Praxisrelevante Entscheidung zu den rechtlichen Risiken bei der Verarbeitung von Gesundheitsdaten
In einer Entscheidung vom 28.07.2022 (Az. 21 K 1802/21) hat das Verwaltungsgericht (VG) Hamburg festgestellt, dass das Hamburgische Krebsregister gegen den Datenschutz verstößt. Die Registerbehörde wurde deshalb verurteilt, die Daten der Klägerin zu löschen. Die Entscheidung hat eine hohe Praxisrelevanz. Hersteller und Betreiber von Medizinprodukten sollten die Entscheidung daher ebenso zur Kenntnis nehmen wie andere Unternehmen, die Gesundheitsdaten verarbeiten.
Pseudonymisierung und Personenbezug
Im Rechtsstreit mit der Registerbehörde verlangte die Klägerin unter anderem die Löschung ihrer personenbezogenen Daten aus dem Krebsregister. Nachdem die Behörde ihre Klartextdaten gelöscht hatte, war streitig, ob es sich bei den verbliebenen Daten noch um personenbezogene Daten handelte. Das VG Hamburg hat dies bejaht, da nach Auffassung des Gerichts anhand der Restdaten immer noch eine Zuordnung zu einer spezifischen betroffenen Person möglich war. Selbst wenn keine Namen oder andere direkte Identifikatoren mehr gespeichert sind, können, gerade bei seltenen Erkrankungen, verbleibende Restdaten ausreichen, um einen Personenbezug herzustellen. Unternehmen, die pseudonymisierte oder anonymisierte Gesundheitsdaten verarbeiten, sollten diesen Aspekt im Auge behalten und kritisch hinterfragen, ob die technischen und organisatorischen Maßnahmen, die eine Pseudonymisierung oder Anonymisierung gewährleisten, dem Stand der Technik entsprechen und ausreichend sicher sind.
Hohe Hürden für die Verarbeitung von Gesundheitsdaten
Bei Gesundheitsdaten handelt es sich um eine besondere Kategorie personenbezogener Daten, die nach der DSGVO nur unter strengen Voraussetzungen verarbeitet werden dürfen. Für Gesundheitsdaten gibt es mehrere Rechtsgrundlagen, die eine Verarbeitung auf Grundlage mitgliedsstaatlichen Rechts dennoch erlauben. Ihnen gemein ist, dass die Verarbeitung erforderlich, d.h. verhältnismäßig, sein muss. Das VG Hamburg sah die Ausnahmen zwar im vorliegenden Fall als einschlägig an, bemängelte jedoch, dass keine ausreichenden Mindestgarantien für den Schutz von Daten im Hamburgischen Krebsregistergesetz selbst geregelt wurden. Das VG Hamburg kommt daher zum Ergebnis, dass die personenbezogenen Daten der Beklagten zu Unrecht verarbeitet wurden. Unternehmen verarbeiten Gesundheitsdaten in der Regel zwar nicht zur Wahrung öffentlicher Interessen, sollten aber zur Kenntnis nehmen, dass Gerichte das tatsächliche Vorliegen einer Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten detailliert prüfen.
Auskunftsanspruch
Eine Überraschung stellt die Auffassung des Gerichts zum Zeitpunkt der von der Klägerin ebenfalls eingeforderten Auskunft nach Art. 15 DSGVO dar. Nach Auffassung der Kammer bezieht sich der Anspruch nur auf die im Zeitpunkt der letzten mündlichen Verhandlung noch verarbeiteten Daten. Demnach könnte der Verantwortliche sich des Anspruchs selbst nach Klageerhebung noch durch Löschung entledigen. Allerdings sollten Unternehmen sich darauf keineswegs verlassen. Es handelt sich nicht um höchstrichterliche Rechtsprechung und es ist fraglich, ob andere Gerichte und insbesondere der EuGH dieser Auffassung folgen würden.
Risiken auch für Unternehmen
Das VG Hamburg hat die Registerbehörde dazu verurteilt, die Daten der Klägerin zu löschen. Diese Rechtsfolge kann auch in anderen Fällen drohen, in denen Daten ohne ausreichende Rechtsgrundlage verarbeitet werden. Zwar mag die Löschung eines einzelnen Datensatzes verschmerzbar sein. Handelt es sich jedoch, wie im vorliegenden Fall, um einen Fehler, der die gesamte Datenverarbeitung betrifft, kann eine Löschung ganzer Datenbanken erforderlich sein. Eine fehlende Datenbasis für eine klinische Studie oder die Weiterentwicklung eines Medizinprodukts kann für Unternehmen ein Worst-Case-Szenario mit weitreichenden wirtschaftlichen Folgen sein. Das Urteil unterstreicht damit, wie wichtig Datenschutz-Compliance zur Minimierung von wirtschaftlichen Risiken ist.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!