OVG Hamburg: Bloße Lagerung von Patientenakten ist noch keine Datenverarbeitung = keine DSGVO-Verantwortlichkeit

16.11.2020

Die bloße Einlagerung von ärztlichen Patientenakten durch eine Grundstücksgesellschaft führt nicht dazu, dass die Firma auch diese Daten verarbeitet. Vielmehr liegt in diesen Fällen keine Verantwortlichkeit nach der DSGVO vor (OVG Hamburg, Beschl. v. 15.10.2020 - Az.: 5 Bs 152/20).

Der Fall hatte im Mai 2020 für viel Aufsehen erregt. Der YouTuber ItsMarvin  hatte entdeckt, dass tausende sensibler Krankenakten in einem seit zehn Jahren geschlossenen Hospital ohne nähere Absicherung herumlagen, vgl. dazu den Bericht im Westfalen-Blatt.

Der Hamburgischer Datenschutzbeauftragte, der für den vorliegenden Fall verantwortlich war, erließ gegen die Gesellschaft, die das Grundstück, auf dem das ehemalige Krankenhaus steht, verwaltet, eine datenschutzrechtliche Anordnung, sofort für einen entsprechenden Schutz der Daten herzustellen. 

Dagegen wehrte sich die Firma. Verantwortlich sei nicht sie, sondern der ehemalige Insolvenzverwalter, den eine entsprechende Haftung treffe. Sie verwalte lediglich das Grundstück und habe nur bloße Zugangsrechte, mehr aber nicht.

Sowohl das VG Hamburg als auch OVG Hamburg gaben der Klägerin Recht und hoben die behördliche Anordnung auf. Denn es fehle bereits an einer Datenverarbeitung durch die Klägerin:

"Mit diesem Vorbringen werden die Ausführungen des Verwaltungsgerichts nicht erschüttert.

Das Verwaltungsgericht hat entgegen der Darstellung des Antragsgegners keine Unterscheidung zwischen der Speicherung und Aufbewahrung von Daten getroffen und ist insbesondere nicht davon ausgegangen, dass die Aufbewahrung von Akten keine Datenverarbeitung im Sinne der Datenschutzgrundverordnung darstellen könne.

Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege. 

Diese Ausführungen sind rechtlich nicht zu beanstanden. Auch das Beschwerdegericht geht davon aus, dass eine „Verarbeitung“ (...) eine Handlung im Sinne einer menschlichen Aktivität erfordert (...). Dafür spricht bereits der Wortlaut der Vorschrift, die Verarbeitung als „ausgeführten Vorgang oder jede solche Vorgangsreihe“ bezeichnet. Auch die englische („processing means any operation or set of operations which is performed“) und französische Sprachfassung („traitement, toute operation ou tout ensemble d'operations effectuees“) stützen diese Auffassung. Art. 30 Abs. 1 und 2 DSGVO sprechen sogar ausdrücklich von einem „Verzeichnis aller Verarbeitungstätigkeiten“ bzw. einem „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“, das von den Verantwortlichen bzw. den Auftragsverarbeitern zu führen ist.

Auch ansonsten besteht Einigkeit, dass die Definition des Verarbeitungsbegriffs einen „Umgang“ mit personenbezogenen Daten voraussetzt (...). Entgegen der Auffassung des Antragsgegners können auch bei diesem Verständnis sowohl die Speicherung als auch die Aufbewahrung von personenbezogenen Daten ohne weiteres als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO verortet werden, da in beiden Fällen eine menschliche Handlung bzw. eine Zustandsveränderung stattfindet: Bei nicht körperlichen Akten wird im Computer der Befehl „Speichern“ erteilt; körperliche Akten werden zur Aufbewahrung etwa in einem dafür vorgesehenen Raum eingelagert."

Auch aus der Tatsache, dass ein physischer Zugriff möglich sei, ergebe sich keine Verantwortlichkeit:

"Das Verwaltungsgericht hat dazu ausgeführt, die Antragstellerin sei nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO, weil nicht ersichtlich sei, dass sie alleine oder gemeinsam mit der (...)-Kliniken AG die Entscheidungshoheit über das „Ob“ und „Wie“ einer Datenverarbeitung gehabt haben könne.

Die Überwachung der Liegenschaft durch die Hausmeister und den Sicherheitsdienst mit Billigung der Antragstellerin sowie die Rückgabe der Schlüssel für das Klinikgebäude reiche in diesem Zusammenhang nicht aus. Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung."

Gegenüber der Presse erklärte der Hamburgische Datenschutzbeauftragte, dass er inzwischen die Anordnung zurückgenommen habe.