Reuschlaw

Urteil: Krebs­re­gis­ter in Ham­burg ver­stößt gegen Datenschutz

Pra­xis­re­le­van­te Ent­schei­dung zu den recht­li­chen Risi­ken bei der Ver­ar­bei­tung von Gesundheitsdaten

In einer Ent­schei­dung vom 28.07.2022 (Az. 21 K 1802/21) hat das Ver­wal­tungs­ge­richt (VG) Ham­burg fest­ge­stellt, dass das Ham­bur­gi­sche Krebs­re­gis­ter gegen den Daten­schutz ver­stößt. Die Regis­ter­be­hör­de wur­de des­halb ver­ur­teilt, die Daten der Klä­ge­rin zu löschen. Die Ent­schei­dung hat eine hohe Pra­xis­re­le­vanz. Her­stel­ler und Betrei­ber von Medi­zin­pro­duk­ten soll­ten die Ent­schei­dung daher eben­so zur Kennt­nis neh­men wie ande­re Unter­neh­men, die Gesund­heits­da­ten verarbeiten.

Pseud­ony­mi­sie­rung und Personenbezug

Im Rechts­streit mit der Regis­ter­be­hör­de ver­lang­te die Klä­ge­rin unter ande­rem die Löschung ihrer per­so­nen­be­zo­ge­nen Daten aus dem Krebs­re­gis­ter. Nach­dem die Behör­de ihre Klar­text­da­ten gelöscht hat­te, war strei­tig, ob es sich bei den ver­blie­be­nen Daten noch um per­so­nen­be­zo­ge­ne Daten han­del­te. Das VG Ham­burg hat dies bejaht, da nach Auf­fas­sung des Gerichts anhand der Rest­da­ten immer noch eine Zuord­nung zu einer spe­zi­fi­schen betrof­fe­nen Per­son mög­lich war. Selbst wenn kei­ne Namen oder ande­re direk­te Iden­ti­fi­ka­to­ren mehr gespei­chert sind, kön­nen, gera­de bei sel­te­nen Erkran­kun­gen, ver­blei­ben­de Rest­da­ten aus­rei­chen, um einen Per­so­nen­be­zug her­zu­stel­len. Unter­neh­men, die pseud­ony­mi­sier­te oder anony­mi­sier­te Gesund­heits­da­ten ver­ar­bei­ten, soll­ten die­sen Aspekt im Auge behal­ten und kri­tisch hin­ter­fra­gen, ob die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, die eine Pseud­ony­mi­sie­rung oder Anony­mi­sie­rung gewähr­leis­ten, dem Stand der Tech­nik ent­spre­chen und aus­rei­chend sicher sind.

Hohe Hür­den für die Ver­ar­bei­tung von Gesundheitsdaten

Bei Gesund­heits­da­ten han­delt es sich um eine beson­de­re Kate­go­rie per­so­nen­be­zo­ge­ner Daten, die nach der DSGVO nur unter stren­gen Vor­aus­set­zun­gen ver­ar­bei­tet wer­den dür­fen. Für Gesund­heits­da­ten gibt es meh­re­re Rechts­grund­la­gen, die eine Ver­ar­bei­tung auf Grund­la­ge mit­glieds­staat­li­chen Rechts den­noch erlau­ben. Ihnen gemein ist, dass die Ver­ar­bei­tung erfor­der­lich, d.h. ver­hält­nis­mä­ßig, sein muss. Das VG Ham­burg sah die Aus­nah­men zwar im vor­lie­gen­den Fall als ein­schlä­gig an, bemän­gel­te jedoch, dass kei­ne aus­rei­chen­den Min­dest­ga­ran­tien für den Schutz von Daten im Ham­bur­gi­schen Krebs­re­gis­ter­ge­setz selbst gere­gelt wur­den. Das VG Ham­burg kommt daher zum Ergeb­nis, dass die per­so­nen­be­zo­ge­nen Daten der Beklag­ten zu Unrecht ver­ar­bei­tet wur­den. Unter­neh­men ver­ar­bei­ten Gesund­heits­da­ten in der Regel zwar nicht zur Wah­rung öffent­li­cher Inter­es­sen, soll­ten aber zur Kennt­nis neh­men, dass Gerich­te das tat­säch­li­che Vor­lie­gen einer Rechts­grund­la­ge zur Ver­ar­bei­tung von Gesund­heits­da­ten detail­liert prüfen.

Aus­kunfts­an­spruch

Eine Über­ra­schung stellt die Auf­fas­sung des Gerichts zum Zeit­punkt der von der Klä­ge­rin eben­falls ein­ge­for­der­ten Aus­kunft nach Art. 15 DSGVO dar. Nach Auf­fas­sung der Kam­mer bezieht sich der Anspruch nur auf die im Zeit­punkt der letz­ten münd­li­chen Ver­hand­lung noch ver­ar­bei­te­ten Daten. Dem­nach könn­te der Ver­ant­wort­li­che sich des Anspruchs selbst nach Kla­ge­er­he­bung noch durch Löschung ent­le­di­gen. Aller­dings soll­ten Unter­neh­men sich dar­auf kei­nes­wegs ver­las­sen. Es han­delt sich nicht um höchst­rich­ter­li­che Recht­spre­chung und es ist frag­lich, ob ande­re Gerich­te und ins­be­son­de­re der EuGH die­ser Auf­fas­sung fol­gen würden.

Risi­ken auch für Unternehmen

Das VG Ham­burg hat die Regis­ter­be­hör­de dazu ver­ur­teilt, die Daten der Klä­ge­rin zu löschen. Die­se Rechts­fol­ge kann auch in ande­ren Fäl­len dro­hen, in denen Daten ohne aus­rei­chen­de Rechts­grund­la­ge ver­ar­bei­tet wer­den. Zwar mag die Löschung eines ein­zel­nen Daten­sat­zes ver­schmerz­bar sein. Han­delt es sich jedoch, wie im vor­lie­gen­den Fall, um einen Feh­ler, der die gesam­te Daten­ver­ar­bei­tung betrifft, kann eine Löschung gan­zer Daten­ban­ken erfor­der­lich sein. Eine feh­len­de Daten­ba­sis für eine kli­ni­sche Stu­die oder die Wei­ter­ent­wick­lung eines Medi­zin­pro­dukts kann für Unter­neh­men ein Worst-Case-Szenario mit weit­rei­chen­den wirt­schaft­li­chen Fol­gen sein. Das Urteil unter­streicht damit, wie wich­tig Datenschutz-Compliance zur Mini­mie­rung von wirt­schaft­li­chen Risi­ken ist. 

Haus­nach­richt

Für den 15.–16. Juni 2023 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence mit uns und mit Ver­tre­te­rin­nen und Ver­tre­tern aus der Wirt­schaft, den Auf­sichts­be­hör­den und der Wis­sen­schaft über tech­ni­sche und recht­li­che Her­aus­for­de­run­gen und Lösun­gen für Cyber­si­cher­heit zu dis­ku­tie­ren. Neben Trends und Zukunfts­the­men, wie Software-Lieferketten, Künst­li­che Intel­li­genz oder cyber­phy­si­sche Öko­sys­te­me, ste­hen auch die Bezü­ge zum Daten­schutz und IT-Recht auf der Agen­da. Jetzt anmel­den!

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.