Verwaltungsgericht Hamburg stellt fest: Das Hamburger Krebsregister verstößt gegen das Recht auf informationelle Selbstbestimmung
Mit Urteil vom 28.07.2022 (Aktenzeichen: 21 K 1802/21) hat das Verwaltungsgericht Hamburg festgestellt, dass das Hamburger Krebsregister gegen zwingende datenschutzrechtliche Regelungen verstößt. Die Krebsregisterbehörde wurde deshalb verurteilt die Daten der Klägerin zu löschen.
Im Hamburger Krebsregistergesetz werden Ärzt*innen verpflichtet, dem Krebsregister Daten von Krebspatient*innen zu übermitteln (§ 2 Abs. 1 HmbKrebsRG); darunter im Klartext Namen, Anschrift, Geburtsdatum; ggf. die Krankenversichertennummer, zudem weitere persönliche Angaben wie etwa das Geschlecht sowie eine Vielzahl medizinischer Angaben, wie etwa die Tumordiagnose und Art, Beginn, Dauer und Ergebnis der Therapie (siehe die Aufzählung in § 3 Abs. 1 HmbKrebsRG). Die zu meldenden medizinischen Daten werden durch den bundesweit einheitlichen Datensatz der Arbeitsgemeinschaft Deutscher Tumorzentren e.V. (ADT) und der Gesellschaft der epidemiologischen Krebsregister in Deutschland e.V. (GEKID) zur Basisdokumentation für Tumorkranke und ihn ergänzende Module konkretisiert (§ 3 Abs. 4 HmbKrebsRG). Die gemeldeten Daten werden erfasst, geprüft, zusammengeführt und gespeichert (§ 5 Abs. 1 Satz 1 HmbKrebsRG). Aus den personenidentifizierenden Klartextdaten wird in einem automatisierten Verfahren zusätzlich ein Kontrollnummernsatz mittels eines Hash-Verfahrens generiert. Der Kontrollnummernsatz wird im Anschluss mit einem nur dem Hamburger Krebsregister eigenen Schlüssel überverschlüsselt. Des Weiteren wird eine personenbezogene Referenznummer generiert und der Erkrankungsfall erhält eine fallbezogene Referenznummer. Soweit die entsprechenden gesetzlichen Regelungen zur Datenerhebung im Hamburger Krebsregistergesetz.
Die Klägerin litt an einer Krebserkrankung. Zu Beginn der Behandlung unterzeichnete sie – ohne hinreichend entsprechend der Vorgabe der DSGVO informiert worden zu sein – eine Erklärung, wonach sie zu „ALLEN vorgenannten Fragen“ ihre Einwilligung erteilte. Zu einem späteren Zeitpunkt bat das Institut für Sozialmedizin und Epidemiologie der Universität Lübeck die Klägerin, an einer Studie teilzunehmen. Laut Schreiben des Instituts erfolgte die Kontaktaufnahme zur Klägerin, weil sie „im Zusammenhang mit ihrer Behandlung in das Hamburgische Krebsregister aufgenommen worden“ sei. Aufmerksam geworden auf den Datentransfer war die Klägerin, als sie die Leiterin des Hamburger Krebsregisters um Auskunft über ihre vom Krebsregister verarbeiteten Daten bat. Die Klägerin legte nach Auskunftserteilung „Widerspruch gegen jegliche Weiterverarbeitung [ihrer] personenbezogenen Daten“ sowie gegen „jegliche Weitergabe [ihrer] personenbezogenen Daten an Dritte“ ein. Sie bat außerdem um Auskunft, wer, wann und wie die gemeldeten personenbezogenen Daten der Pathologen mit ihren personenbezogenen Daten zusammengeführt habe. Nachdem die Hamburger Krebsregisterbehörde ihr mitteilte, sie habe sämtliche personenbezogenen und -beziehbaren Daten der Klägerin gelöscht, bat die Klägerin darum, ihre Akte umgehend und vollständig wiederherzustellen und stellte einen Antrag auf Akteneinsicht. Sie habe keinen Widerspruch gegen die Speicherung ihrer personenbezogenen Daten eingelegt, sondern nur gegen die Weiterverarbeitung und Weitergabe ihrer Daten. Im nachfolgenden Rechtsstreit vor dem Verwaltungsgericht Hamburg verlangte die Klägerin dann unter anderem die Löschung ihrer personenbezogenen Daten aus dem Krebsregister. Nachdem die Behörde ihre Klartextdaten gelöscht hatte, war streitig, ob es sich bei den verbliebenen pseudonymisierten Daten noch um personenbezogene Daten handelte.
Das Verwaltungsgericht hat letzteres bejaht, da nach Auffassung des Gerichts anhand der Restdaten immer noch eine Zuordnung zu einer spezifischen betroffenen Person möglich war. Selbst wenn keine Namen oder andere direkte Identifikatoren mehr gespeichert sind, können, gerade bei seltenen Erkrankungen, verbleibende Restdaten ausreichen, um einen Personenbezug herzustellen.
Bei Gesundheitsdaten handelt es sich um eine besondere Kategorie personenbezogener Daten (Art. 9 DSGVO), die nur unter strengen Voraussetzungen verarbeitet werden dürfen.
Das Verwaltungsgericht Hamburg bemängelte, dass keine ausreichenden Mindestgarantien für den Schutz von Daten im Hamburger Krebsregistergesetz selbst geregelt wurden und kam daher in seinem Urteil zum Ergebnis, dass die personenbezogenen Daten der Klägerin zu Unrecht verarbeitet wurden. Das Verwaltungsgericht hat die Krebsregister-Behörde daher dazu verurteilt, die Daten der Klägerin (d. h. auch die pseudonymisierten) vollständig zu löschen.