Ein Youtuber dringt in ein ehemaliges, nicht mehr genutztes Krankenhausgebäude ein. Im Keller findet er Aktenräume, darin – ohne weiteres zugänglich – zahlreiche zurückgelassene Patientenakten. Der Aufschrei ist groß. Was sagt der Datenschutz? Wer ist für zurückgelassene Akten verantwortlich?

OVG Hamburg, Beeschluss vom 15.10.2020 – 5 Bs 152/20

Wie auch der vorliegende Fall zeigt, ist die Sache meist komplexer, wie viele datenschutzrechtliche Sachverhalte. Zu klären ist dabei stets: Ist überhaupt der Datenschutz tangiert? Wenn ja, wer ist verantwortlich?

Was war passiert

Im Keller eines ehemaligen Krankenhauses waren alte Akten archiviert. Die Keller waren für Dritte zugänglich. Denn das ehemalige Krankenhausgebäude verkam, obwohl noch verschiedene Hausmeister und ein Sicherheitsdienst das Objekt – jedenfalls im Außenbereich – betreuten. Immer wieder gesellten sich Dritte unbefugt in die alten Gewölbe.  

Der Landesbeauftragte für Datenschutz und Informationssicherheit des Landes Nordrhein-Westfalen wandte sich – nachdem er Kenntnis von den Patientenakten erhielt – an den Grundstückseigentümer. Nach einigem hin und her forderte er diesen schließlich durch Bescheid auf, sich um die Patientenakten zu kümmern. 

Grundstückseigentümer war eine Grundstückseigentumsgesellschaft in der Rechtsform einer GmbH. Gesellschaftsrechtlich die „Schwester“ der Krankenhausgesellschaft, die wiederum als gemeinsame „Töchter“ mit einer Aktiengesellschaft – der „Muttergesellschaft“ – verflochten waren. Die Krankenhausgesellschaft hatte die Klinik von einer Kirchengemeinde übernommen. Zwischenzeitlich war die Krankenhausgesellschaft allerdings insolvent und schließlich wegen Vermögenslosigkeit aus dem Handelsregister gelöscht worden. Übrig blieben Schwester und Mutter der Krankenhausgesellschaft und eben die Akten im Keller des Grundstücks.

Die Grundstückseigentumsgesellschaft wehrte sich also gegen die datenschutzrechtliche Anordnung. 

Wer ist verantwortlich?

Die Grundstückseigentumsgesellschaft war der Auffassung, sie sei nur Eigentümerin des Grundstücks; mit den Patientenakten habe sie – jedenfalls datenschutzrechtlich – nichts zu tun. Verantwortlich sei der Insolvenzverwalter, der auch seine Pflicht zur ordnungsgemäßen Aufbewahrung der Patientenakten verletzt habe. Beide Gerichte haben die Frage der datenschutzrechtlichen Verantwortung – sowohl die der Muttergesellschaft als auch des Insolvenzverwalters – letztlich jedoch offen gelassen ebenso wie die Frage einer analogen Anwendung von § 273 Abs. 4 Satz 1 AktG

Besitz noch kein Verarbeitungsvorgang

Denn das Oberverwaltungsgericht stieg bei der Frage ein, ob der bloße Besitz überhaupt ein Verarbeitungsvorgang sei.

Das Gericht kam zu dem Entschluss, dass es sich beim bloßen Besitz von Patientenakten zunächst nicht um einen datenschutzrechtlich relevanten Verarbeitungsvorgang handele.

„Verarbeitung“ nach Art. 4 Ziffer 2 DSGVO sei zwar jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu zähle das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Erforderlich dafür sei menschliche Aktivität, die von einem menschlichen Willen getragen sei. Das bloße Vorhandensein im Eigentum sei daher keine Verarbeitung. Wer also Patientenakten lediglich besitzt, verarbeitet noch nicht.

Der Umstand, dass wichtige und hochrangige Grundrechte betroffen sind,“ könne „nicht dazu führen, den Verarbeitungsbegriff über Art. 4 Nr. 2 DSGVO hinaus auszudehnen.

Konsequenz der Entscheidung

Natürlich bedeutet diese Entscheidung nicht, dass Ärzte und Klinikträger Patientenakten sorglos zurücklassen können. 

Verantwortlichkeiten bei Nachlass und Verkauf

Wie so oft stellt sich die Frage, nach dem richtigen Verantwortlichen. Das sollte aber keinen Beteiligten davon entlasten, sich um den (eigenen) Datenschutz zu kümmern. Meist wird es noch einen Verantwortlichen geben. Dies sollte jeder Beteiligte zwingend klären. So können sich Verantwortlichkeiten aus der Stellung als Nachfolger ergeben, unabhängig von dem Grund der potentiellen Nachfolge – beispielsweise bei Klinikkauf oder Praxiskauf. Wobei vor allem beim Kauf einer Arztpraxis die ärztliche Schweigepflicht des Verkäufers weiterhin zu beachten ist (Verbot des Verkaufs der Patientenakte). Anders sieht dies im Erbfall aus oder eben der Liquidation eines Unternehmens. Bei letzterem stellt sich allerdings die Frage nach dem Abschluss der Abwicklung – oder ob eben aufgrund datenschutzrechtlicher Vorgaben weitere Abwicklungsmaßnahmen nötig sind.

Neben dem Datenschutz können sich weitere gesetzliche und vertragliche Verpflichtungen ergeben, die bei Kauf, Verkauf, Erbe und Liquidation zu beachten sind. Allein die Ansprüche der Patienten gegen den früheren Vertragspartner, beispielsweise auf Einsicht in die Patientenakte oder Schadenersatz, können noch Jahre fortbestehen. Aufbewahrungspflichten ergeben sich aus zahlreichen weiteren gesetzlichen Vorgaben.

Neben den Patientenakten können schließlich weitere Regelungen auch über personenbezogene Akten wie solche der Mitarbeiter erforderlich sein.

Datenschutz im Gesundheitswesen

Die Fragen betreffen nicht nur Kliniken und Krankenhäuser, Ärzte und Zahnärzte. Auch zahlreiche weitere Leistungserbringer müssen sorgsam mit Patientenakten umgehen. Das schließt Regelungen bei Beendigung oder Nachfolge der Tätigkeit mit ein. So müssen beispielsweise auch Unternehmen in Krankentransport und Notfallrettung (Rettungsdienst) bei einem „Wachwechsel“ Vorkehrungen für ihre Notfallprotokolle treffen.

Eine pauschale Antwort ist nicht möglich. Es ist stets eine Einzelfallbetrachtung vorzunehmen.