Bloße Einlagerung von Patientenakten ist keine Datenverarbeitung iSd. DSGVO

Oberverwaltungsgericht Hamburg

Beschluss v. 15.10.2020 - Az.: 5 Bs 152/20

Leitsatz

Bloße Einlagerung von Patientenakten ist keine Datenverarbeitung iSd. DSGVO 

Tenor

In der Verwaltungsrechtssache (...) hat das Hamburgische Oberverwaltungsgericht, 5. Senat, am 15. Oktober 2020 durch beschlossen: 

Die Beschwerde des Antragsgegners gegen den Beschluss des Verwaltungsgerichts Hamburg vom 30. Juli 2020 wird zurückgewiesen.

Der Antragsgegner trägt die Kosten des Beschwerdeverfahrens.

Der Wert des Streitgegenstandes für das Beschwerdeverfahren wird auf 2.500,- Euro festgesetzt.

Entscheidungsgründe

I.

Die Antragstellerin begehrt einstweiligen Rechtsschutz gegen eine datenschutzrechtliche Anordnung.
Die Antragstellerin, eine in der Rechtsform einer Gesellschaft mit beschränkter Haftung betriebene Grundstücksgesellschaft, ist Eigentümerin der Liegenschaft an der     straße 25 in     , Nordrhein-Westfalen (Flur XX, Flurstück XXXX). Sie ist die (ehemalige) Schwestergesellschaft der     -     GmbH, einer Krankenhausträgergesellschaft. Im Zuge des Erwerbs des zuvor von einer Kirchengemeinde betriebenen Krankenhauses übernahm die Krankenhausträgergesellschaft im Jahr 2005 den Krankenhausbetrieb, während das Grundstück in das Eigentum der Antragstellerin überging. Bei beiden Gesellschaften handelt(e) es sich um 100 %-ige Tochtergesellschaften der    Kliniken AG (heute: . ...¬ Kliniken AG), welche ihren Registersitz in Berlin und ihren Hauptverwaltungssitz in Hamburg hat.

Die Krankenhausträgergesellschaft, die    -    GmbH, meldete im April 2010 Insolvenz an, im Oktober desselben Jahres wurde der Klinikbetrieb eingestellt. Der Insolvenzverwalter gab die Krankenhausimmobilie im Jahr 2011 an die Antragstellerin zurück. Mit Beschluss des Amtsgerichts Paderborn vom 21. Februar 2014 wurde das Insolvenzverfahren aufgehoben und am 22. Mai 2014 erfolgte die Löschung der     -     GmbH im Handelsregister wegen Vermögenslosigkeit.

Nach Einstellung des Klinikbetriebs verblieben die in Papierform geführten Behandlungsdokumentationen (Patientenakten) in zwei auch ursprünglich zur Unterbringung der Akten vorgesehenen Kellerräumen. Das Krankenhausgebäude stand in der Folgezeit leer und wurde zeitweise durch unterschiedliche Hausmeister betreut. Zuletzt führte auch ein Sicherheitsdienst Außenkontrollen an dem Gebäude durch.

Am 10. Mai 2020 betrat ein Youtuber das ehemalige Krankenhausgebäude einschließlich der beiden im Keller befindlichen Aktenräume, wobei er auf die zurückgelassenen Patientenakten stieß. Das hierüber auf der Videoplattform „youtube“ auf dem Kanal „    “ hochgeladene Video (    ) sorgte neben einem breiten medialen Echo auch für datenschutzrechtliche Beschwerden ehemaliger Patienten. Einen solchen Beschwerdevorgang leitete der Landesbeauftragte für Datenschutz und Informationssicherheit des Landes Nordrhein-Westfalen am 2. Juni 2020 mit der Begründung an den Antragsgegner weiter, dass die Beschwerde sich gegen die in Hamburg ansässige ..-Kliniken AG, die (ehemalige) Muttergesellschaft der insolventen     -    GmbH richte.

Die seither von dem Antragsgegner unternommenen Versuche, mit Verantwortlichen der Antragstellerin bzw. der ..-Kliniken AG zur Klärung und zur Etablierung von Abhilfemaßnahmen in Kontakt zu treten, blieben im Wesentlichen fruchtlos: Telefonische Bitten um Rückruf blieben ohne Reaktion oder wurden (auch) von der Geschäftsführerin der Antragstellerin, bei der es sich zugleich um die Datenschutzbeauftragte der ..-Kliniken AG handelt, zurückgewiesen oder nicht entgegengenommen. Auf eine mit der Bitte um Rückruf an die Datenschutzbeauftragte der ..-Kliniken AG gerichtete E-Mail vom 3. Juni 2020 antworte diese mit E-Mail vom 5. Juni 2020 lediglich mit dem Hinweis auf die aus ihrer Sicht fehlende örtliche Zuständigkeit des Antragsgegners.

In der Zwischenzeit unternahmen die vor Ort zuständigen Ordnungsbehörden in Abstimmung mit dem Antragsgegner (bauliche) Maßnahmen zur Sicherung des Gebäudes und insbesondere zur Verhinderung des Zutritts Unbefugter zu den Aktenräumen. Nachdem es zu weiteren Versuchen des unbefugten Eindringens durch Dritte gekommen war, beauftragten die Ordnungsbehörden auf ein entsprechendes Amtshilfeersuchen des Antragsgegners zwischenzeitlich eine 24-Stunden-Überwachung durch einen privaten Sicherheitsdienst.
Mit Schreiben unter dem 12. Juni 2020 setzte der Antragsgegner die Antragstellerin und die -Kliniken AG jeweils von dem beabsichtigten Erlass eines datenschutzrechtlichen Anweisungsbescheids in Kenntnis und gab diesen Gelegenheit zur Stellungnahme.

Der jetzige Verfahrensbevollmächtigte der Antragstellerin führte mit Schreiben vom 22. Juni 2020 im Wesentlichen aus, der ehemalige Insolvenzverwalter habe seine Pflicht zur ordnungsgemäßen Aufbewahrung der Patientenakten verletzt. Da die Akten Bestandteil der Insolvenzmasse seien und das Insolvenzverfahren aufgrund der weiter bestehenden Aufbewahrungspflichten nicht hätte beendet werden dürfen, sei der Weg der Nachtragsliquidation einzuschlagen. Darüber hinaus bestehe eine persönliche datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters.

Am 23. Juni 2020 erließ der Antragsgegner einen auf Art. 58 Abs. 2 lit. d Datenschutzgrund-verordnung (DSGVO) gestützten Bescheid mit u.a. folgenden Inhalt:

„1. Die Grundstücksgesellschaft    mbH    wird angewiesen,
a.    die in den Räumen des ehemaligen     -    , Liegenschaft an der
    straße in     (Flur .., Flurstück XXXX), gelagerten Patientenakten unter Verantwortung eines Arztes oder einer Ärztin an einem Ort einzulagern, an dem die Akten durch ihrem hohen Schutzbedarf entsprechende bauliche oder organisatorische Sicherungsmaßnahmen gegen unbefugten Zugriff und vor Verlust, Zerstörung oder Schädigung geschützt sind; [...]
b.    Die sofortige Vollziehung der getroffenen Anweisung zu Nr. 1 a wird angeordnet.“

Zur Begründung führte der Antragsgegner im Wesentlichen aus, die tatbestandlichen Voraussetzungen des Art. 58 Abs. 2 lit d DSGVO, dass Verarbeitungsvorgänge des Verantwortlichen oder Auftragsverarbeiters nicht im Einklang mit der Verordnung stünden, seien erfüllt. Die Antragstellerin sei taugliche Adressatin des Bescheides, da sie Verantwortlicher oder Auftragsverarbeiter sei. Für die von Art. 4 Ziffer 7 DSGVO vorausgesetzte Entscheidungsbefugnis der Antragstellerin spreche die Überwachung der Liegenschaft sowie der Rückerhalt sämtlicher Schlüssel. Durch die konkrete Aufbewahrung der Patientenakten liege ein Verarbeitungsvorgang vor, der nicht im Einklang mit Art. 32 DSGVO stehe. Die besondere Gefahrenlage für die gelagerten Datenbestände rechtfertige die Anordnung der sofortigen Vollziehung.

Hiergegen hat die Antragstellerin mit Antrag vom 26. Juni 2020 um einstweiligen Rechtsschutz nachgesucht. Zur Begründung hat sie ihre Ausführungen aus der Stellungnahme vom 22. Juni 2020 wiederholt und vertieft. Eine eigene datenschutzrechtliche Verantwortlichkeit folge nicht aus dem Umstand, dass sie das Klinikgelände in den vergangenen Jahren habe überwachen lassen. Die Überwachung habe sich allein auf die Sicherung des Objekts sowie auf die Wahrung ihrer Verkehrssicherungspflichten bezogen.
Der Antragsgegner hat im Wesentlichen auf die enge personelle sowie gesellschaftsrechtliche Verflechtung zwischen der insolventen Krankenhausträgergesellschaft, der      GmbH, der Antragstellerin sowie der (ehemaligen) Konzernmutter -Kliniken AG verwiesen.

Am 6. Juli 2020 hat die Antragstellerin Klage erhoben (Az. 17 K 2876/20).

Mit Beschluss vom 30. Juli 2020 hat das Verwaltungsgericht dem Antrag stattgegeben und die aufschiebende Wirkung der Klage der Antragstellerin wiederhergestellt.

Dagegen richtet sich die Beschwerde des Antragsgegners.

II.

Die zulässige Beschwerde bleibt ohne Erfolg. Die mit ihr dargelegten Gründe, die das Beschwerdegericht gemäß § 146 Abs. 4 Satz 6 VwGO allein zu prüfen hat, rechtfertigen es nicht, den Beschluss des Verwaltungsgerichts nach Maßgabe des Beschwerdeantrags zu ändern.

1. Die Beschwerde bleibt schon deshalb erfolglos, weil sie nicht die selbständig tragende Feststellung des Verwaltungsgerichts erschüttert, bei der bloßen Einlagerung der Aktenbestände in dem im Eigentum der Antragstellerin stehenden Klinikgebäude handele es sich nicht um einen (der Antragstellerin zurechenbaren) Verarbeitungsvorgang im Sinne der Datenschutzgrundverordnung.

Das Verwaltungsgericht hat dazu ausgeführt, nach der in Art. 4 Ziffer 2 DSGVO enthaltenen Begriffsbestimmung bezeichne der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 

Das bloße Vorhandensein der Aktenbestände in dem im Eigentum der Antragstellerin stehenden Gebäudekomplex unterfalle bereits keiner der insofern beispielhaft genannten Modalitäten der Datenverarbeitung. Aber auch nach dem Begriffsverständnis der allgemeinen „Verarbeitungsdefinition“, die im Kern einen im Zusammenhang mit personenbezogenen Daten stehenden Vorgang oder eine Vorgangsreihe beschreibe, könne es sich bei der Einlagerung bzw. letztlich dem bloßen Vorhandensein von Datenbeständen nicht um eine Erscheinungsform der Datenverarbeitung handeln. Der Begriff des „Vorgangs“ zeige an, dass Verarbeitung nicht einen Zustand, sondern eine Handlung (also die Veränderung eines Zustands) beschreibe. Eine Verarbeitung überführe einen Zustand (insbesondere der Datenkenntnis und -struktur) in einen anderen Zustand. Die Begrifflichkeiten stellten damit klar, dass es sich um eine zurechenbare, willensgetragene menschliche Aktivität handele, für die dann plausibel rechtliche Verantwortlichkeiten begründet werden könnten. Dies sei in Bezug auf die hier seit Einstellung des Krankenhausbetriebes im Jahr 2010 ununterbrochen in den Kellerräumen untergebrachten Akten nicht der Fall. 

Es sei weder vorgetragen noch anderweitig ersichtlich, dass diese zwischenzeitlich - d.h. nach Einstellung des Krankenhausbetriebes - noch einmal Gegenstand eines von dem Begriffsverständnis der Datenschutzgrundverordnung umfassten Verarbeitungsvorgangs gewesen seien, also eine im vorgenannten Sinne relevante Zustandsveränderung erfahren haben könnten. Dem Vorbringen des Antragsgegners sei auch nicht zu entnehmen, dass er von einer Zurechnung der noch während des laufenden Krankenhausbetriebes durch die insolvente.-     -     GmbH    erfolgten Datenverarbeitungsvorgänge, insbesondere der behandlungsspezifischen Erhebungs- und Speicherungsprozesse, ausgehe.

a)    Dagegen wendet der Antragsgegner mit seiner Beschwerde zunächst ein, die vom Verwaltungsgericht Hamburg gesehene Notwendigkeit des Vorliegens einer Handlung überzeuge bereits angesichts des Wortlauts der gesetzlichen Definition nicht. Die Datenschutzgrundverordnung definiere die Verarbeitung in Art. 4 Nr. 2 als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Datenverarbeitung sei nach dieser Definition jeder Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten stehe. Sie erfasse nicht nur typische Datenverwendungen wie die Speicherung, Übermittlung oder Veränderung von Daten, sondern sämtliche Formen des Umgangs mit personenbezogenen Daten von der Erhebung bis zur endgültigen Vernichtung. 

Der Anwendungsbereich sei daher denkbar weit gefasst. Dass ein Vorgang tatsächlich nur eine Handlung im Sinne einer menschlichen Aktivität sein solle, könne dabei weder der gesetzlichen abstrakten Definition entnommen werden, noch sprächen die in der Datenschutzgrundverordnung genannten Beispiele selbst für diese Einschätzung. Diese Beispiele seien nicht abschließend, sondern exemplarisch. Bei systematischer Auslegung der Legaldefinition im Lichte der genannten Regelbeispiele sei davon auszugehen, dass andere, nicht ausdrücklich genannte Vorgänge jedenfalls dann als Verarbeitung bzw. zunächst als Vorgang anzusehen seien, wenn sie ähnlicher Natur seien oder keine gravierenden Abweichungen zu den genannten Regelbeispielen aufwiesen. Insoweit könne die Annahme des Verwaltungsgerichts Hamburg, ein Vorgang müsse eine menschliche Handlung sein, die exemplarisch genannte Speicherung nicht sinnvoll verorten. 

Eine solche Speicherung umfasse die Aufbewahrung personenbezogener Daten in verkörperter Form auf einem Datenträger (wie zum Beispiel einer Festplatte, einem Server, USB-Stick etc.) mit dem Ziel, die Daten zu einem späteren Zeitpunkt weiterverarbeiten zu können. Unerheblich sei dabei, ob sich der Datenträger im Eigentum, Besitz oder unter der Verfügungsgewalt des Verantwortlichen befinde. Entscheidend sei, dass er auf die gespeicherten Daten zugreifen könne, weshalb auch auf Cloud-Servern verkörperte Daten „gespeichert“ seien. Nach der Definition des Verwaltungsgerichts Hamburg wäre dies hingegen zweifelhaft, denn eine solche Aufbewahrung sei dann keine Handlung, sondern ein Vorgang, der einem Zustand näher sei als ein menschliches aktives Tun. Bereits dies spreche evident dafür, dass die eingrenzende Auslegung des Verwaltungsgerichts Hamburg nicht zutreffend sein könne. Sofern die in Streit stehenden Patientenakten bei ansonsten identischen Sachverhalt nicht analog archiviert, sondern auf der Festplatte eines Servers innerhalb des gleichen Raumes des    gespeichert worden wären, fehlte es ebenfalls nicht an der Annahme der tatbestandlichen Voraussetzungen eines Vorgangs, schon da die Datenschutzgrundverordnung die Speicherung legal definiere (Art. 4 Nr. 2 DSGVO) und bereits deshalb die Absprache des Charakters eines Vorgangs unhaltbar wäre. Insofern ergebe sich aber kein Unterschied dieser digitalen Abwandlung zu dem im Streit stehenden analogen Fall. 

In beiden Fällen würden physisch Information vorgehalten: In dem hier in Streit stehenden Sachverhalt erfolge die Aufbewahrung in Form von Papierakten sowie Röntgenbildern, im Vergleichsfall würden die Informationen (ebenfalls physisch) in Form von positiven und negativen magnetischen Ladungen auf einer Festplatte festgehalten. Insofern sei der Unterschied, wenn man einen solchen überhaupt annehmen wolle, marginal, wofür auch ein Vergleich zur englischen Sprachfassung der Datenschutzgrundverordnung spreche, in der mit dem Begriff „storage“ ein weitergehendes Begriffsverständnis enthalten sei. Der englische Begriff „storage“ werde sowohl für digitale als auch analoge Form der Lagerung/Speicherung verwendet (einlagern, einspeichern usw.). Diese im Original verwendete Formulierung erfasse jede Form der Aufbewahrung von Daten. Es sei daher davon auszugehen, dass die Datenschutzgrundverordnung nicht automatisierte Verarbeitung innerhalb des Art. 2 Abs. 1 DSGVO ausschließen und den Anwendungsbereich insoweit nur auf solche nicht automatisierten Vorgänge erstrecken wolle, die sich wie hier als strukturierte Sammlung darstellten. Eine weitere Eingrenzung über das Merkmal der Verarbeitung sehe die Datenschutzgrundverordnung nicht vor. Demnach sei von einem Vorgang auszugehen.

Mit diesem Vorbringen werden die Ausführungen des Verwaltungsgerichts nicht erschüttert. Das Verwaltungsgericht hat entgegen der Darstellung des Antragsgegners keine Unterscheidung zwischen der Speicherung und Aufbewahrung von Daten getroffen und ist insbesondere nicht davon ausgegangen, dass die Aufbewahrung von Akten keine Datenverarbeitung im Sinne der Datenschutzgrundverordnung darstellen könne. Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege. 

Diese Ausführungen sind rechtlich nicht zu beanstanden. Auch das Beschwerdegericht geht davon aus, dass eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO eine Handlung im Sinne einer menschlichen Aktivität erfordert (so auch Herbst in Kühling/Buchner, DS-GVO 2017, zu Art. 4 Nr. 2, Rn. 14, 24). Dafür spricht bereits der Wortlaut der Vorschrift, die Verarbeitung als „ausgeführten Vorgang oder jede solche Vorgangsreihe“ bezeichnet. Auch die englische („processing means any operation or set of operations which is performed“) und französische Sprachfassung („traitement, toute operation ou tout ensemble d'operations effectuees“) stützen diese Auffassung. Art. 30 Abs. 1 und 2 DSGVO sprechen sogar ausdrücklich von einem „Verzeichnis aller Verarbeitungstätigkeiten“ bzw. einem „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“, das von den Verantwortlichen bzw. den Auftragsverarbeitern zu führen ist. Auch ansonsten besteht Einigkeit, dass die Definition des Verarbeitungsbegriffs einen „Umgang“ mit personenbezogenen Daten voraussetzt (Roßnagel in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2018, zu Art. 4 DSGVO Rn. 10; Eßer in: Auernhammer, DSGVO - BDSG, 6. Auflage 2018, zu Art. 4 DSGVO Rn. 32; Gola, DS¬GVO, 2017, zu Art. 4 Rn. 29). Entgegen der Auffassung des Antragsgegners können auch bei diesem Verständnis sowohl die Speicherung als auch die Aufbewahrung von personenbezogenen Daten ohne weiteres als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO verortet werden, da in beiden Fällen eine menschliche Handlung bzw. eine Zustandsveränderung stattfindet: Bei nicht körperlichen Akten wird im Computer der Befehl „Speichern“ erteilt; körperliche Akten werden zur Aufbewahrung etwa in einem dafür vorgesehenen Raum eingelagert. 

Der Feststellung des Verwaltungsgerichts, dass die Patientenakten seit Einstellung des Krankenhausbetriebes im Jahr 2010 nicht noch einmal Gegenstand einer Datenverarbeitung waren, ist der Antragsgegner nicht substantiiert entgegengetreten. Er hat nichts dazu vorgetragen, ob und ggf. in welcher Weise im Zeitraum 2010 bis heute von Seiten der Antragstellerin mit den Patientenakten „umgegangen“ wurde, dass sie etwa gesichtet, umgelagert und/oder neu sortiert worden seien. Auch hat er die weitere Feststellung des Verwaltungsgerichts, seinem Vorbringen sei nicht zu entnehmen, dass er von einer Zurechnung der bis 2010 durch die insolvente -     -     vorgenommene Datenverarbeitung ausgehe, nicht in Zweifel gezogen.

b)    Der Antragsgegner wendet sich außerdem gegen die Feststellung des Verwaltungsgerichts, der Vorgang müsse willensgetragen sein. Diese weitere Eingrenzung des Verarbeitungsbegriffs finde keinerlei Verankerung im Verordnungstext. Anders als vom Verwaltungsgericht ausgeführt bedürfe es für die Annahme einer Verarbeitung keines Verarbeitungswillens. Das Vorliegen einer Verarbeitung sei objektiv zu bestimmen. Der subjektive Verarbeitungswille der verarbeitenden Stelle sei bei der Bestimmung, ob eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO vorliege, daher grundsätzlich unbeachtlich.

Mit diesen Ausführungen wird der Beschluss des Verwaltungsgerichts nicht in Zweifel gezogen. Das Verwaltungsgericht ist nicht davon ausgegangen und hat auch nicht ausgeführt, dass es zur Annahme einer Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO eines Verarbeitungswillens bedürfe. Es hat lediglich festgestellt, eine solche Datenverarbeitung setze eine willensgetragene menschliche Aktivität voraus.

c)    Der Antragsgegner trägt weiter vor, es sei unklar, woraus sich das vom Verwaltungsgericht aufgestellte Erfordernis einer zurechenbaren Aktivität ergeben solle. Die Frage der Zurechnung habe keinen Bezug dazu, ob eine Verarbeitung vorliege, sondern sei vielmehr eine Frage der Verantwortlichkeit. Verantwortlicher sei die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Der Begriff des Verantwortlichen diene dazu, die Verantwortung für die Einhaltung des Datenschutzes zuzuweisen und so den Schutz der Rechte der betroffenen Person sicherzustellen. Die Definition des Begriffs sei hinreichend weit, um jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheide, einzuschließen. Für die Verantwortlichkeit sei es ausreichend, allein oder gemeinsam mit anderen die Entscheidungshoheit über Verarbeitungstätigkeiten auszuüben oder ausüben zu können. Verarbeite eine Stelle personenbezogene Daten ohne eine eigene Entscheidungshoheit über Zweck und Mittel, liege insoweit eine Auftragsverarbeitung vor. Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiteten, könnten sie auch selbst Verantwortlicher werden. Diese Beispiele zeigten, dass das Merkmal der Zurechnung im Datenschutzrecht keine Verankerung finde, es sei dem Datenschutzrecht fremd.

Durch diese Ausführungen wird der Beschluss des Verwaltungsgerichts nicht erschüttert. Der Antragsgegner hatte im Anweisungsbescheid vom 23. Juni 2020 ausgeführt, tatbestandlich setze Art. 58 Abs. 2 lit d DSGVO voraus, dass Verarbeitungsvorgänge des Verantwortlichen oder Auftragsverarbeiters nicht im Einklang mit der Verordnung stünden. Dies offensichtlich aufgreifend hat das Verwaltungsgericht geprüft, ob bezüglich der Patientenakten eine der Antragstellerin zurechenbare Datenverarbeitung vorliegt. 
In diesem Zusammenhang hat es untersucht, ob seit 2010 hinsichtlich der Patientenakten eine der Antragstellerin zurechenbare menschliche Aktivität erfolgte, oder ob dem Vorbringen des Antragsgegners zu entnehmen sei, dass er von einer Zurechnung der bis 2010 durch die insolvente .        -    -     GmbH    stattgefundenen
Datenverarbeitungsvorgänge ausgehe, und beide Fragen verneint. Dem tritt der Antragsgegner mit seiner Beschwerdebegründung nicht substantiiert entgegen. Seine Erläuterungen zum Begriff des Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO geben für die Frage einer (von der Antragstellerin durchgeführten oder ihr sonst zurechenbaren) Datenverarbeitung nichts her und ziehen die Begründung des Verwaltungsgerichts nicht in Zweifel.

d)    Schließlich trägt der Antragsgegner (teilweise wiederholend) vor, der Verarbeitungsvorgang sei entgegen der Auffassung des Verwaltungsgerichts objektiv zu bestimmen. Ein Verarbeitungswille sei ebenso wenig erforderlich wie ein zurechenbares menschliches Handeln. Datenverarbeitung sei jeder Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten stehe. Folglich liege, analog zur Speicherung im Sinne des Art. 4 Nr. 2 DSGVO, eine Verarbeitung vor. Dafür sprächen neben der Definition sowie den Regelbeispielen und damit der Systematik der Datenschutzgrundverordnung auch eine grundrechtskonforme Auslegung des Verarbeitungsbegriffs. Da das tatbestandliche Vorliegen einer Verarbeitung für sämtliche Pflichten der Datenschutzgrundverordnung notwendige Voraussetzung sei, müsse das Begriffsverständnis zur Vermeidung von Rechtsschutzlücken denkbar weit gefasst werden. Andernfalls bestehe die begründete Gefahr, dass der Schutz personenbezogener Daten gemäß Art. 8 Abs. 1 GRCh, das Recht auf Achtung des Privat- und Familienlebens gemäß Art. 7 GRCh sowie der Schutz des Grundrechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in bestimmten Konstellationen leer liefe. Dies beinhalte auch die Rechte betroffener Personen (Art. 12 ff. DSGVO), die von zentraler Bedeutung seien und, folgte man der Rechtsauffassung des Verwaltungsgerichts, mangels verantwortlicher Stelle niemandem gegenüber geltend gemacht werden könnten.

Dieser Vortrag zieht die Richtigkeit des Beschlusses des Verwaltungsgerichts nicht durchgreifend in Zweifel. Zum Teil ist der Senat schon auf die Einwendungen eingegangen (s.o.). Die Schlussfolgerung des Antragsgegners („Datenverarbeitung ist danach jeder Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht. Folglich liegt, analog zur Speicherung i.S.d. Art. 4 Nr. 2 DSGVO, eine Verarbeitung vor.“) ist nicht schlüssig; das Verwaltungsgericht hatte die Lagerung der Patientenakten in den Räumen der Antragstellerin mangels Vornahme einer Verarbeitungsaktivität gerade nicht als Vorgang im Zusammenhang mit personenbezogenen Daten angesehen. Der Umstand, dass wichtige und hochrangige Grundrechte betroffen sind, kann nicht dazu führen, den Verarbeitungsbegriff über Art. 4 Nr. 2 DSGVO hinaus auszudehnen. Entgegen der Auffassung des Antragsgegners folgt aus dem Beschluss des Verwaltungsgerichts auch nicht, dass es keine verantwortliche Stelle etwa für Ersuchen gemäß Art. 12 ff. DSGVO gibt. Bezüglich des Verantwortlichen hat sich das Verwaltungsgericht darauf beschränkt festzustellen, dass die Antragstellerin nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sei; die Frage nach der datenschutzrechtlichen Verantwortung der    -Kliniken AG, die in der Beschwerdebegründung des Antragsgegners in den Vordergrund gestellt wird, hat das Verwaltungsgericht ausdrücklich offengelassen (s.u.). Nicht verhalten hat es sich auch zu der Frage, ob in analoger Anwendung von § 273 Abs. 4 Satz 1 AktG eine nachwirkende datenschutzrechtliche Verantwortung der im Handelsregister gelöschten .     -    GmbH in Betracht kommt (vgl. BGH, Urt. v. 2.12.2009, IV ZR 65/09, juris Rn. 18).

2. Angesichts der Ausführungen unter 1. kommt es nicht mehr auf die weitere Feststellung des Verwaltungsgerichts an, die Antragstellerin sei keine taugliche Adressatin des Anweisungsbescheides, da sie weder Verantwortlicher noch Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung sei.

Zur Klarstellung weist der Senat jedoch darauf hin, dass auch insoweit die Beschwerde die Feststellungen des Verwaltungsgerichts nicht erschüttert.

Das Verwaltungsgericht hat dazu ausgeführt, die Antragstellerin sei nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO, weil nicht ersichtlich sei, dass sie alleine oder gemeinsam mit der     -Kliniken AG die Entscheidungshoheit über das „Ob“ und „Wie“ einer Datenverarbeitung gehabt haben könne. Die Überwachung der Liegenschaft durch die Hausmeister und den Sicherheitsdienst mit Billigung der Antragstellerin sowie die Rückgabe der Schlüssel für das Klinikgebäude reiche in diesem Zusammenhang nicht aus. Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung. 

Der reine Besitz eines analogen Datenbestandes vermöge daher weder eine einschlägige Pflichtenstellung der Antragstellerin noch entsprechende Eingriffsbefugnisse des Antragsgegners zu begründen. Dies gelte auch in Ansehung der von Seiten des Antragsgegners aufgezeigten engen personellen wie gesellschaftsrechtlichen Verflechtung zwischen der Antragstellerin, ihrer insolventen Schwestergesellschaft als ehemaliger Betreiberin des Krankenhauses sowie der ehemaligen Konzernmutter, der    -Kliniken AG.

Die nach der Insolvenz der     -     GmbH verbliebene Schwestergesellschaft rücke nicht allein unter dem Gesichtspunkt ihrer tatsächlichen Sachherrschaft in einer Art Rechtsnachfolge in die datenschutzrechtliche Verantwortlichkeit ein. Denn aufgrund der Feststellungen des Antragsgegners bestünden keine belastbaren Anhaltspunkte dafür, dass in bzw. aus dem Unternehmen der Antragstellerin über das bloße Moment ihrer tatsächlichen Sachherrschaft hinaus Entscheidungen über einzelne, hier ohnehin nicht ersichtliche, Datenverarbeitungsvorgänge getroffen worden sein könnten. Vor dem Hintergrund dieser Ausführungen handele es sich bei der Antragstellerin auch nicht um einen Auftragsverarbeiter im Sinne von Art. 4 Ziffer 8 DSGVO.

Dagegen wendet der Antragsgegner mit seiner Beschwerde ein, er sei zu keinem Zeitpunkt davon ausgegangen, dass der reine Besitz Anknüpfungspunkt der streitgegenständlichen Anordnung sei. Er habe auch zu keinem Zeitpunkt eine Rechtsnachfolge oder eine datenschutzrechtliche Garantenpflicht als Grundlage der Verantwortlichkeit angenommen. Vielmehr sei Anknüpfungspunkt, dass der Konzern der      Kliniken nach Ende der Insolvenz verantwortlich für das Aktenarchiv geworden sei. Während im Insolvenzverfahren bis zur Einstellungsentscheidung den Insolvenzverwalter grundsätzlich auch die Pflicht treffen könne, für eine sichere Aufbewahrung der Patientenakten Sorge zu tragen, sei das Insolvenzverfahren 2014 aufgehoben worden und der ehemalige Insolvenzverwalter damit nicht mehr zur Verwahrung der Unterlagen verpflichtet. Die Pflicht zur Aufbewahrung falle damit auf die Gesellschafter zurück. Alleiniger Gesellschafter sei die     -Kliniken AG, vertreten durch Herrn    gewesen. Mit Schreiben vom 3. und 4. Juni 2020 habe
der ehemalige Insolvenzverwalter die     -Kliniken AG sowie die Antragstellerin auch ausdrücklich auf ihre Pflicht hingewiesen, die Akten gehörig in Obhut zu nehmen.

Dieser Hinweis sei allein deklaratorisch zu verstehen gewesen. Die Pflicht habe bereits mit Ende des Insolvenzverfahrens bestanden, die  -Kliniken AG sei von Anfang an bösgläubig gewesen und habe danach vorsätzlich im Hinblick auf die Lagerung sowie die ungenügende Sicherung der Patientenakten gehandelt. Denn sowohl die Antragstellerin als auch die     - Kliniken AG seien im Rahmen der Übernahme des Krankenhauses vor, während und nach der Insolvenz voll involviert gewesen. Dass die -Kliniken AG ihrer Sicherungspflicht nicht hinreichend nachgekommen sei, könne nicht dazu führen, dass nunmehr ein Zustand vorliegen solle, der außerhalb einer Datenverarbeitung und außerhalb der Datenschutzgrundverordnung zu verorten sein solle. Insoweit bestehe neben der tatsächlichen Sachherrschaft auch die rechtliche Pflicht zur gehörigen Inobhutname der Patientenakten. Dass das Verwaltungsgericht Hamburg allein den Anknüpfungspunkt der tatsächlichen Sachherrschaft durch Rückgabe der Mietsache erkannt haben wolle, entspreche weder den tatsächlichen Gegebenheiten noch den Ausführungen des Antragsgegners. Insofern sei festzustellen, dass Zweck und Mittel der Verarbeitung durch den Konzern der     -Kliniken festgelegt worden seien. 

Die Rechtsansicht des Verwaltungsgerichts führe dazu, dass die verantwortliche Stelle, die zur sicheren Aufbewahrung verpflichtet sei, durch bloßes Nichtstun und vorsätzliches Ignorieren dieser Pflicht jegliche datenschutzrechtliche Verantwortlichkeit abstreifen könne. Eine solche Rechtsauslegung stehe im diametralen Widerspruch zu Sinn und Intention der Datenschutzgrundverordnung. Es sei demnach festzuhalten, dass das Datenaktenarchiv weder freigegeben worden noch in anderer Form Bestandteil der Liquidation gewesen sei. Die Patientenakten seien mit Beendigung des Insolvenzverfahrens zurück an den Konzern gefallen, der zusätzlich auch noch die tatsächliche Sachherrschaft über die Patientenakten innegehabt habe. 

Insofern sei die Antragstellerin als Bestandteil des Konzerns auch eine geeignete Adressatin der Verfügung gewesen, da sie entweder Verantwortliche oder Auftragsverarbeiterin gewesen sein müsse. Das Verwaltungsgericht führe hierzu aus, es lägen keine belastbaren Anhaltspunkte vor, dass aus dem Unternehmen der Antragstellerin Entscheidungen über einzelne Datenverarbeitungsvorgänge getroffen worden sein könnten. Es sei aber insoweit nicht erforderlich, dass tatsächlich entsprechende Entscheidungen getroffen worden seien, vielmehr genüge bereits die Möglichkeit der Machtausübung. Die weitere Ausführung des Verwaltungsgerichts, es handele sich vor dem Hintergrund dieser Ausführungen auch nicht um einen Auftragsverarbeiter, entbehre jeder Begründung und stelle eine lediglich apodiktische Behauptung dar, die eine unzutreffende Erkenntnis auf eine völlig andere Rechtsnorm mit anderen Voraussetzungen erstrecke.

Mit diesen Ausführungen werden die Feststellungen des Verwaltungsgerichts nicht in Zweifel gezogen. Der Antragsgegner weist ausdrücklich darauf hin, dass der reine Besitz kein Anknüpfungspunkt für seine Anweisung sei, und er auch nicht von einer Rechtsnachfolge oder einer datenschutzrechtlichen Garantenpflicht der Antragstellerin ausgehe. Sein Vortrag, die Pflicht zur Inobhutnahme und Aufbewahrung der Patientenakten sei nach Aufhebung des Insolvenzverfahrens auf die Gesellschafter zurückgefallen, betrifft allein die    -Kliniken AG, nicht jedoch die Antragstellerin. 

Die Frage nach dem Eintritt der -Kliniken AG in die datenschutzrechtliche Verantwortlichkeit ihrer insolventen Tochtergesellschaft     -     GmbH    hat das Verwaltungsgericht jedoch offengelassen. Der Antragsgegner legt nicht dar, und der Senat kann auch nicht erkennen, woraus sich eine datenschutzrechtliche Pflicht zur Inobhutnahme und Aufbewahrung der Patientenakten gerade für die Antragstellerin ergeben sollte. Da der Antragsgegner die Feststellungen des Verwaltungsgerichts zum (Nicht)Vorliegen einer der Antragstellerin zurechenbaren Datenverarbeitung nicht erschüttert hat (s.o.), wird auch die Feststellung des Verwaltungsgerichts, die Antragstellerin sei nicht Auftragsverarbeiter, nicht in Zweifel gezogen; denn Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO derjenige, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

III.

Die Kostenentscheidung beruht auf § 154 Abs. 2 VwGO. Die Festsetzung des Streitwerts für das Beschwerdeverfahren folgt aus §§ 47, 53 Abs. 2 Nr. 2, 52 Abs. 2 GKG.