Das Claraspital Basel präsentiert die Klinik der Zukunft /> Spital Wetzikon streicht Angestellten die Ferien />

Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz mydrg.de





monetization_on

Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz

Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz (Datenschutz Hamburg).



Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des
seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010
Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten
verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der
Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb
im gleichen Jahr eingestellt.

Prof. Dr. Johannes Caspar
HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

SICHERUNG DER KRANKENAKTEN IM LEERSTEHENDEN GEBÄUDE IN BÜREN ERFOLGTE ÜBER JAHRE NICHT
Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an
den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken
mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither
zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der
Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies
habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung
führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung
ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit
in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge
mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder
mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude
verschafft hätten.

WEGEN WIEDERKEHRENDEN EINBRUCHSVERSUCHEN IN BÜREN ORDNETE HMBBFDI SOFORTIGE
VOLLZIEHBARKEIT DER GRUNDVERFÜGUNG AN
„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft
ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“
Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als
zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet.
Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt
zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden
vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der
Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen
Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer
datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den
Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in
Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende
Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der
Grundverfügung an.“

VG HAMBURG SIEHT IM BLOSSEN VORHANDENSEIN DER AKTENBESTÄNDE IN BÜREN NUR EINEN
ZUSTAN
Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung
habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der
Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung
der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der
Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der
Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße
Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein
bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante
Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei.
Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu
hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der
Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte
betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer
verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des
Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen
Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch
Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu
verlangen.“

HMBBFDI FORDERT PRÜFUNG: LAGERN VON DATEN IN EIGENEN RÄUMEN IN BÜREN GEGENÜBER
BETROFFENEN GGF. EINE VERARBEITUNG
Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen
Stelle, noch können sie die Einhaltung der erforderlichen
technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des
zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit
Daten sei „juristisch problematisch“ und dürfte bei fehlender
Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme
Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht
ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen
gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die
englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeute, welcher
den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es
erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche
Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen
Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen
könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche
Pflichten treffen“.

GESUNDHEITSDATEN EINER GROSSEN ZAHL VON EHEMALIGEN PATIENTEN VOR ORT IN BÜREN
GESICHER
„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer
großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns
mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit,
Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren
Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine
Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen
soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar,
der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den
weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und
letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich
erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg
eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am
Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse
grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders
sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch
spezifische Konzernstrukturen unterlaufen werden kann“.

Quelle: Datenschutz Hamburg, 21.08.2020

« Das Claraspital Basel präsentiert die Klinik der Zukunft | Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz | Spital Wetzikon streicht Angestellten die Ferien »

Anzeige: ID GmbH
Anzeige