Nach Skandal in Büren: Datenschutzbeauftragter verliert vor Gericht – Hamburger Klinik-Betreiber muss Akten nicht sichern
„Datenschutz läuft ins Leere“

Büren (WB). Die Stadt Büren bleibt vorläufig auf den Patientenakten sitzen, die im Keller des vor zehn Jahren geschlossenen St.-Nikolaus-Hospitals lagern. Zumindest sieht das Oberverwaltungsgericht (OVG) Hamburg die Verantwortung zur Sicherung der Patientendaten nicht bei der Grundstückseigen­tümerin, der MK-Kliniken AG mit Sitz in Hamburg. Das OVG hat eine Beschwerde des Hamburger Beauftragten für Datenschutz und Informationsfreiheit, Johannes Caspar, zurückgewiesen und damit dessen Anordnung als rechtswidrig eingestuft, wie Caspar mitteilte.

Montag, 26.10.2020, 22:00 Uhr
Vor zehn Jahren ist das Bürener St.-Nikolaus-Hospital geschlossen worden. Seitdem steht es leer, Pläne für eine Nachfolgenutzung sind nicht bekannt. Die Grundstückseigentümerin, die MK-Kliniken AG, muss die Patientenakten nicht schützen. Foto: Oliver Schwabe
Vor zehn Jahren ist das Bürener St.-Nikolaus-Hospital geschlossen worden. Seitdem steht es leer, Pläne für eine Nachfolgenutzung sind nicht bekannt. Die Grundstückseigentümerin, die MK-Kliniken AG, muss die Patientenakten nicht schützen.

Zur Erinnerung: Im Juni hatte der Hamburger Datenschützer die Grundstückseigentümerin angewiesen, die Krankenakten datenschutzgerecht zu verwahren und vor unbefugtem Zugriff zu sichern. Dagegen hatten sich die MK-Kliniken beim Verwaltungsgericht (VG) Hamburg erfolgreich zur Wehr gesetzt. Gegen den Beschluss des VG hatte der Datenschützer wiederum Beschwerde eingereicht und war nun erneut unterlegen. Die MK-Kliniken haben damit nicht nur vor dem Verwaltungsgericht Hamburg, sondern nun auch in zweiter Instanz Recht bekommen.

„Dieses Ergebnis ist insbesondere für die Datenschutzrechte Betroffener auf Auskunft oder Löschung höchst problematisch, da insoweit das Datenschutzrecht leer läuft. Daher werden sich die Ordnungsbehörden über den Verbleib der Akten kümmern müssen“, kommentiert Datenschützer Johannes Caspar die Entscheidung des OVG Hamburg.

Youtuber Marvin deckte Skandal im Mai auf

Den Skandal um die Bürener Patientenakten hatte im Mai dieses Jahres Youtuber It’s Marvin aufgedeckt. Er war in das leerstehende Gebäude eingedrungen, hatte die Akten gefilmt und sein Video auf der Internetplattform Youtube veröffentlicht. Strafrechtlich wird er dafür nicht belangt, weil der Hausfriedensbruch nicht innerhalb der gesetzlichen Frist von drei Monaten angezeigt worden ist. Um die Sicherung der Patientenakten kümmert sich seither die Stadt Büren. Anfallende Kosten sollten nach Klärung der Zuständigkeit in Rechnung gestellt werden. Laut OVG Hamburg liegt die Verantwortlichkeit nun aber bei den örtlichen Ordnungsbehörden. Das Gericht begründet seine Entscheidung – wie auch schon das VG – damit, dass im Sinne der Datenschutzverordnung (DSGVO) kein „Verarbeitungsvorgang“ hinsichtlich der Akten vorliege.

„Die in den Kellerräumen des ehemaligen Krankenhauses in großer Zahl lagernden Kranken­akten werden nach Auffassung des OVG weder verarbeitet noch ist die Eigentümerin verantwortliche Stelle. Folglich besteht keine Zuständigkeit für die Datenschutzaufsichtsbehörden, zum Schutz der Patientendaten einzuschreiten. Das Gericht hält stattdessen mit der Vorinstanz die lokalen Ordnungsbehörden für zuständig“, erläutert Caspar in einer Stellungnahme. Unter „Verarbeitung“ versteht das Gericht unter anderem ein Erheben, Erfassen, Organisieren, Auslesen oder Speichern personenbezogener Daten. Die bloße Einlagerung sei kein Verarbeitungsvorgang.

Verbleib der Akten

Nach dem Urteil des OVG Hamburg bleibt die Frage „Was passiert nun mit den Akten im ehemaligen Bürener Krankenhaus?“ weiterhin offen. Dazu teilt die Stadt Büren mit: „Angesichts der weiterhin komplexen Situation wird sich die Stadt Büren mit den zuständigen Behörden des Landes NRW abstimmen. Der Beschluss des OVG Hamburg wirft viele Fragen auf, die insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschweren. Gleichzeitig muss grundsätzlich geklärt werden, dass ein umfassender Schutz gerade von besonders sensiblen Daten gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann.“

...

Im jetzt gefassten OVG-Beschluss ging es zunächst um die Anordnung der Hamburger Datenschützer, die Akten vor unbefugtem Zugriff zu sichern. Es gebe keine Möglichkeit, gegen die getroffene Entscheidung Rechtsmittel einzulegen, schreibt Caspar. Das Bundesverwaltungsgericht könne sich erst mit dem Fall Büren befassen, wenn ein Hauptverfahren die Instanzengerichte, deren Auffassungen durch die vorliegenden Entscheidungen bereits bekannt seien, durchlaufen habe. Dies würde Jahre in Anspruch nehmen. Daher habe der Hamburgische Beauftragte für Datenschutz den Verwaltungsakt aufgehoben. „Der Fall zeigt, dass eine restriktive Auffassung zum Verarbeitungsbegriff erhebliche Rechtsschutzlücken gerade gegenüber besonders sensiblen Patientendaten von insolventen Kliniken reißt. Dies führt zu einem Leerlauf des Datenschutzes und hat erhebliche Auswirkungen auf das Grundrecht der informationellen Selbstbestimmung“, resümiert Caspar.

Er unterstützte Überlegungen des Landes NRW, die Verantwortung für die Patientenakten künftig in einem Krankenhausgesetz zu verankern. Caspar: „Es kann nicht sein, dass in Sonntagsreden immer wieder von der besonderen Bedeutung des Datenschutzes die Rede ist und gleichzeitig durch gesellschaftsrechtliche Konstruktionen die Verantwortung gerade von besonders sensiblen Patientendaten durch das zu weite Rost der datenschutzrechtlichen Regelungen fällt.“ Nun sei der Gesetzgeber am Zuge, entsprechende Regelungen über ein Krankenhausgesetz oder auf Bundesebene durch die Insolvenzverordnung oder das Bürgerliche Gesetzbuch einzuführen und den grundrechtlich geforderten Schutz der Patientendaten zu schaffen. „Das wird in Zukunft dazu führen, Fälle einer mehr oder weniger organisierten Verantwortungslosigkeit gegenüber Patientendaten auszuschließen. Für die Betroffenen im Fall Büren dürfte dies nun jedoch leider zu spät kommen“, schreibt Caspar.

Stadt Büren setzt Überwachung fort

Die Stadt Büren schließt sich der Auffassung der Datenschutzbehörde ausdrücklich an und sieht eine Aushöhlung des Datenschutzes. In Abstimmung mit den Datenschutzbehörden habe die Stadt verschiedene Sicherungsmaßnahmen umgesetzt, die bis auf weiteres Bestand hätten: Außer einer Alarmsicherung wurden am Gebäude Maßnahmen getroffen, um die Daten vor unbefugten Zugriffen zu schützen. Diese Überwachung werde weiterhin kontinuierlich fortgesetzt, bis eine endgültige Lösung gefunden ist, teilte die Stadt mit. Die monat­lichen Kosten dafür lägen im unteren dreistelligen Bereich.

Aktenzeichen: 5bs 152/20

Kommentare

Diese Diskussion ist geschlossen. Kommentieren ist nicht mehr möglich.
 
https://event.yoochoose.net/news/705/consume/10/2/7649627?categorypath=%2F2%2F2158585%2F2158590%2F2198384%2F2198401%2F2851064%2F
„Ein rabenschwarzer Tag für Bielefeld“
Die Bahnhofstraße am Samstagnachmittag: Viele Menschen waren unterwegs, aber deutlich weniger als am „Black Friday“, dem Tag der Schnäppchenjäger.
Nachrichten-Ticker