4 Nr. 2 DSGVO, vor.

Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege. Diese Ausführungen sind rechtlich nicht zu beanstanden.

Mangels Datenverarbeitung durch den Grundstückseigentümer ist dieser auch nicht Verantwortlicher, Art. 4 Nr. 7 DSGVO. Das VG hatte die Frage nach dem Verantwortlichen offen gelassen.

Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung. Der reine Besitz eines analogen Datenbestands vermöge daher weder eine einschlägige Pflichtenstellung der Antragstellerin noch entsprechende Eingriffsbefugnisse des Antragsgegners zu begründen.

Die LDA Bayern berichtete in ihrem Tätigkeitsbericht 2015/2016, S. 96 von einem ähnlichen Fall, der allerdings pragmatisch gelöst wurde: In den Gebäuden einer insolventen Klinik befanden sich in verschiedenen Räumen und Gebäudeteilen verstreut ungeordnet Patientenakten „aus allen Nutzungszeiträumen“.

Die LDA Bayern vereinbarte mit dem neuen Eigentümer, das Gelände durch einen Zaun zu sichern.

„Weiterhin wurden nach unserer Besichtigung alle Akten unter Aufsicht des Datenschutzbeauftragten des neuen Eigentümers datenschutzkonform vernichtet. Wir hielten es in diesem Fall für vertretbar, trotz eventuell in Einzelfällen möglicherweise noch laufender Aufbewahrungsfristen alle Akten der Vernichtung zuzuführen, da aufgrund der unübersichtlichen Lage und der Aktenunordnung eine manuelle Sortierung und Auswertung nicht mit verhältnismäßigen Mitteln möglich war. [...] Der Fall zeigt, dass bei der Übergabe von Datenbeständen und Geschäftsaufgaben genaue Regelungen getroffen werden sollten und auch Insolvenzverwalter ein Augenmerk auf einen sicheren und datenschutzkonformen Umgang mit den verbliebenen Akten haben sollten.“

Autor: David Seiler