Nachdem ein Youtuber im Mai 2020 in den Kellerräumen eines ehemaligen Krankenhausgebäudes auf eine Vielzahl von ungesichert zurückgelassenen Patientenakten gestoßen war, hat der Hamburgische DSB gegen die Grundstückseigentümerin eine datenschutzrechtliche Anordnung erlassen, die Daten besser zu sichern.
Im Rahmen eines Verfahrens im einstweiligen Rechtsschutz gegen diese Anordnung hat das OVG Hamburg ausgeführt, dass es für einen Verarbeitungsvorgang im Sinne der DSGVO eine willensgetragene menschliche Aktivität brauche. Bei der bloßen Lagerung von Daten sei das nicht der Fall, so dass es bereits an einem Verarbeitungsvorgang fehle.
Die Rechtsauffassung des Gerichts überzeugt nicht. Eine derartige Verengung des Verarbeitungsbegriffs ist Einfallstor für Schutzlücken auf Seiten der Betroffenen. Der Rechtsnachfolger eines Verantwortlichen könnte sich durch das bloße Nichtstun sämtlichen Betroffenenrechte der DSGVO entziehen.
