OVG Hamburg: Die Verwaltung eines Grundstücks stellt keine Datenverarbeitung dar, vielmehr bedürfe es eines willensgetragenen Vorgangs, um eine Datenverarbeitung zu begründen.
Das Oberverwaltungsgericht Hamburg hat mit seinem Urteil vom 15. Oktober 2020 (Az. 5 Bs 152/20) entschieden, dass allein die Verwaltung eines Grundstücks, auf welchem sich noch alte Patientenakten eines ehemaligen Krankenhauses befinden, keine Datenverarbeitung im Sinne der DSGVO darstelle.
YouTuber findet Patientendaten in verlassenem Krankenhaus
Der dem Urteil zugrundeliegende Sachverhalt wurde durch ein Video des YouTubers „Its Marvin“ angestoßen.
Der YouTuber, dessen Videos die Erkundung verlassener Grundstücke oder Gebäude zum Gegenstand haben, entdeckte in einem verlassenen Krankenhaus neben alten Geräten auch Krankenakten der dort behandelten Patienten inklusive der Diagnose, CT-Bildern etc. In einem im Mai 2020 hochgeladenen Video sind diese Funde nur kurz gezeigt. Die Daten der Patienten sind jedoch durch eine Verpixelung unkenntlich gemacht.
Ehemalige Patienten beschwerten sich beim Landesbeauftragten über Aktenlagerung
Die Patientenakten gehörten der ehemaligen Krankenhausträgergesellschaft, die das inzwischen verlassene Krankenhaus in Nordrhein-Westfalen betrieb. Die Krankenhausträgergesellschaft musste im Jahr 2010 Insolvenz anmelden. Noch im selben Jahr wurde auch der Klinikbetrieb eingestellt.
Die Akten verblieben in den dafür während des Betriebs vorgesehenen Räumlichkeiten im Keller, ohne dass jemand diese je für einen weiteren Schutz verräumte. In der Folgezeit gab es einen Hausmeister, der auf dem Grundstück und im Gebäude gelegentlich nach dem Rechten sah. Teilweise wurde auch eine Außenkontrolle des Gebäudes durch einen Sicherheitsdienst vorgenommen. 2011 übergab der Insolvenzverwalter das in Nordrhein-Westfalen stehende Krankenhaus an die Verwaltungsgesellschaft.
Über das Video und die daraus resultierende öffentliche Aufmerksamkeit erhielten auch einige Patienten, deren Akten noch in dem Krankenhaus lagerten, Kenntnis von diesen Umständen. Die Patienten richteten ihre Beschwerden an den am Ort des Objekts zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI).
Der LDI gab die Beschwerden an den Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HBfDI) weiter, da die Muttergesellschaft der 2010 insolvent gegangenen Krankenhausträgergesellschaft in Hamburg ansässig ist.
Anordnung der Datenschutzbehörde für sofortigen Schutz zu sorgen
Auf Kontaktaufnahmen des HBfDI mit der Muttergesellschaft reagierte diese lediglich mit Hinweisen auf die örtliche Unzuständigkeit des HBfDI. Der HBfDI sicherte indes in Zusammenarbeit mit den in NRW ansässigen Ordnungsbehörden das Grundstück vor weiteren Zutritten ab.
Da weitere Reaktionen der Muttergesellschaft ausblieben, erließ der HBfDI eine Anordnung gegenüber der Muttergesellschaft. Mit der Anordnung verpflichtete der HBfDI die Muttergesellschaft sofort für einen ausreichenden Schutz der noch auf dem Grundstück lagernden personenbezogenen Daten Sorge zu tragen.
Zur Begründung führte er aus, dass die Verarbeitungsvorgänge der Muttergesellschaft nicht im Einklang mit der DSGVO stünden. Da die Muttergesellschaft Verantwortliche oder zumindest Auftragsverarbeiterin sei, sei diese auch die taugliche Adressatin. Die Aufbewahrung der Akten stelle eine Verarbeitung im Sinne der DSGVO dar, für welche keine ausreichenden technischen und organisatorischen Maßnahmen getroffen wurden.
Bloßes „Vorhandensein“ von Daten keine Datenverarbeitung im Sinne der DSGVO
Sowohl das Verwaltungsgericht Hamburg als auch das Oberverwaltungsgericht Hamburg sahen dies anders. Beide Gerichte argumentierten, dass es gerade an der Verarbeitung im Sinne der DSGVO im vorliegenden Fall fehle.
Die „Verarbeitung“ im Sinne der DSGVO
erfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Das bloße Vorhandensein von Daten auf einem Grundstück, so das Verwaltungsgericht, unterfalle keinem der genannten Vorgänge. Die Definition solle klarstellen, dass nur zurechenbare, willensgetragene menschliche Aktivitäten gemeint seien, für die dann plausibel rechtliche Verantwortlichkeiten begründet werden könnten. Einen Verarbeitungsvorgang im Sinne der DSGVO seit der Insolvenz habe der HBfDI im Verfahren ebenso wenig vorgetragen.
Der HBfDI befand, dass diese enge Auslegung des Verwaltungsgerichts nicht dem weiten in der DSGVO zum Ausdruck kommenden Verständnis der Verarbeitung gerecht würde und legte Beschwerde zum Oberverwaltungsgericht ein. Er führte in dieser weiter aus, dass es keinen Unterschied machen könne, ob Daten elektronisch abgespeichert und so „gelagert“ würden, oder ob man diese (wie im vorliegenden Fall) analog auf Papier aufbewahre. Eine solche Unterscheidung erlaube die DSGVO nicht.
Das Oberverwaltungsgericht ließ sich von diesen Ausführungen nicht überzeugen. Es bestätigte vielmehr die Entscheidung des Verwaltungsgerichts. Auch führte es aus, dass die Aufbewahrung als solche durchaus eine Verarbeitung darstellen könne. Lediglich der bloße Zustand der Lagerung, also allein das Vorhandensein der Patientenakten auf dem Grundstück, stelle keine solche Verarbeitung dar.
Das Oberverwaltungsgericht geht davon aus, dass eine Verarbeitung im Sinne der DSGVO eine menschliche Aktivität fordert. Die Definition selbst spreche bereits von einem Vorgang. Dies würde durch die weitere Vorschrift der DSGVO in Art. 30 zur Führung eines „Verzeichnis von Verarbeitungstätigkeiten“ unterstrichen werden.
Auch die Ausführungen des HBfDI, dass eine Verarbeitung weder einen Verarbeitungswillen noch ein zurechenbares menschliches Handeln erfordere, ließen das Oberverwaltungsgericht nicht an seiner Entscheidung zweifeln. Die vom HBfDI getroffene Schlussfolgerung, Datenverarbeitung sei jeder Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht, sei nicht schlüssig.
„Vorgang″ als Voraussetzung für eine Datenverarbeitung
Die Entscheidung des Oberverwaltungsgerichts zeigt, dass allein ein Vorhandensein von personenbezogenen Daten nicht zur Datenverarbeitung durch den Inhaber der Verfügungsmacht führt. Es bedarf vielmehr eines Vorgangs, der die Verarbeitung dieser Daten darstellt. Dieser Vorgang muss jedoch nicht von einem Verarbeitungswillen getragen sein. Erforderlich ist es aber, dass dieser Vorgang willensgetragenen erfolgt.
