VG Hamburg, Urteil vom 22.07.2022 - 21 K 1802/21
Fundstelle
openJur 2022, 22447
  • Rkr:
Tenor

1. Die Beklagte wird unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 verpflichtet, der Klägerin Auskunft über die sie betreffenden personenbezogenen Daten, die von der Beklagten verarbeitet werden, sowie über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, die Herkunft der Daten und das Bestehen einer automatisierten Entscheidungsfindung und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die Klägerin zu erteilen.

2. Die Beklagte wird unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 verpflichtet, der Klägerin eine Kopie der personenbezogenen Daten nach Ziffer 1. zur Verfügung zu stellen.

3. Die Beklagte wird unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 verurteilt, die personenbezogenen Daten, welche die Klägerin nach Erteilung der Auskunft nach Ziffer 1. benennt, zu löschen.

4. Im Übrigen wird die Klage abgewiesen.

5. Die Klägerin trägt 3/4 und die Beklagte 1/4 der Kosten des Verfahrens.

6. Die Berufung wird zugelassen.

7. Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aus dem Urteil gegen ihn vollstreckbaren Betrages abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

Tatbestand

Die Klägerin wendet sich gegen die Verarbeitung ihrer Daten durch das Hamburgische Krebsregister und begehrt Auskunft, eine Kopie und die Löschung dieser Daten sowie Akteneinsicht.

Das Hamburgische Krebsregister stellt ein integriertes, epidemiologisches und klinisches, Register dar. Aufgabe der epidemiologischen Registrierung ist es, Krebserkrankungen in Bezug auf die Bevölkerung zu erfassen, also etwa Auftreten und Häufigkeit der Erkrankungen, sowie deren Verteilung nach Alter, Geschlecht und Wohnort. Die klinische Registrierung ist hingegen behandlungsbezogen. Erfasst werden Daten von der Diagnose über einzelne Behandlungsschritte und die Nachsorge bis hin zu Rezidiven, Überleben und Tod.

Das Hamburgische Krebsregister ist eine Abteilung der Behörde für Wissenschaft, Forschung, Gleichstellung und Bezirke. Es ist fachlich unabhängig (§ 1 Abs. 1 Satz 3 HmbKrebsRG). Organisatorisch ist das Hamburgische Krebsregister in einen besonders abgegrenzten Vertrauensbereich und einen Registerbereich unterteilt. Die Unterteilung wird durch unterschiedliche Zugangsberechtigungen der Mitarbeitenden geschaffen, während sich die Daten an einem einheitlichen Speicherort befinden. Die Mitarbeitenden des Vertrauensbereichs verfügen über eigene Arbeitszimmer. Der Serverraum ist über eine eigene Alarmanlage gesichert.

Die behandelnden Ärztinnen und Ärzte sind verpflichtet, dem Hamburgischen Krebsregister bestimmte Daten zu übermitteln (§ 2 Abs. 1 HmbKrebsRG). Diese Daten umfassen als sogenannte personenidentifizierende Klartextdaten den Namen, die Anschrift, das Geburtsdatum sowie gegebenenfalls die Krankenversichertennummer (§ 3 Abs. 1 Nr. a), b), c), g), Halbs. 2 HmbKrebsRG) der Patientin bzw. des Patienten, weitere persönliche Angaben wie etwa das Geschlecht sowie eine Vielzahl medizinischer Angaben, wie etwa die Tumordiagnose und Art, Beginn, Dauer und Ergebnis der Therapie (vgl. die Aufzählung in § 3 Abs. 1 HmbKrebsRG). Die zu meldenden medizinischen Daten werden durch den bundesweit einheitlichen Datensatz der Arbeitsgemeinschaft Deutscher Tumorzentren e.V. (ADT) und der Gesellschaft der epidemiologischen Krebsregister in Deutschland e.V. (GEKID) zur Basisdokumentation für Tumorkranke und ihn ergänzende Module konkretisiert (§ 3 Abs. 4 HmbKrebsRG). Die gemeldeten Daten werden im Vertrauensbereich erfasst, geprüft, zusammengeführt und gespeichert (§ 5 Abs. 1 Satz 1 HmbKrebsRG). Aus den personenidentifizierenden Klartextdaten wird in einem automatisierten Verfahren zusätzlich ein Kontrollnummernsatz mittels eines Hash-Verfahrens generiert. Der Kontrollnummernsatz wird im Anschluss mit einem nur dem Hamburgischen Krebsregister eigenen Schlüssel überverschlüsselt. Des Weiteren wird eine personenbezogene Referenznummer generiert und der Erkrankungsfall erhält eine fallbezogene Referenznummer. Lediglich die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierenden Klartextdaten (vgl. zum Vorstehenden § 5 Abs. 1 HmbKrebsRG).

Die Klägerin erkrankte im Jahr 2019 an Brustkrebs. Der Behandlungsverlauf gestaltete sich folgendermaßen:

• Am 16. April 2019 stellte der Gynäkologe der Klägerin einen auffälligen Befund fest. Er schickte eine der Klägerin entnommene Stanze zur Befundung an das pathologische Labor xx. Die Klägerin hatte mit keinem Pathologen zuvor persönlichen Kontakt.
• Am 23. April 2019 empfahl der behandelnde Arzt eine Operation und ggf. eine Chemo- und Strahlentherapie. Am selben Abend fand die erste Besprechung mit einem Chirurgen statt.
• Am 24. April 2019 stellte sich die Klägerin im Krankenhaus xx vor. Sie ließ am selben Tag eine Mammographie und radiologische Sonographie vornehmen.
• Am 26. April 2019 erfolgte eine endokrinologische Untersuchung.
• Am 29. April 2019 erfolgte eine erneute Besprechung im xx über den Befund und die Therapieoptionen.
• Am 6. Mai 2019 wurde eine CT vorgenommen.
• Am 7. Mai 2019 wurde ein MRSA-Abstrich vorgenommen.
• Am 9. Mai 2019 wurde eine Knochenszintigraphie durchgeführt.
• Am 10. Mai 2019 erfolgte die kardiologische Untersuchung und die Anästhesieaufklärung.
• Am 13. Mai 2019 wurde der Tumor in der Radiologiepraxis in xx markiert. Am selben Tag wurde die Klägerin im xx operiert. Der Tumor wurde ebenfalls am 13. Mai 2019 an die Pathologie xx zur Befundung eingesandt.
• Im Folgenden wurde eine Chemotherapie von der xx durchgeführt, die am 13. Februar 2020 abgeschlossen wurde.
• Anfang 2020 erfolgte eine Strahlentherapie durch die in Schleswig-Holstein ansässige Radiologiepraxis xx, die ebenfalls am 13. Februar 2020 abgeschlossen wurde.

Am 29. April 2019 erhielt die Klägerin vom xx eine Dokumentenmappe, die unter anderem den Behandlungsvertrag, eine "Datenschutzerläuterung" und eine "Datenschutz-Einwilligungserklärung" enthielt. Eine weitere datenschutzrechtliche Aufklärung erfolgte nicht.

Die Datenschutz-Einwilligungserklärung enthielt folgenden Text:

"Die folgenden Datenübermittlungen entsprechen dem Wunsch der meisten Patientinnen und Patienten:

[...]

☐ Krebsregister

[...]

☐ Ich erteile meine Einwilligung zu ALLEN vorgenannten Fragen

Sie können uns mitteilen, dass Sie einzelne oder alle der vorgenannten Einwilligungen nicht erteilen möchten. Sie können diese Einwilligungserklärung zur Datenübermittlung jederzeit mit Wirkung für die Zukunft durch eine Nachricht an uns widerrufen. Bei fehlender oder widerrufener Einwilligung ist nur eine Notfallbehandlung möglich [...]".

Die Datenschutzerläuterung enthielt zwei Abschnitte, "I. Informationspflichten" und "II. Erläuterungen zu Datenschutz-Einwilligungen". Unter I. waren unter anderem folgende Informationen aufgeführt:

"Welche Daten erheben, verarbeiten oder nutzen wir?

Dies sind im Einzelnen: Patientenname, Geburtsdatum, Anschrift, Krankenversichertennummer und Versichertenstatus, Aufnahme- und Entlassungsdatum nebst Diagnosen, voraussichtliche Aufenthaltsdauer, ggf. durchgeführte Operationen und Prozeduren, Entlassungsangaben, Vorschläge zur weiteren Behandlung und ggf. Angehörigendaten."

Ebenfalls enthalten war ein Abschnitt "Wem werden Patientendaten übermittelt?". Das Hamburgische Krebsregister war hierunter nicht aufgeführt.

Unter II. war ein Abschnitt "Wie erfolgt die Datenübermittlung zum Krebsregister?" enthalten. Darunter befanden sich folgende Angaben:

"Das Klinikum meldet Tumorerkrankte an das Hamburgische Krebsregister (HKR). Patienten, die eine solche Meldung nicht wünschen, können ihr Widerspruchsrecht geltend machen um der dauerhaften Speicherung der Identitätsdaten zu widersprechen. Der Widerspruch muss bei der Vertrauensstelle der Ärztekammer Hamburg oder einer Ärztin oder einem Arzt der Klinik zur Weiterleitung an die Vertrauensstelle schriftlich eingelegt werden. Näheres zum Verfahren für betroffene Patienten findet sich in einem Infoblatt, das an diese Patienten ausgegeben wird, § 2 Abs. 3 HmbKrebsRG. Zum Teil werden Befragungen und Mitwirkungen von Patienten an Forschungsvorhaben durchgeführt. Dies geschieht nur mit Einwilligung der Patienten. Haben Patienten nicht von ihrem vorgenannten Widerspruchsrecht Gebrauch gemacht, dann liegen der Vertrauensstelle der Ärztekammer Hamburg die Kontaktdaten der Patienten und die Information vor, dass vom Widerspruchsrecht kein Gebrauch gemacht wurde. Die Vertrauensstelle wird dann in einem ersten Schritt um die Einwilligung an der Mitwirkung des geplanten Forschungsvorhabens bitten".

Das Infoblatt nach § 2 Abs. 3 HmbKrebsRG lag den Unterlagen nicht bei. Am darauffolgenden Tag kreuzte die Klägerin in der Datenschutz-Einwilligungserklärung an, dass sie die Einwilligung zu "ALLEN vorgenannten Fragen" erteile.

Es erfolgten nach Auskunft des Hamburgischen Krebsregisters bzw. des Schleswig-Holsteinischen Krebsregisters folgende Meldungen an das Hamburgische Krebsregister:

• Am 14. Mai 2019 meldete das Labor xx Vor- und Nachname, Geburtsdatum, Geschlecht, Anschrift, den vollständigen Befund und die Tumorklassifikation und übersandte den pathologischen Befund als vollständigen Arztbrief.
• Am 12. Juni 2019 erfolgte eine Meldung durch die Pathologie xx
• Am 2. September 2019 erfolgte eine Meldung durch das xx Die Meldung enthielt den ADT/GEKID-Basisdatensatz sowie die Daten entsprechend des ADT/GEKID-Ergänzungsmoduls Brust- und Darmkrebs.
• Am 22. November 2019 sowie am 11. und 12. Februar 2020 erfolgten Meldungen durch die xx.
• Am 21. Januar 2020 erfolgten zwei Meldungen der Radiologiepraxis xx an das Krebsregister Schleswig-Holstein. Dieses erstellte am 13. Juli 2020 eine weitere Meldung. Die drei Meldungen wurden am 4. Mai 2020 bzw. am 28. September 2020 an das Hamburgische Krebsregister weitergeleitet.

Mit Schreiben vom 21. Februar 2020, der Klägerin am 11. März 2020 zugegangen, bat das Institut für Sozialmedizin und Epidemiologie der Universität zu Lübeck die Klägerin, an der sogenannten DELIVER-Studie (Determinanten für leitlinienkongruente Versorgung von älteren Krebspatienten) teilzunehmen. Laut dem Schreiben erfolgte die Kontaktaufnahme zur Klägerin, weil sie "im Zusammenhang mit ihrer Behandlung in das Hamburgische Krebsregister aufgenommen worden" sei.

Mit E-Mail vom 12. März 2020 bat die Klägerin die Leiterin des Hamburgischen Krebsregisters, Frau xx, um Auskunft über ihre vom Krebsregister verarbeiteten Daten sowie um die jeweilige Genehmigung des Staatsrates, des Datenschutzbeauftragten der Beklagten und das Votum der Ärztekammer Hamburg zur Datenübermittlung im Rahmen der DELIVER-Studie.

Mit E-Mail vom 12. März 2020 informierte Frau xx die Klägerin unter anderem darüber, dass die Auskunftsanfrage der Klägerin an den Vertrauensbereich weitergeleitet werde, da ihr selbst diese Daten aus Datenschutzgründen nicht zugänglich seien. Mit Schreiben vom 16. März 2020 übermittelte die Beklagte der Klägerin eine nach ihrer Auskunft "komplette Übersicht" der im Hamburgischen Krebsregister gespeicherten Daten der Klägerin. Es handelte sich um die oben aufgezählten ärztlichen Meldungen mit Ausnahme der Meldungen der Radiologiepraxis xx an das Krebsregister Schleswig-Holstein. Die Übersicht enthielt überblicksartig die einzelnen Meldungen, nicht aber die einzelnen medizinischen Daten.

Mit E-Mail vom 8. April 2020 legte die Klägerin "Widerspruch gegen jegliche Weiterverarbeitung [ihrer] personenbezogenen Daten durch das HKR" sowie gegen "jegliche Weitergabe [ihrer] personenbezogenen Daten an Dritte" ein. Sie bat außerdem um Auskunft, wer, wann und wie die gemeldeten personenbezogenen Daten der Pathologen mit ihren personenbezogenen Daten zusammengeführt habe. Mit Schreiben vom 9. April 2020 informierte die Beklagte die Klägerin darüber, dass dem Widerspruch der personenidentifizierenden Klartextdatenspeicherung nach § 12 HmbKrebsRG nachgekommen worden sei. Dies gelte jedoch nicht für die medizinischen Angaben zum Erkrankungsfall, die ohne Personenbezug erhalten blieben. Auch sämtlicher Schriftverkehr mit der Klägerin sei gelöscht worden. Mit E-Mail vom 20. April 2020 bat die Klägerin darum, ihre Akte umgehend und vollständig wiederherzustellen und stellte einen Antrag auf Akteneinsicht. Sie habe keinen Widerspruch gegen die Speicherung ihrer personenbezogenen Daten eingelegt, sondern nur gegen die Weiterverarbeitung und Weitergabe ihrer Daten.

Am 8. September 2020 erhielt die Klägerin im Rahmen eines persönlichen Treffens im Hamburgischen Krebsregister Einsicht in und eine Kopie der Antrags- und Genehmigungsunterlagen der DELIVER-Studie.

Mit E-Mail vom 22. Oktober 2020 und anwaltlichem Schriftsatz vom 27. Oktober 2020 stellte die Klägerin einen Antrag auf Akteneinsicht sowie auf Auskunft nach Art. 15 Abs. 1 DSGVO hinsichtlich zahlreicher, die Verarbeitung der klägerischen Daten betreffenden Fragen. Sie ergänzte den Antrag mit E-Mails vom 27. und 30. Oktober 2020. Die Klägerin wies darauf hin, dass nach § 65c SGB V und dem Ergänzungsmodul Brustkrebs deutlich mehr Daten übermittelt worden sein müssten als in ihrer Patientenauskunft enthalten seien.

Das Hamburgische Krebsregister wies den Antrag auf Auskunft mit E-Mails vom 29. Oktober 2020 und 5. November 2020 und mit Schreiben vom 18. November 2020 zurück. Es könnten Differenzen zwischen der Meldeverpflichtung und den real an das Hamburgische Krebsregister gemeldeten Daten bestehen.

Mit Schreiben vom 12. Dezember 2020 legte die Klägerin Widerspruch gegen die Versagung der Erteilung einer vollständigen Auskunft über ihre vom Hamburgischen Krebsregister verarbeiteten Daten, gegen die Versagung der Herausgabe einer vollständigen Kopie der verarbeiteten Daten sowie gegen die Versagung der Gewährung von Einsicht in die vom Hamburgischen Krebsregister über sie geführte Akte ein. Zur Begründung wiederholte sie ihre Ausführungen, dass weitere medizinische Daten an das Hamburgische Krebsregister übermittelt worden seien, und fügte eine entsprechende Übersicht zum Nachweis an.

Mit Schreiben vom 19. Februar 2021 half die Beklagte dem Widerspruch der Klägerin insoweit ab, als sie Auskunft hinsichtlich eines Teils der im Schreiben vom 27. Oktober 2020 aufgeführten Fragen, insbesondere im Hinblick auf die technischen Voraussetzungen der Speicherung, Übermittlung und Sicherung der Daten, erteilte. Sie teilte weiter mit, dass beabsichtigt sei, den Widerspruch im Übrigen zurückzuweisen. Zur Begründung führte sie im Wesentlichen aus, dass aufgrund der in Folge des Widerspruchs der Klägerin erfolgten Pseudonymisierung der Daten die Auskunft tatsächlich unmöglich sei. Aus diesem Grund lägen auch keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO (mehr) vor, so dass der Anwendungsbereich der Datenschutz-Grundverordnung nicht eröffnet sei. Einer Bestätigung, dass das Hamburgische Krebsregister in Zukunft keine Daten der Klägerin mehr verarbeiten werde und die die Klägerin behandelnden Ärzte von ihrer Meldeverpflichtung entbunden würden, stehe die gesetzliche Meldepflicht nach § 2 Abs. 1 HmbKrebsRG entgegen.

Mit Widerspruchsbescheid vom 15. März 2021 wies die Beklagte den Widerspruch der Klägerin zurück, soweit die begehrten Auskünfte nicht mit Schreiben vom 19. Februar 2021 erteilt worden seien. Zur Begründung wiederholte sie im Wesentlichen ihre Ausführungen aus dem Schreiben vom 19. Februar 2021. Ergänzend trug sie vor, dass das verwendete zweistufige Pseudonymisierungsverfahren so konstruiert sei, dass eine eindeutige technische Depseudonymisierung ausgeschlossen sei. Das Hamburgische Krebsregister müsse keine Auskunft über Daten erteilen, die in der Vergangenheit verarbeitet worden seien, über die es aber nicht mehr verfüge. Ein anderes Ergebnis ergebe sich auch dann nicht, wenn als zeitlicher Anknüpfungspunkt für das Auskunftsverlangen auf das Schreiben vom 27. Oktober 2020 abgestellt werde, da keine personenbezogenen Daten vorlägen. Aus diesem Grund fehle es auch an einem Anspruch auf Herausgabe einer Kopie der Daten. Ein Anspruch auf Akteneinsicht sei objektiv unmöglich. Ein solcher auf Art. 2 Abs. 1 GG gestützter Anspruch könne jedenfalls nicht gegenüber dem Hamburgischen Krebsregister geltend gemacht werden, da beim Hamburgischen Krebsregister keine Patientenakte geführt werde. Ein solcher Antrag sei unmittelbar gegen die behandelnden Ärztinnen und Ärzte zu richten. Eine Meldung weiterer Daten würde dann unterbleiben, wenn die Klägerin ihr Recht auf Widerspruch gegenüber den behandelnden Ärztinnen und Ärzten ausübte.

Die Klägerin hat am 13. April 2021 Klage erhoben.

Sie behauptet, dass eine Reidentifizierung ihrer Daten im Sinne einer erneuten Zuordnung möglich sei. Die Zuordnungsvorschriften seien im Vertrauensbereich noch vorhanden. Weiter ist die der Auffassung, dass die Einwilligung nicht freiwillig erfolgt sei, da andernfalls nur eine Notfallbehandlung möglich gewesen sei. Die Klägerin sei auch nicht ausreichend informiert worden. Ein erhebliches öffentliches Interesse im Sinne des Art. 9 Abs. 2 lit. g) DSGVO liege nicht vor. Die Verarbeitung der klägerischen Daten sei nicht zur Erfüllung der Zwecke des Art. 9 Abs. 2 lit. h), i) oder j) DSGVO erforderlich. Es liege ein Eingriff von großem Ausmaß und besonderer Schwere vor. Es sei bereits fraglich, ob die Krebsregistrierung zur Erreichung der Ziele der Krebsforschung, der Verbesserung der Qualität der onkologischen Versorgung und zur Evaluation von organisierten Früherkennungsprogrammen geeignet sei. Die Zwecke der Krebsregistrierung genügten zudem nicht dem Bestimmtheitsgebot. Dem Gesetzesvorbehalt sei nicht ausreichend Rechnung getragen, da die Daten aufgrund der Vorgaben zweier privatrechtlicher Vereine erhoben würden. Das Hamburgische Krebsregistergesetz enthalte keine ausreichenden prozessualen und organisatorischen Garantien zum Schutz personenbezogener Daten. Es bestehe keine ausreichende funktionell-personelle Trennung zwischen dem Vertrauensbereich und dem Registerbereich. Die Praxis der Datenverarbeitung und -übermittlung genüge nicht dem Grundsatz der Datensicherheit. Die Erhebung der Daten sei nicht auf das absolut Notwendige beschränkt. Die Speicherdauer sei zu lang. Der Wesensgehalt ihres Datenschutzrechts könnte berührt sein. Die Verarbeitung ihrer Daten verstoße gegen Art. 6 Abs. 1 DSGVO sowie gegen den Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a) und Art. 12 DSGVO, konkretisiert durch die Informationspflichten aus Art. 13 und 14 DSGVO. Auch den Grundsätzen der Zweckbindung im Sinne des Art. 5 Abs. 1 lit. b) DSGVO und der Datenminimierung im Sinne des Art. 5 Abs. 1 lit. c) DSGVO sei nicht Genüge getan. Die Vorschriften des Hamburgischen Krebsregistergesetzes verstießen auch gegen nationales Recht, insbesondere gegen den Schutz des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 GG. Die Anträge zu 7. und 7a. seien als vorbeugende negative Drittfeststellungsklage zulässig.

Nachdem die Klägerin den Antrag zu 1. dahingehend konkretisiert hat, dass die Information über das Bestehen eines Beschwerderechts nach Art. 15 Abs. 1 lit. f) DSGVO nicht umfasst sein soll, beantragt sie nunmehr,

1. die Beklagte unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 zu verpflichten, der Klägerin Auskunft über die Gesundheits- und sonstigen personenbezogenen Daten, die sie im Rahmen der sog. Krebsregistrierung gemäß § 65c SGB V, § 3 BKRG, §§ 2 ff. HmbKrebsRG erfasst, gespeichert, geordnet, angepasst, übermittelt, verbreitet, verwendet, offengelegt, gelöscht, verbreitet oder sonst wie verarbeitet hat und/oder noch verarbeitet, insbesondere der infolge von Meldungen des Labors xx, Hamburg, der Pathologie xx, des xx am Krankenhaus xx, der xx und der Radiologiepraxis xx (über das Krebsregister Schleswig-Holstein), verarbeiteten Daten, der Verarbeitungszwecke, der Empfänger und der Herkunft der Daten, der Zugriffsprotokolle sowie der in Art. 15 Abs. 1 lit. a) bis e) sowie lit. g) DSGVO gelisteten Informationen und über das Bestehen einer automatisierten Entscheidungsfindung und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen zu erteilen;

2. die Beklagte unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 zu verpflichten, der Klägerin eine Kopie der personenbezogenen Daten nach Antrag zu 1. zur Verfügung zu stellen;

3. die Beklagte unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 zu verpflichten, der Klägerin Einsicht in die beim Hamburgischen Krebsregister über sie und das vorliegende Verfahren geführte Akte zu gewähren;

4. die Beklagte unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 zu verpflichten, die personenbezogenen Daten der Klägerin, welche die Klägerin nach Erteilung der Auskunft benennt, zu löschen;

5. soweit ein Anspruch nach Antrag zu 4. wegen bereits erfolgter Löschung nicht besteht, hilfsweise festzustellen, dass die im Rahmen der sog. Krebsregistrierung gemäß § 65c SGB V, § 3 BKRG, §§ 2 ff. HmbKrebsRG vorgenommene Verarbeitung ihrer personenbezogenen Daten gegen Art. 9 Abs. 1 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 5 Abs. 1 i.V.m. Art. 12, 13 und/oder Art. 14 DSGVO und/oder Art. 5 Abs. 1 (insbesondere lit. b) und c)) DSGVO und/oder Art. 2 Abs. 1 GG verstoßen hat;

6. die Beklagte unter Aufhebung des Bescheides vom 18. November 2020 und des Widerspruchsbescheides vom 15. März 2021 zu verpflichten, künftig eine Verarbeitung der personenbezogenen Daten der Klägerin im Rahmen der sog. Krebsregistrierung gemäß § 65c SGB V, § 3 BKRG, §§ 2 ff. HmbKrebsRG, insbesondere eine Erfassung ihrer von ihren Ärzten gemeldeten personenbezogenen Daten, zu unterlassen;

7. festzustellen, dass die die Klägerin behandelnden Ärzte einschließlich etwa befasster Pathologen nicht gemäß § 2 Abs. 1 i.V.m. Abs. 4 HmbKrebsRG berechtigt und verpflichtet sind, personenbezogene Daten der Klägerin an das Hamburgische Krebsregister zu melden, soweit sie hierin nicht eingewilligt hat;

7a. hilfsweise zu Antrag zu 7. festzustellen, dass die die Klägerin behandelnden Ärzte einschließlich etwa befasster Pathologen nicht gemäß § 2 Abs. 1 i.V.m. Abs. 4 HmbKrebsRG berechtigt und verpflichtet sind, personenbezogene Daten der Klägerin an das Hamburgische Krebsregister zu melden, soweit die Beklagte nicht sicherstellt, dass die Klägerin unmittelbar bei der Erfassung der personenbezogenen Daten der Klägerin durch das Hamburgische Krebsregister über diese Erfassung einschließlich sämtlicher weiterer nach Art. 14 DSGVO erforderlichen Informationen informiert wird.

Die Beklagte beantragt,

die Klage abzuweisen.

Zur Begründung wiederholt sie ihre Ausführungen aus dem Widerspruchsbescheid, dass eine Reidentifizierung der klägerischen Daten tatsächlich unmöglich sei. Dies sei der Beklagten auch rechtlich untersagt. Es liege keine hohe Eingriffsintensität vor. Verarbeitet würden nur Daten, die bereits zuvor im Rahmen der medizinischen Behandlung erhoben und verarbeitet worden seien. Personenidentifizierende Daten würden ebenso wie die daraus gebildeten und überverschlüsselten Kontrollnummernsätze ausschließlich im Vertrauensbereich verarbeitet. Die Datenübermittlung an Dritte erfolge in der Regel in aggregierter (§ 7 HmbKrebsRG) oder anonymisierter Form (§ 8 HmbKrebsRG), so dass die Daten keine bestimmte Person erkennen ließen. Lediglich in Ausnahmefällen und unter den strengen Voraussetzungen von § 9 HmbKrebsRG dürften personenidentifizierende Klartextdaten an Dritte übermittelt werden. Die Forschung erfordere gerade eine flächendeckende und langfristige Speicherung der Daten. Eine engere Bestimmung der Zwecke der Krebsforschung würde den wissenschaftlichen Nutzen des Registers gefährden, da dies die mögliche Bandbreite künftiger, noch nicht genau bestimmbarer Forschung einschränkte. Das Widerspruchsrecht gewähre eine umfassende prozessuale Garantie, die über die Vorgaben der Datenschutz-Grundverordnung hinausgehe. Würden Daten ohne vorherige Information der Betroffenen übermittelt, so werde ein Widerspruchsrecht fingiert und die Daten nur pseudonym gespeichert. Die Mitarbeitenden des Hamburgischen Krebsregisters unterlägen einer strengen Geheimhaltungspflicht, wie sich insbesondere aus § 14 HmbKrebsRG ergebe. Auf eine wirksame Einwilligung komme es vorliegend nicht an. Ein möglicher Verstoß einer meldenden Einrichtung gegen Informationspflichten lasse jedenfalls die Rechtmäßigkeit der Datenerhebung und weiteren Datenverarbeitung unberührt. Art. 13 DSGVO sei nicht einschlägig, da keine "Erhebung" von Daten durch das Hamburgische Krebsregister vorliege. Die Klägerin verfüge darüber hinaus bereits über die Informationen, da die meldende Stelle zur Information verpflichtet sei. Der Klageantrag zu 6. sei unzulässig, da die Klägerin ihr Rechtsschutzbegehren leichter durch einen Widerspruch gegen die Meldung an das Hamburgische Krebsregister gegenüber ihren behandelnden Ärzten erreichen könne. Der Klageantrag zu 7. sei unzulässig, da kein konkretes Rechtsverhältnis bestehe und die Klägerin ihr Rechtsschutzinteresse mittels Leistungsklage gegenüber den behandelnden Ärzten durchsetzen könne. Es handele sich um einen impliziten Normenkontrollantrag. Das Feststellungsurteil wäre wertlos, weil es nichts an der gesetzlichen Meldepflicht der behandelnden Ärzte änderte. Der Erweiterung der Klageanträge um den Antrag zu 7a. werde widersprochen.

Gründe

I.

Die Klage ist teilweise zulässig und hat, soweit sie zulässig ist, überwiegend in der Sache Erfolg. Im Einzelnen:

1. Der Antrag zu 1. ist überwiegend zulässig (a.), und, soweit er zulässig ist, überwiegend begründet (b.).

a. Der Antrag zu 1. ist als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft. Denn bei der Entscheidung über einen datenschutzrechtlichen Auskunftsanspruch durch eine Behörde handelt es sich um einen Verwaltungsakt. Der Erteilung der Auskunft geht eine behördliche Entscheidung voraus, die auf der Grundlage eines gesetzlichen Prüfprogramms zu treffen ist und bei der die Behörde besondere verfahrensrechtliche Vorkehrungen wie Begründungs- oder Anhörungspflichten zu beachten hat (BVerwG, Urt. v. 6.9.2020, 6 C 10/19, juris, Rn. 12; OVG Hamburg, Urt. v. 8.2.2018, 3 Bf 107/17, juris, Rn. 22).

Dem Antrag fehlt jedoch das Rechtsschutzbedürfnis insoweit, als die Klägerin Auskunft über die Informationen nach Art. 15 Abs. 1 lit. d) und e) VO (EU) 2016/679 (DSGVO) begehrt. Das allgemeine Rechtsschutzbedürfnis ist dann nicht gegeben, wenn ein Kläger sein Ziel auf anderem Wege schneller und einfacher erreichen könnte, oder wenn ein Erfolg seine Rechtsstellung nicht verbessern würde (Wöckel, in: Eyermann, VwGO, 16. Aufl. 2022, Vorb. zu §§ 40-53, Rn. 11 m.w.N.). So liegt es hier.

Die Speicherdauer und das im HmbKrebsRG normierte Widerspruchsrecht ergeben sich bereits unmittelbar aus dem Gesetz und waren der Klägerin auch bekannt. Nach § 13 HmbKrebsRG sind die personenidentifizierenden Klartextdaten und die zugehörigen Kontrollnummernsätze innerhalb von 30 Jahren nach dem Tod, spätestens 120 Jahre nach der Geburt zu löschen. Im Falle eines Widerspruchs ergibt sich daraus, dass die allein verbliebenen Kontrollnummernsätze innerhalb dieser Fristen zu löschen sind. Dass die Beklagte eine hiervon abweichende, geringere Speicherdauer plant, ist nicht ersichtlich und wurde auch nicht vorgetragen. Dass die Klägerin auch Kenntnis von diesen Speicherfristen hatte, ergibt sich aus dem anwaltlichen Schreiben vom 27. Oktober 2020. Danach beantragte die Klägerin Auskunft darüber, ob die Verwaltung beabsichtige, ihre "Daten [...] für die in § 13 HmbKrebsRG genannten Fristen aufzubewahren".

Das der Klägerin zustehende Widerspruchsrecht ergibt sich aus § 12 Abs. 3 HmbKrebsRG. Sie wurde auf dieses mehrmals im Verwaltungsverfahren hingewiesen, etwa mit E-Mails vom 12. März 2020, 17. März 2020 und 3. April 2020, und hat das Widerspruchsrecht auch ausgeübt.

b. Der im Übrigen zulässige Antrag zu 1. ist überwiegend begründet. Die im Hamburgischen Krebsregister gespeicherten pseudonymisierten Daten sind personenbezogene Daten (aa.). Die Zuordnung dieser Daten zur Klägerin ist weder tatsächlich (bb.) noch rechtlich unmöglich (cc.). Der Umfang des Anspruchs umfasst die zum Zeitpunkt der mündlichen Verhandlung vorhandenen Daten und die aus dem Tenor ersichtlichen zusätzlichen Informationen (dd.).

aa. Bei den im Hamburgischen Krebsregister gespeicherten pseudonymisierten Daten handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Nach dieser Vorschrift sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach Erwägungsgrund 26 der Datenschutz-Grundverordnung sollten einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologischen Entwicklungen zu berücksichtigen sind.

Dies zugrunde gelegt, können der Klägerin die im Hamburgischen Krebsregister gespeicherten Daten – der die personenidentifizierenden Klartextdaten ersetzende Kontrollnummernsatz sowie sämtliche medizinische Daten – weiterhin zugeordnet werden.

Erster Anhaltspunkt hierfür ist der Wortlaut des § 12 Abs. 3 Satz 3 HmbKrebsRG, wonach nach einem Widerspruch "pseudonyme" Daten gespeichert werden. Der Begriff "Pseudonymisierung" wird regelmäßig verwendet, wenn Daten einer Person weiterhin zuordenbar bleiben (Schild, in: BeckOK Datenschutzrecht, 40. Ed., Stand 1.5.2022, Art. 4, Rn. 78; Klar/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl. 2020, Art. 4, Rn. 2; Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 15 DSGVO, Rn. 12). Im Gegensatz dazu wird der Begriff der Anonymisierung verwendet, wenn der Personenbezug praktisch unumkehrbar aufgehoben ist (vgl. Erwägungsgrund 26 DSGVO; Schild, in: BeckOK Datenschutzrecht, 40. Ed., Stand 1.5.2022, Art. 4, Rn. 15a, Rn. 68; Gierschmann, ZD 2021, 482). Auch "verschlüsselte" Daten können nach der allgemein verwendeten Begrifflichkeit durch Anwendung des Schlüssels jederzeit wieder lesbar gemacht werden (Schild, in: BeckOK Datenschutzrecht, 40. Ed., Stand 1.5.2022, Art. 4, Rn. 80). Für die grundsätzlich weiterhin bestehende Möglichkeit der Zuordnung der Daten spricht auch die gesetzgeberische Anordnung in § 12 Abs. 3 Satz 3 HmbKrebsRG, dass eine "Reidentifizierung dieser Daten nicht erfolgt". Wäre die Möglichkeit der Zuordnung der Daten durch die Pseudonymisierung bereits ausgeschlossen, bedürfte es keines ausdrücklichen Verbots der Reidentifizierung.

Für die Möglichkeit der Zuordnung spricht weiter die Funktionsweise der Krebsregistrierung. Diese ist so ausgestaltet, dass eine neue Meldung einem im Registerbereich bereits gespeicherten Datensatz zugeordnet werden kann. Hierzu läuft folgendes automatisiertes Verfahren ab: Die im Registerbereich gespeicherten Daten sind lediglich unter einem überverschlüsselten Kontrollnummernsatz gespeichert. Geht eine neue Meldung ein, wird aus den eingegangenen personenidentifizierenden Klartextdaten zunächst mittels eines Hash-Verfahrens ein Kontrollnummernsatz bestehend aus mehreren Kontrollnummern gebildet. Das Hash-Verfahren arbeitet deterministisch, d.h. aus denselben Ausgangswerten werden immer dieselben Kontrollnummern gebildet. Der Kontrollnummernsatz wird anschließend mit einem ebenfalls deterministisch arbeitenden Schlüssel überverschlüsselt. Der so überverschlüsselte Kontrollnummernsatz wird mit den bereits vorhandenen überverschlüsselten Kontrollnummernsätzen abgeglichen. Ergibt sich ein Treffer, werden die mit der Meldung eingegangenen medizinischen Daten dem bereits vorhandenen Datensatz zugeordnet.

Diese Zuordnung neuer Meldungen zu einem bereits vorhandenen Datensatz soll auch nach einem Widerspruch gewährleistet sein (vgl. Meyer/Altmann u.a., in: Stegmaier/Hentschel u.a., Das Manual der Krebsregistrierung, 2019, S. 81, 95). Geht eine neue Meldung nach Widerspruch ein, so läuft das soeben beschriebene automatisierte Verfahren weiterhin ab. Lediglich die mit der Meldung eingegangenen personenidentifizierenden Klartextdaten werden im Anschluss an die Zuordnung automatisch gelöscht. Auch der nach § 4 Abs. 2 Satz 3 HmbKrebsRG vorgesehene Abgleich der Daten im Hamburgischen Krebsregister in pseudonymisierter Form mit dem Melderegister spricht dafür, dass auch nach einer Pseudonymisierung eine Zuordnung zu einer Person möglich ist.

Die Kammer verkennt nicht, dass die Anwendungssoftware nach Angabe der Beklagten kein Tool vorsieht, durch das die personenidentifizierenden Klartextdaten vor der automatischen Löschung ausgelesen und die daraus generierten überverschlüsselten Kontrollnummern dem Anwender angezeigt werden können. Auch generiert das System keine Benachrichtigung, dass eine eingegangene Meldung einem Kontrollnummernsatz zugeordnet worden ist, worüber der Kontrollnummernsatz aufgefunden werden könnte. Auf technischer Ebene findet aber der beschriebene Zuordnungsprozess von eingegangenen personenidentifizierenden Daten zu ggf. bereits vorhandenen Daten der betreffenden Person statt. Das Hamburgische Krebsregister nutzt somit durch die Ausgestaltung des IT-Systems gerade Mittel im Sinne des Erwägungsgrunds 26 der Datenschutz-Grundverordnung, um die Identifizierung von medizinischen Daten als einer bestimmten Person zugehörig zu gewährleisten. Dass dies in einem automatisierten Prozess erfolgt, ändert nichts an der Identifizierung. Kann das System die gespeicherten Daten einer bestimmten Person, im vorliegenden Fall die Daten der Klägerin, über den Kontrollnummernsatz zuordnen, so muss dieser Prozess auch für die Anwender sichtbar gemacht werden können. Das Gericht ist davon überzeugt, dass die Beklagte diesen informationstechnischen Zugriff auf die im Hintergrund automatisiert laufenden Prozesse mit verhältnismäßigem Aufwand wird bewerkstelligen können (vgl. auch VG Bayreuth, Beschl. v. 8.5.2018, B 1 S 18.105, juris, Rn. 47).

Für die Möglichkeit der Zuordnung der gespeicherten Daten, bei denen es sich hauptsächlich um medizinische Daten handelt, zur Klägerin spricht darüber hinaus, dass der überverschlüsselte Kontrollnummernsatz der Klägerin durch die Heranziehung spezifischer medizinischer Daten mit Hilfe der Such- und Filterfunktion der Anwendungssoftware aufgefunden werden kann. In dem Forschungsprojekt "Wirksamkeit der Versorgung in onkologischen Zentren" wurden Abrechnungsdaten der gesetzlichen Krankenversicherung mit Daten aus den Krebsregistern verknüpft. Laut der von der Klägerin eingereichten Kurzfassung des Ergebnisberichts zu dem Projekt konnte über die Verknüpfungsmerkmale Krebsentität, Geburtsdatum, Geschlecht und Postleitzahl des Wohnorts eine eindeutige Zuordnung mit einer Treffergenauigkeit von 99,9 % erreicht werden (Bl. 1127 d. A.). Vorliegend ist zudem zu berücksichtigen, dass für das Jahr 2019 im Hamburger Krebsbericht lediglich 21 Brustkrebserkrankungen mit Erstdiagnose im Stadtteil ..., in dem die Klägerin lebt, aufgeführt sind (https://interaktiverbericht.krebsregister-hamburg.de/#/regional/table/; zuletzt abgerufen am 5.10.2022). Zur Reidentifizierung der im Hamburgischen Krebsregister unter dem überverschlüsselten Kontrollnummernsatz gespeicherten medizinischen Daten der Klägerin stünden über den Wohnort hinaus noch spezifischere Daten zur Verfügung, wie das Datum der Operation und der Operations- und Prozedurenschlüssel (OPS). Die Kombination dieser Einzelangaben ist derart spezifisch, dass kein vernünftiger Zweifel daran besteht, dass mehr als ein Treffer bei einer Suchanfrage ausgeschlossen ist.

Weiter könnten die gespeicherten Daten der Klägerin auch dadurch wieder zugeordnet werden, dass diese dem Hamburgischen Krebsregister die Kontrollnummern zur Verfügung stellt, die sie von dem Schleswig-Holsteinischen Krebsregister erhält bzw. bereits erhalten hat. Denn die Kontrollnummern werden zum landesweiten Abgleich von allen Landeskrebsregistern durch ein einheitliches Verfahren generiert, so dass auch die (unverschlüsselten) Kontrollnummern identisch sind (Meyer/Altmann u.a., in: Stegmaier/Hentschel u.a., Das Manual der Krebsregistrierung, 2019, S. 81, 96; vgl. auch § 10 Abs. 1 Satz 2, 3 Landeskrebsregistergesetz Baden-Württemberg). Die Klägerin hat mit Schreiben vom 27. Oktober 2021 vom Schleswig-Holsteinischen Krebsregister die zu ihrer Person vorhandenen Kontrollnummern erhalten. Nicht erkennbar ist, ob es sich hierbei um die überverschlüsselten oder unverschlüsselten Kontrollnummern handelt. Sind die Kontrollnummern unverschlüsselt, kann die Beklagte diese mit ihrem eigenen Schlüssel überverschlüsseln und sodann auf einen Treffer mit den bestehenden Kontrollnummernsätzen hin untersuchen. Sollte die Klägerin die mit dem schleswig-holsteinischen Schlüssel überverschlüsselten Kontrollnummernsatz erhalten haben, so könnte die Beklagte die Daten der Klägerin nicht zur Zuordnung verwenden, da jedes Krebsregister einen eigenen Schlüssel benutzt. Die Klägerin könnte dann aber beim Schleswig-Holsteinischen Krebsregister Auskunft und eine Kopie ihrer unverschlüsselten Kontrollnummern erhalten; denn auch diese stellen personenbezogene Daten dar. Die Entschlüsselung der Kontrollnummern durch das Schleswig-Holsteinische Krebsregister wäre auch praktisch möglich: Der Schlüssel ist dort vorhanden und da Kontrollnummernsätze regelmäßig für den landesweiten Datenabgleich bzw. Datenübermittlungen entschlüsselt (und wieder verschlüsselt) werden müssen, müssen auch die entsprechenden informationstechnischen Voraussetzungen hierfür vorhanden sein.

Schließlich ist zu berücksichtigen, dass bei der Beklagten sowohl der Algorithmus des (deterministischen) Hash-Verfahrens als auch der Schlüssel zur Überverschlüsselung vorhanden sind. Unabhängig von den Bedienungsmöglichkeiten der Anwendungssoftware könnte jedenfalls der Datenbankadministrator mit unbeschränkten Zugriffsrechten den überverschlüsselten Kontrollnummernsatz der Klägerin mit Hilfe der ggf. von der Klägerin zur Verfügung zu stellenden Ausgangsdaten über ihre persönlichen Verhältnisse ermitteln.

bb. Die Zuordnung der Daten zur Klägerin ist auch nicht tatsächlich unmöglich. Dies setzte voraus, dass eine Zuordnung endgültig nicht durchführbar wäre. Dies ist angesichts der oben beschriebenen Möglichkeiten, die Zuordnung vorzunehmen (aa.), nicht der Fall. Das IT-System des Hamburgischen Krebsregisters, durch das die automatisierte Identifizierung der klägerischen Daten und anschließende Löschung durchgeführt wird, wird von einem Datenbankadministrator verwaltet, der einen umfassenden Zugriff auf das System und Veränderungsrechte hat.

cc. Entgegen der Ansicht der Beklagten ist die Identifizierung der klägerischen Daten auch nicht rechtlich unmöglich. Die Beklagte sieht sich aufgrund von § 12 Abs. 3 Satz 3 HmbKrebsRG, wonach "eine Reidentifizierung dieser Daten nicht erfolgt", rechtlich daran gehindert, die pseudonymisierten Daten der Klägerin zuzuordnen. Indes ist die Norm dahingehend auszulegen, dass sie allein ein subjektives Recht der Betroffenen gewährleistet. Zwar ist der Wortlaut insoweit neutral formuliert, da er eine adressatenbezogene Handlungsanweisung an das Hamburgische Krebsregister darstellt ("es ist sicherzustellen, dass [...] eine Reidentifizierung nicht erfolgt"). Welche subjektiven und/oder objektiven Interessen dadurch geschützt werden, wird allein durch die Formulierung nicht ersichtlich. Die teleologische Auslegung hingegen spricht dafür, dass dem Auskunftsanspruch der Klägerin das Verbot der Reidentifizierung nicht entgegengehalten werden kann. Wie sich aus § 12 Abs. 3 Satz 1 HmbKrebsRG ergibt, ist dieses Verbot allein Folge des Widerspruchs der betroffenen Person, also der Ausübung eines subjektiven Rechts. Diente das Verbot hingegen ebenfalls objektiven Interessen oder der Sicherung der Rechte Dritter, so müsste die automatisierte Löschung der Klartextdaten und alleinige Verarbeitung der pseudonymisierten Daten unabhängig von einem Widerspruch der betroffenen Person erfolgen. Auf die Ausübung eines subjektiven, grundrechtlich geschützten Rechts kann indes verzichtet werden, denn Freiheit und Autonomie des Einzelnen sind Kernelemente des Grundrechtsschutzes (vgl. Sachs, in: Sachs, Grundgesetz, 9. Aufl. 2021, Art. 1, Rn. 52 ff. m.w.N.). Darüber hinaus geht es der Klägerin durch die Reidentifizierung ihrer gespeicherten Daten gerade um die Ausübung ihres Grundrechts auf Datenschutz: Können die pseudonym gespeicherten medizinischen Daten der Klägerin noch zugeordnet werden, so kann sie diese Zuordnung und damit den ungerechtfertigten Eingriff (siehe dazu unten unter 4. b. aa.) in ihre Rechte auf Schutz der personenbezogenen Daten und Achtung des Privatlebens nur dadurch endgültig ausschließen, dass die Daten gelöscht werden. Schließlich spricht die fundamentale Bedeutung des Auskunftsanspruchs und der Grundsatz des Vorrangs des Unionsrechts dafür, dass § 12 Abs. 3 Satz 3 HmbKrebsRG dem Auskunftsanspruch rechtlich nicht entgegensteht. Der grundrechtlich in Art. 8 Abs. 2 Satz 2 GRCh verankerte Auskunftsanspruch stellt einen ganz wesentlichen Bestandteil ("Magna Charta") der Betroffenenrechte (Schmidt-Wudy, in: BeckOK Datenschutzrecht, 40. Ed., Stand 1.5.2022, Art. 15, Rn. 2), wenn nicht sogar das zentrale Betroffenenrecht (Bäcker: in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 15, Rn. 5) dar.

Im Übrigen werden durch eine Reidentifizierung weder Geheimhaltungsinteressen der Beklagten noch Rechte Dritter verletzt. Geheimhaltungsinteressen der Beklagten sind bereits nicht ersichtlich. Rechte Dritter sind nicht berührt, weil der informationstechnische Zugriff auf das Verfahren der Löschung der personenidentifizierenden Klartextdaten und die daraus genierten überverschlüsselten Kontrollnummern auf die Person der Klägerin begrenzt ist. Selbst soweit es für eine Reidentifizierung erforderlich sein sollte, die Hintergrundprozesse sichtbar zu machen, ist nicht ersichtlich, dass dies zwingend zugleich den Zugriff auf andere Meldungen erfordert. Auch bei einer Suchanfrage über die spezifischen medizinischen Angaben sind Mehrfachtreffer wie dargelegt nach der Überzeugung des Gerichts aufgrund der Kombination der spezifischen Angaben ausgeschlossen.

Der Reidentifizierung der klägerischen Daten steht auch nicht der Grundsatz des venire contra factum proprium entgegen. Die Klägerin hat zwar Widerspruch gegen die Verarbeitung ihrer Daten eingelegt und dadurch die Löschung ihrer personenidentifizierenden Klartextdaten im Sinne des § 3 Abs. 1 Nr. 1 Halbs. 2 HmbKrebsRG erwirkt. Der Auskunftsanspruch dient jedoch der Geltendmachung des über die Löschung der personenidentifizierenden Klartextdaten hinausgehenden Löschungsanspruchs gemäß Art. 17 Abs. 1 DSGVO. Die Klägerin möchte gerade mehr erreichen, als sie durch ihren Widerspruch bereits erhalten hat. Hierfür benötigt sie eine Auskunft über die – trotz Widerspruchs – vorhandenen personenbezogenen Daten. Liegen diese wie dargelegt noch vor, so gewährt die Datenschutz-Grundverordnung den Auskunftsanspruch ohne weitere Voraussetzungen.

dd. Der Umfang der Auskunft bezieht sich auf diejenigen personenbezogenen Daten, die die Beklagte zum Zeitpunkt der mündlichen Verhandlung verarbeitet. Kein Anspruch besteht insoweit, als die Klägerin Auskunft über sämtliche Daten verlangt, die die Beklagte in der Vergangenheit verarbeitet hat ((1)), sowie hinsichtlich der Zugriffsprotokolle ((2)).

(1) Bei der Verpflichtungsklage ist in der Regel auf die Sach- und Rechtslage im Zeitpunkt der letzten mündlichen Verhandlung abzustellen, da die Klägerin zu diesem Zeitpunkt einen Anspruch auf den Erlass des begehrten Verwaltungsakts haben muss. Abweichungen können sich jedoch aus dem materiellen Recht ergeben (BVerwG, Urt. v. 27.11.1980, 2 C 38/79, juris, Rn. 41). Das materielle Recht gebietet vorliegend jedoch keine andere Bewertung. Art. 15 Abs. 1 DSGVO umfasst keinen in die Vergangenheit gerichteten Auskunftsanspruch. Dafür streitet der Wortlaut der Norm, wonach Auskunft über Daten verlangt werden kann, die "verarbeitet werden". Entgegen der Ansicht der Beklagten ist nicht auf den Zeitpunkt des ersten Auskunftsverlangens abzustellen (a.A. AG München, Urt. v. 4.9.2019, 155 C 1510/18, juris, Rn. 54; ArbG Düsseldorf, Urt. v. 5.3.2020, Ca 6557/18, juris, Rn. 63 [hinsichtlich der Zwecke der Datenverarbeitung]; Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 15, Rn. 8a; Bienemann, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl. 2022 Art. 15, Rn. 29). Legt man den eindeutigen, im Präsens formulierten Wortlaut zugrunde, würde dies bedeuten, dass die Klägerin nur Auskunft über die zum Zeitpunkt des Auskunftsverlangens bestehenden Daten verlangen könnte (so aber Bienemann, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl. 2022, Art. 15, Rn. 29). Dies liefe aber Sinn und Zweck des Art. 15 Abs. 1 DSGVO zuwider, durch einen Überblick über die aktuell verarbeiteten Daten eine Grundlage für eine Rechtmäßigkeitskontrolle und Transparenz im Sinne einer Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen (vgl. Erwägungsgrund 63 der Datenschutz-Grundverordnung). Soweit gegen diese Auslegung vorgebracht wird, dass Auskunft über die Daten vom Zeitpunkt des Auskunftsverlangens bis zum Zeitpunkt der mündlichen Verhandlung zu erteilen ist, damit der Verantwortliche sich seiner Auskunftspflicht nicht durch Löschen der Daten oder Säumnis entziehen kann (Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 15, Rn. 9; dagegen Bienemann, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl. 2022 Art. 15 DSGVO, Rn. 29), so überzeugt dies nicht. Denn soweit die Daten zum Zeitpunkt der mündlichen Verhandlung nach wie vor gespeichert sind, verarbeitet der Verantwortliche die Daten noch, so dass Auskunft zu erteilen ist. Hat der Verantwortliche jedoch Daten nach dem Auskunftsverlangen (unwiederbringlich) gelöscht, so sind diese nicht mehr vorhanden; eine Auskunft ist dann (tatsächlich) nicht mehr möglich. Ein weitergehendes schützenswertes und tatsächlich umsetzbares Informationsinteresse bestünde höchstens insoweit, ob in der Zwischenzeit Daten anders als durch Speichern oder Löschen, nämlich durch Weitergabe an Dritte, verarbeitet wurden. Diesem Informationsinteresse wird aber durch den Anspruch nach Art. 15 Abs. 1 lit. c) DSGVO (Auskunftsanspruch hinsichtlich der Empfänger der Daten) genügt. Auch die Systematik spricht dafür, dass der Auskunftsanspruch auf die derzeit verarbeiteten Daten begrenzt ist: Art. 15 Abs. 1 lit. c) DSGVO gibt einen Anspruch auf Information darüber, wem die personenbezogenen Daten "offengelegt worden sind". Indem die Datenschutz-Grundverordnung hier ausdrücklich unterschiedliche Zeitformen verwendet und nur hinsichtlich der Datenempfänger einen Anspruch in die Vergangenheit normiert, wird e contrario deutlich, dass der allgemeine Auskunftsanspruch nach Abs. 1 nur hinsichtlich der aktuellen Verarbeitung zu verstehen ist.

(2) Die Klägerin hat auch keinen Auskunftsanspruch hinsichtlich der begehrten Zugriffsprotokolle. Soweit die Klägerin mit diesem Begehren Protokolle in Bezug auf die Weitergabe ihrer Daten an Dritte verstanden wissen will, wird dieses bereits durch den soeben dargelegten Anspruch nach Art. 15 Abs. 1 lit. c) DSGVO erfüllt. Soweit die Klägerin sich damit auch auf die internen Zugriffsprotokolle bezieht, gewährt Art. 15 Abs. 1 DSGVO keinen solchen Anspruch. Denn Art. 15 Abs. 1 Halbs. 1 DSGVO ist dem Wortlaut nach auf die "personenbezogenen Daten, [die] verarbeitet werden", gerichtet. Die Zugriffsprotokolle stellen indes als Nutzungsdaten Metadaten dar, also Daten über die verarbeiteten Daten. Die internen Zugriffsprotokolle sind auch nicht von Art. 15 Abs. 1 lit. c) DSGVO umfasst. Die Beklagte ist Anspruchsgegnerin dieses Anspruchs; insofern ist das Hamburgische Krebsregister verpflichtet darzutun, wem gegenüber es Daten offengelegt hat. Die internen Zugriffsprotokolle geben jedoch Auskunft darüber, wer innerhalb der Beklagten auf die Daten zugegriffen hat. Sich selbst gegenüber kann die Beklagte jedoch keine Daten offenlegen.

2. Der zulässige Klageantrag zu 2., mit dem die Klägerin die Verpflichtung zur Zurverfügungstellung einer Kopie ihrer personenbezogenen Daten gemäß dem Klageantrag zu 1. begehrt, ist begründet. Die Klägerin hat gemäß Art. 15 Abs. 3 DSGVO einen Anspruch auf eine Kopie derjenigen Daten, die die Beklagte derzeit in Verbindung mit dem aus den Klartextdaten der Klägerin gewonnenen Kontrollnummernsatz im Hamburgischen Krebsregister speichert. Wie dargelegt, handelt es sich hierbei um personenbezogene Daten.

3. Der auf Akteneinsicht gerichtete Antrag zu 3. ist unzulässig. Die Klägerin hat kein Rechtsschutzbedürfnis dafür, Akteneinsicht in die bei der Beklagten geführte Verfahrensakte zu erhalten.

Denn zum einen erhält die Klägerin durch den Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO und Bereitstellung einer Kopie gemäß Art. 15 Abs. 3 DSGVO bereits einen Überblick über sämtliche sie betreffende Daten, die bei der Beklagten vorhanden sind. Da auch E-Mails personenbezogene Daten darstellen, ist davon auch etwaiger die Klägerin betreffender E-Mail-Verkehr umfasst. Eine Differenz zwischen dem Auskunftsanspruch und dem Akteneinsichtsbegehren könnte sich lediglich im Hinblick auf die internen Zugriffsprotokolle ergeben, die die Klägerin, wie oben ausgeführt (1. b. dd. (2)), nicht über den Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO erhält. Diese können jedoch von vornherein nicht Gegenstand des vorliegend geltend gemachten Anspruchs auf Akteneinsicht sein. Denn dieser umfasst lediglich die Einsicht in eine bereits vorhandene Akte. Akten sind nach bestimmten Ordnungsgesichtspunkten in geeigneter Form zusammengestellte Urkunden und sonstige Unterlagen. Davon umfasst sind auch elektronisch geführte Akten (Kallerhoff/Mayen, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 29, Rn. 39). Die Zugriffsprotokolle befinden sich als Metadaten jedoch nicht unmittelbar erkennbar in einer (elektronisch) geführten Akte; sie müssten erst ausgelesen und damit erst für den Akteneinsichtsanspruch als einsehbarer Teil der Akte produziert werden.

Zum anderen hat die Beklagte in der mündlichen Verhandlung glaubhaft ausgeführt, dass die Klägerin sämtlichen sie betreffenden Schriftverkehr bereits erhalten hat und keine weiteren, der Klägerin unbekannten, Aktenbestandteile vorhanden sind. Der E-Mail-Verkehr der Beklagten mit der Klägerin ist auch in der Sachakte enthalten. Diesem Vortrag ist die Klägerin nicht substantiiert entgegengetreten. Sie konnte nicht im Ansatz spezifizieren, welche weiteren, über den bestehenden Auskunftsanspruch und den bereits übermittelten Schriftverkehr hinausgehende Informationen sie entgegen dem Vortrag der Beklagten erwartet. Einen allgemeinen Überwachungsanspruch gewährt der Anspruch auf Akteneinsicht nicht.

4. Der Antrag zu 4. ist zulässig (a.) und hat auch in der Sache Erfolg (b.).

a. Der Antrag zu 4. ist als allgemeine Leistungsklage statthaft. Das Gericht durfte über diesen gemeinsam mit dem Antrag zu 1. verhandeln und entscheiden. Denn der Antrag zu 4) ist zwar als dem Antrag zu 1. zeitlich nachfolgend gestellt; er ist jedoch nicht als eigentliche Stufenklage im Sinne des § 173 S. 1 VwGO i.V.m. § 254 ZPO zu verstehen. Denn der Löschungsanspruch nach Art. 17 Abs. 1 DSGVO umfasst alle die Klägerin betreffenden personenbezogenen Daten; er ist demzufolge nicht von einer vorherigen Auskunft abhängig. Dass die Klägerin aus Gründen der Praktikabilität zunächst die Auskunft und erst dann die Löschung der Daten beantragt hat, steht dem nicht entgegen. Dies entspricht vielmehr dem Wortlaut des Art. 17 Abs. 1 DSGVO, wonach die betroffene Person das Recht hat, die Löschung zu verlangen. Selbst wenn man hierin eine echte Stufenklage sähe, kann die Klägerin den Antrag zu 4. neben dem Antrag zu 1. zulässig im Wege der Klagenhäufung gemäß § 113 Abs. 4 VwGO geltend machen. Diese Vorschrift regelt als Spezialfall die gleichzeitige Geltendmachung der Aufhebung eines Verwaltungsaktes und Verurteilung zu einer Leistung. Sie kann analog auf Verpflichtungsklagen angewendet werden (Kopp/Schenke, VwGO, 27. Aufl. 2021, § 113, Rn. 177). Erforderlich ist ein sachlicher Zusammenhang zwischen dem Verpflichtungsantrag und dem Leistungsantrag (Decker, in: BeckOK VwGO, 62. Ed., Stand 1.7.2022, § 113, Rn. 66). Dieser ist hier gegeben. Denn die Klägerin möchte durch den Auskunftsanspruch die Sicherung ihres Löschungsanspruchs erreichen.

b. Der Antrag hat auch in der Sache Erfolg. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet (aa.). Die Beklagte ist Verantwortliche (bb.) und der Löschungsanspruch ist nicht nach Art. 17 Abs. 3 lit. d) DSGVO ausgeschlossen (cc.).

aa. Gemäß Art. 17 Abs. 1 lit. d) DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies bemisst sich vorliegend nach Art. 9 DSGVO, da die streitgegenständlichen Daten Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO sind ((1)). Die Datenverarbeitung ist unrechtmäßig, da sie nicht erforderlich im Sinne der Art. 9 Abs. 2 lit. h), i) und j) DSGVO ist: Sie stellt einen ungerechtfertigten Eingriff in das Grundrecht der Klägerin auf Schutz ihrer personenbezogenen Daten gemäß Art. 8 GRCh und in ihr Recht auf Achtung ihres Privatlebens gemäß Art. 7 GRCh dar ((2)).

(1) Die Rechtmäßigkeit der Datenverarbeitung bemisst sich nach Art. 9 DSGVO, da es sich bei den im Hamburgischen Krebsregister gespeicherten medizinischen Daten um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO handelt. Deren Verarbeitung ist untersagt, es sei denn eine der Ausnahmen des Art. 9 Abs. 2 DSGVO ist erfüllt.

Eine Ausnahme liegt gemäß Art. 9 Abs. 2 lit. h) DSGVO vor, wenn die Verarbeitung unter anderem für Zwecke der Gesundheitsvorsorge oder für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich ist. Eine weitere Ausnahme statuiert Art. 9 Abs. 2 lit. i) DSGVO, wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist. Ferner liegt nach Art. 9 Abs. 2 lit. j) DSGVO eine Ausnahme von dem Verbot der Verarbeitung vor, wenn diese auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich ist.

Die streitgegenständliche Datenverarbeitung fällt unter diese Zwecke. Das Hamburgische Krebsregister dient sowohl der Gesundheitsvorsorge als auch der Versorgung im Gesundheitsbereich im Sinne des Art. 9 Abs. 2 lit. h) DSGVO. Durch die epidemiologische Krebsregistrierung können z.B. die Auswirkungen von Programmen zur Krebsfrüherkennung und -prävention untersucht werden (vgl. § 1 Abs. 1 Satz 1 HmbKrebsRG; RKI/Zentrum für Krebsregisterdaten, Epidemiologische und klinische Krebsregister - Was sind die Unterschiede?, abrufbar unter:https://www.krebsdaten.de/Krebs/DE/Content/Publikationen/Kurzbeitraege/Archiv_vor2017/unterschiede_epi_klin_reg.html; zuletzt abgerufen am 5.10.2022), sowie kann nach Krebsrisikofaktoren gesucht werden (https://www.krebsinformationsdienst.de/tumorarten/grundlagen/krebsforschung-klinische-studien-index.php, zuletzt abgerufen am 5.10.2022). Durch die klinische Krebsregistrierung können Ergebnisse zeitnah an die Behandelnden rückgemeldet werden, um die Versorgung im jeweiligen Erkrankungsfall zu verbessern: Gemäß § 9 Abs. 8 HmbKrebsRG führt das Hamburgische Krebsregister zur Förderung der interdisziplinären, direkten patientenbezogenen Zusammenarbeit elektronische klinische Falldokumentationen. Auf Antrag übermittelt das Hamburgische Krebsregister die darin enthaltenen klinischen Daten an die Behandelnden zu den von ihnen gemeldeten Patientinnen und Patienten. Dies ist insbesondere vor dem Hintergrund relevant, dass bei der Krebsbehandlung in der Regel Ärztinnen und Ärzte aus unterschiedlichen Bereichen und Einrichtungen zusammenarbeiten.

Das Hamburgische Krebsregister dient auch dem öffentlichen Interesse im Bereich der öffentlichen Gesundheit im Sinne des Art. 9 Abs. 2 lit. i) DSGVO. Der Begriff der öffentlichen Gesundheit soll nach Erwägungsgrund 54 der Datenschutz-Grundverordnung im Sinne der Verordnung (EG) Nr. 1338/2008 ausgelegt werden. Nach Art. 3 lit. c) VO (EG) 1338/2008 bezeichnet der Ausdruck "öffentliche Gesundheit" alle Elemente im Zusammenhang mit der Gesundheit, nämlich den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität. Die epidemiologische und die klinische Krebsregistrierung beziehen sich auf den Gesundheitszustand und die Gesundheitsversorgung in diesem Sinne. Während die epidemiologische Registrierung den Gesundheitszustand bevölkerungsbezogen analysiert und etwa durch die Erforschung von Krebsrisikofaktoren sich auf den Gesundheitszustand auswirkende Determinanten ermittelt, werden behandlungsbezogene Determinanten durch die klinische Krebsregistrierung untersucht. Dies dient auch dem öffentlichen Interesse. Krebserkrankungen sind eine der häufigsten Todesursachen in Deutschland. Die Qualität der Vorsorge sowie der Gesundheitsversorgung krebskranker Menschen wird gefördert, indem durch die erhobenen Daten etwa Maßnahmen zur Prävention entwickelt, Unterschiede in der Behandlung aufgezeigt und analysiert und der interdisziplinäre Austausch gefördert werden kann.

Das Krebsregister dient auch wissenschaftlichen Forschungszwecken und statistischen Zwecken im Sinne des Art. 9 Abs. 2 lit. j) DSGVO. Wie auch Erwägungsgrund 157 ausführt, schaffen Register eine breite Informationsgrundlage, da sie auf einen großen Bevölkerungsanteil gestützt sind und langfristige Entwicklungen erfassen. Sie liefern dadurch eine wertvolle Grundlage insbesondere für die angewandte Forschung, die im quantitativ aber auch qualitativ arbeitenden Bereich auf solche Daten angewiesen ist. Die soeben aufgezeigten Möglichkeiten der Verbesserung der medizinischen Vorsorge und Versorgung sind das Ergebnis solch angewandter Forschung. Die statistischen Zwecke des Hamburgischen Krebsregisters sind in § 6 HmbKrebsRG normiert. Gemäß § 6 Abs. 1 HmbKrebsRG werden die Daten ausgewertet und die bevölkerungsbezogenen Ergebnisse in Abständen von höchstens drei Jahren veröffentlicht. Gemäß § 6 Abs. 2 HmbKrebsRG werden die Daten der klinischen Krebsregistrierung jährlich landesbezogen ausgewertet und die Ergebnisse veröffentlicht.

Da die streitgegenständliche Verarbeitung unter die speziellen Zwecke der Art. 9 Abs. 2 lit. h), i) und j) DSGVO fällt, ist nach dem Grundsatz lex specialis derogat legi generali die Anwendung des als allgemeine Öffnungsklausel zu verstehenden Art. 9 Abs. 2 lit. g) DSGVO (Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 9, Rn. 38, 40), wonach die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich sein muss, gesperrt.

(2) Art. 9 Abs. 2 lit. h), i) und j) DSGVO ist gemein, dass die Datenverarbeitung für die jeweiligen Zwecke "erforderlich" sein muss. Der Begriff der Erforderlichkeit kanalisiert dabei einfachgesetzlich den speziell im Lichte des Datenschutzes auszulegenden Grundsatz der Verhältnismäßigkeit. Dabei sind die Unionsgrundrechte leitend ((a)). Die Datenverarbeitung durch das Hamburgische Krebsregister stellt einen Eingriff in die Grundrechte aus Art. 8, 7 GRCh von erheblichem Gewicht dar ((b)). Dieser ist nicht gerechtfertigt und damit nicht "erforderlich" im Sinne des Art. 9 Abs. 2 lit. h), i) und j) DSGVO ((c)).

(a) Der hier einschlägige Maßstab wird durch die Grundrechte der Grundrechte-Charta bestimmt. Denn der Antrag zu 4. bezieht sich auf einen durch das Unionsrecht vollständig determinierten Bereich. Nach den Grundsätzen der Entscheidungen des Bundesverfassungsgerichts "Recht auf Vergessen I" (Beschl. v. 6.11.2019, 1 BvR 16/13) und "Recht auf Vergessen II" (Beschl. v. 6.11.2019, 1 BvR 276/17) findet im unionsrechtlich volldeterminierten mitgliedstaatlichen Recht eine Prüfung anhand der Unionsgrundrechte statt (BVerfG, Beschl. v. 6.11.2019, 1 BvR 276/17, juris, Rn. 42 ff.). Handelt es sich hingegen um einen nicht vollständig determinierten Bereich, so erfolgt die Prüfung anhand der deutschen Grundrechte. Denn dann besteht die widerlegliche Vermutung, dass die deutschen Grundrechte die Grundrechte der Charta mitgewährleisten (BVerfG, Beschl. v. 6.11.2019, 1 BvR 16/13, juris, Rn. 45 ff.).

Mit der Datenschutz-Grundverordnung hat die Europäische Union in der Rechtsform der Verordnung in allen Mitgliedstaaten unmittelbar anwendbares Recht geschaffen, um so der verbliebenen unterschiedlichen Handhabung des Datenschutzrechts in den Mitgliedstaaten wirksamer entgegenzutreten und dem Anspruch eines unionsweit gleichwertigen Datenschutzes größeren Nachdruck zu verleihen (vgl. Erwägungsgründe 9, 10 der Datenschutz-Grundverordnung). Ziel ist eine Vollharmonisierung der materiellen Anforderungen an die Verarbeitung personenbezogener Daten (vgl. BVerfG, Beschl. v. 6.11.2019, 1 BvR 276/17, juris, Rn. 40 f.). Dem steht nicht entgegen, dass Art. 9 Abs. 2 lit. h), i), und j) DSGVO dem nationalen Gesetzgeber jeweils die Möglichkeit eigener Regelungen ("auf der Grundlage [...] des Rechts eines Mitgliedstaats") eröffnet (a.A. Becker, Ordnung der Wissenschaft 2 [2022], 103 [111]). Denn streitentscheidend sind hier die Voraussetzungen des Löschungsanspruchs nach Art. 17 DSGVO und die Frage, ob die Datenverarbeitung rechtmäßig war (vgl. Art. 5 Abs. 1 lit. a) DSGVO), was maßgeblich durch das Unionsrecht bestimmt wird: Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO untersagt und damit unrechtmäßig, wenn nicht eine Ausnahme des Art. 9 Abs. 2 DSGVO erfüllt ist. Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO sehen wiederum jeweils spezifische Vorgaben vor, denen die ausgestaltenden nationalen Vorschriften genügen müssen (z.B. "angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person", Wahrung des "Wesensgehalt[s] des Rechts auf Datenschutz"). Maßgeblich ist letztlich Folgendes: Streitentscheidend für das hier geltend gemachte Begehren ist, ob die – auf der Grundlage des nationalen Rechts erfolgte – Datenverarbeitung erforderlich ist. Der konkretisierungsbedürftige Begriff der Erforderlichkeit ist als autonomer Begriff des Unionsrechts einheitlich auszulegen und kann damit nach der Rechtsprechung des Europäischen Gerichtshofs keinen variablen Gehalt haben (vgl. EuGH, Urt. v. 16.12.2008, C-524/06 [Huber], juris, Rn. 54 zur Richtlinie 95/46/EG; BVerfG, Beschl. v. 6.11.2019, 1 BvR 276/17, juris, Rn. 39). Die Unionsgerichte legen den Grundsatz der Erforderlichkeit im Bereich des Datenschutzes wiederum unter Heranziehung des Grundrechts auf Schutz der personenbezogenen Daten und der Achtung des Privatlebens (EuGH, Urt. v. 8.4.2014, C-293/12 [Digital Rights Ireland], juris, Rn. 52 ff. m.w.N.) aus. Die Datenschutz-Grundverordnung eröffnet insoweit keinen Umsetzungsspielraum im Sinne einer Vielfalt des Grundrechtsschutzes. Die Öffnungsklauseln sind vielmehr der Ausgestaltung des Art. 9 Abs. 1 DSGVO als Verbot mit Erlaubnisvorbehalt geschuldet. Da sich der erforderliche grundrechtliche Schutz maßgeblich durch den Kontext der Datenverarbeitung bestimmt, gewährleistet die Ausgestaltung durch nationale Regelungen gerade den Grundsatz der Erforderlichkeit. Dies ist aber nicht dahingehend zu verstehen, dass die Mitgliedstaaten von den Vorgaben der Datenschutz-Grundverordnung abweichende Regelungen treffen können (so die Formulierung BVerfG, Beschl. v. 6.11.2019, 1 BvR 276/17 juris, Rn. 41). Es handelt sich vielmehr um eine bloße Konkretisierung gerade anhand der spezifischen Vorgaben der Datenschutz-Grundverordnung.

(b) Dies zugrunde gelegt, stellt die Verpflichtung zur Übermittlung der Gesundheitsdaten und die anschließende Verarbeitung der Daten durch das Hamburgische Krebsregister einen Eingriff in das in Art. 8 GRCh verankerte Grundrecht der Klägerin auf Schutz der sie betreffenden personenbezogenen Daten, sowie in das in Art. 7 GRCh gewährleistete Grundrecht auf Achtung des Privatlebens dar. Denn die übermittelten Daten enthalten hochsensible Informationen über den Gesundheitszustand der Klägerin. Art. 7 GRCh schützt auch "das Recht einer Person, ihren Gesundheitszustand geheim zu halten" (vgl. EuGH, Urt. v. 5.10.1994, C-404/92 P [X/Kommission], juris, Rn. 17; Kingreen, in: Calliess/Ruffert, EUV/AEUV, 6. Aufl. 2022, Art. 7 GRCh, Rn. 5).

Dieser Eingriff ist von erheblichem Gewicht. Um das Eingriffsgewicht zu bestimmen, sind verschiedene Kriterien heranzuziehen. Von Relevanz sind die Art und das Ausmaß der erhobenen Daten, sowie ihre Verwendungsmöglichkeit. Zu betrachten sind weiter die Gefahr des Missbrauchs, ob die Daten öffentlich zugänglich sind, sowie mögliche Auswirkungen auf andere Grundrechte. Von Bedeutung sind zudem der Anlass der Datenverarbeitung und, ob die Datenerhebung heimlich erfolgt (vgl. EuGH, Urt. v. 8.4.2014, C-293/12 [Digital Rights Ireland], juris, Rn. 37; Urt. v. 21.12.2016, C-203/15 u. C-698/15 [Tele2 Sevrige], juris, Rn. 97 ff.; Urt. v. 4.5.2017, C-13/16 [Rīgas satiksme], juris, Rn. 32; Urt. v. 24.9.2019, C-136/17 [GC u.a.], juris, Rn. 44, 67; siehe auch BVerfG, Beschl. v. 27.5.2020, 1 BvR 1873/13, juris, Rn. 129; Urt. v. 26.4.2022, 1 BvR 1619/17, juris, Rn. 157).

Unter Anwendung dieses Maßstabs liegt hier im Ergebnis ein Eingriff von erheblichem Gewicht vor. Zwar mindert sich das Eingriffsgewicht dadurch, dass der Eingriff in aller Regel nicht heimlich erfolgt, da gemäß § 2 Abs. 3 HmbKrebsRG bei einer Erstmeldung eine Information über die Datenübermittlung an das Hamburgische Krebsregister erfolgen muss. Diese Erstmeldung ist Folge des ersten persönlichen Arztkontaktes. Denn die Meldung einer Pathologin oder eines Pathologen kann logisch erst nach einem persönlichen Arztkontakt erfolgen, da hier ein von einer Ärztin oder einem Arzt eingesandter Befund untersucht wird. So war es auch bei der Klägerin: Die Meldung des Labors ... erfolgte am 14. Mai 2019; die Datenschutzerläuterung im ... hatte die Klägerin am 29. April 2019 erhalten. Selbst wenn die Information unvollständig war, so war die Klägerin nicht in Unkenntnis darüber, dass ihre Daten an das Hamburgische Krebsregister übermittelt würden. Das Eingriffsgewicht wird auch dadurch begrenzt, dass der Betroffene ein Widerspruchsrecht bereits gegen die Übermittlung der Daten hat. Die Daten sind ferner nicht öffentlich zugänglich. Sie werden auch – anders als etwa bei der Vorratsdatenspeicherung von Verkehrsdaten – durch eine Behörde und nicht durch Private gespeichert sowie innerhalb des Hoheitsgebiets der Mitgliedstaaten (zu diesem Aspekt EuGH, Urt. v. 8.4.2014, C-293/12 [Digital Rights Ireland], juris, Rn. 67 f.). Zu berücksichtigen ist weiter, dass die Daten überwiegend pseudonym oder anonym weiterverarbeitet werden. Die Speicherung erfolgt auch nicht anlasslos, sondern als Folge einer Krebserkrankung im Sinne eines gesetzlich klar definierten und begrenzten Ereignisses. Die Verarbeitung ist schließlich anders als im Sicherheitsrecht nicht darauf gerichtet, weitere hoheitliche Maßnahmen gegenüber den Grundrechtsinhabern zu ermöglichen, sondern soll im Sinne der und für die Erkrankten die Qualität der medizinischen Versorgung verbessern.

Trotz dieser begrenzenden Faktoren spricht jedoch für ein erhebliches Eingriffsgewicht, dass es sich bei den streitgegenständlichen Daten um hochsensible Daten handelt. Dies wird bereits durch die Wertung des Art. 9 Abs. 1 DSGVO deutlich, der Gesundheitsdaten besonders schützt. Insbesondere Daten zu Krebserkrankungen kommt aufgrund der gravierenden Auswirkungen der Krankheit und der damit verbundenen Einschnitte für das Leben einer Person eine nochmals gesteigerte Sensibilität zu. Für das erhebliche Eingriffsgewicht spricht weiterhin, dass eine umfassende Erhebung nahezu sämtlicher die Krebserkrankung betreffender Daten sowie auch darüber hinausgehende Daten, wie z.B. Rauchgewohnheiten (siehe § 3 Abs. 1 Nr. 1 lit. h) HmbKrebsRG), erfasst werden. Der Eingriff hat auch deshalb erhebliches Gewicht, weil die an Krebs erkrankte Person keinen Einfluss auf den Anlass der Datenverarbeitung hat. Durch die Erkrankung befindet sie sich nicht nur in einer unfreiwilligen Situation, sondern auch in einer Notsituation. Schließlich spricht für einen erheblichen Eingriff, dass die Daten aufgrund der weiten Zweckbestimmung auch unter Berücksichtigung der verfahrenssichernden Rechte potentiell sehr breit verwendet werden können. Auch wenn die Speicherung der Daten im Hamburgischen Krebsregister nicht mit der Vorratsdatenspeicherung im Sicherheitsrecht vergleichbar ist, so können die Daten zukünftig für eine Vielzahl unterschiedlicher Studien und Forschungszwecke verwendet werden, die derzeit noch nicht absehbar sind. Dies wird durch die sehr lange Speicherdauer verschärft. Die Daten müssen lediglich innerhalb von 30 Jahren nach dem Tod, spätestens 120 Jahre nach der Geburt gelöscht werden. Dies bedeutet, dass die Daten zu Lebzeiten einer betroffenen Person nicht mehr aus dem Hamburgischen Krebsregister gelöscht werden.

(c) Der Eingriff ist nicht gerechtfertigt. Nicht zu beanstanden ist, dass die Daten aufgrund des bundesweit einheitlichen Datensatzes der ADT/GEKID erhoben werden ((aa)). Die Datenverarbeitung dient auch hinreichend bestimmten und legitimen Zwecken ((bb)). Die epidemiologische und klinische Krebsregistrierung ist zudem geeignet, diese Zwecke zu fördern ((cc)). Die Datenverarbeitung ist jedoch nicht verhältnismäßig im engeren Sinne und damit nicht "erforderlich" im Sinne des Art. 9 Abs. 2 lit. h), i) und j) DSGVO ((dd)).

(aa) Entgegen der Auffassung der Beklagten ist nicht zu beanstanden, dass die Daten aufgrund des bundesweit einheitlichen Datensatzes der ADT/GEKID erhoben werden.Nach Art. 52 Abs. 1 GRCh muss jede Einschränkung der Ausübung der in der Grundrechte-Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein. Aus diesem im Rechtsstaatsprinzip fundierten Vorbehalt des Gesetzes in Verbindung mit dem Demokratieprinzip ergibt sich, dass der Bürger nicht schrankenlos einer Normsetzungsgewalt ausgeliefert sein darf, die ihm gegenüber weder staatlich noch mitgliedschaftlich legitimiert ist. Der Inhalt der von einem Privaten erlassenen Regelungen, auf die staatliche Rechtsnormen verweisen, muss daher im Wesentlichen feststehen. Hierfür kommt es neben dem Sachbereich und der damit verbundenen Grundrechtsrelevanz wesentlich auf den Umfang der Verweisung an (vgl. BVerwG, Urt. v. 27.6.2013, 3 C 21/12, juris, Rn. 42 f.).

Dies zugrunde gelegt, finden sich in § 3 Abs. 1 Nr. 2 HmbKrebsRG gesetzgeberisch die wesentlichen Vorgaben für die Ausgestaltung des bundeseinheitlichen Datensatzes der ADT/GEKID. Diese umfassen sowohl Angaben zur Diagnose (z.B. Tumordiagnose, Lokalisation des Tumors, Grad der Tumorausbreitung) als auch zum Behandlungsverlauf (Art, Beginn, Dauer und Ergebnis der Therapie). Zwar ist zu berücksichtigen, dass die medizinischen Angaben nicht abschließend formuliert sind, da § 3 Abs. 1 Nr. 2 HmbKrebsRG diese nur als "insbesondere" aufzählt; § 3 Abs. 4 HmbKrebsRG beschränkt dies jedoch wiederum insoweit, als die "in Absatz 1 genannten Angaben" auf der Grundlage des bundesweit einheitlichen Datensatzes erhoben werden. Aus den Vorgaben in § 3 Abs. 1 Nr. 2 HmbKrebsRG wird ersichtlich, dass die zu einer Krebserkrankung vorliegenden medizinischen Daten so vollumfänglich an das Hamburgische Krebsregister zu übermitteln sind, dass ein ausdifferenziertes Bild von dem Befund, dem Krankheitsverlauf und der Behandlung vorliegt. Die nachgelagerte Ausgestaltung des Datensatzes durch die ADT und GEKID betrifft nur noch die Konkretisierung dieser Vorgaben im Detail und hält sich im vorgegebenen gesetzgeberischen Umfang. In diesem Zusammenhang ist auch relevant, dass es sich nicht um eine dynamische Verweisung im Sinne eines Verweises auf eine fremde Regelungsmaterie in einem anderen Kontext handelt. Vielmehr dienen der Basisdatensatz und die ihn ergänzenden Module allein dazu, die gesetzgeberischen Vorgaben im Bereich der Krebsregistrierung umzusetzen. In die Entwicklung der Datensätze sind zudem gemäß 65c Abs. 1a und 3 Satz 2 SGB V zahlreiche weitere Akteure aus dem Fachbereich und darüber hinaus involviert, etwa der Spitzenverband Bund der Krankenkassen oder die maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen. Entgegen der Auffassung der Klägerin ist auch nicht zu beanstanden, dass personelle Verflechtungen zwischen der ADT/GEKID und den Krebsregistern existieren. Das Heranziehen und Nutzbarmachen von Expertise bringt naturgemäß mit sich, dass die beteiligten Spezialistinnen und Spezialisten in diesem Feld tätig sind. Diese Problematik wird gerade durch das Erfordernis gesetzlicher Vorgaben eingehegt. Sind die wesentlichen Entscheidungen auf der Ebene des demokratisch legitimierten Gesetzgebers getroffen, so wird der nachfolgenden Ausgestaltung der notwendige, aber auch hinreichende Rahmen gesetzt.

Die Datensätze genügen auch dem aus dem Rechtsstaatsprinzip fließenden Grundsatz der Publizität. Der zum Zeitpunkt der streitgegenständlichen Datenübermittlung maßgebliche bundesweit einheitliche Datensatz wurde im Bundesanzeiger am 28. April 2014 veröffentlicht (abrufbar unter: https://www.bundesanzeiger.de/pub/publication/2H3hckqnSNfruYMXVOd/content/2H3hckqnSNfruYMXVOd/BAnz%20AT%2028.04.2014%20B2.pdf?inline, zuletzt abgerufen am 5.10.2022). Entgegen der Auffassung der Klägerin gilt dies auch für das Ergänzungsmodul Brust- und Darmkrebs. Dieses wurde am 26. November 2015, also vor der streitgegenständlichen Datenübermittlung, im Bundesanzeiger veröffentlicht (abrufbar unter: https://www.bundesanzeiger.de/pub/publication/jPIvKTWMIGeIqB9jwrM/content/jPIvKTWMIGeIqB9jwrM/BAnz%20AT%2026.11.2015%20B1.pdf?inline, zuletzt abgerufen am 5.10.2022).

(bb) Die Verarbeitung der klägerischen Daten dient hinreichend bestimmten und legitimen Zwecken. Entgegen der Auffassung der Klägerin bedurfte es keiner genaueren Bestimmung der in § 1 Abs. 1 HmbKrebsRG normierten Zwecke. Der Begriff der Krebsforschung ist weit gefasst. Dies ist vorliegend aber zulässig. Denn der Datenschutz-Grundverordnung lässt sich in der Zusammenschau eine Privilegierung der Forschung entnehmen, die auch eine weiter gefasste Zwecksetzung ermöglicht. Unionsverfassungsrechtlicher Ausgangspunkt ist dabei Art. 179 Abs. 1 AEUV, wonach ein europäischer Raum der Forschung geschaffen werden soll. Die Privilegierung der Forschung in der Datenschutz-Grundverordnung kommt zum einen in Erwägungsgrund 33 zum Ausdruck, wonach der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung oftmals zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden kann und es daher betroffenen Personen unter gewissen Bedingungen erlaubt sein sollte, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben. Auch wenn sich der Erwägungsgrund explizit nur auf die Frage der Einwilligung bezieht, wird allgemein deutlich, dass die Datenschutz-Grundverordnung die Konkretisierungsbedürftigkeit zukünftiger Forschung erkannt hat und die Problematik über eine weite Zweckbestimmung löst. Die Privilegierung von Forschung hinsichtlich der Bestimmtheit der Zwecke wird zudem in Art. 5 Abs. 1 lit. b) Halbs. 2 DSGVO deutlich. Danach gilt eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken. Besonders deutlich wird die Möglichkeit einer weiten Zweckbestimmung schließlich in Erwägungsgrund 157:

Durch die Verknüpfung von Informationen aus Registern können Forscher neue Erkenntnisse von großem Wert in Bezug auf weit verbreitete Krankheiten wie Herz-Kreislauferkrankungen, Krebs und Depression erhalten. Durch die Verwendung von Registern können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil gestützt sind. [...] Durch Register erhaltene Forschungsergebnisse bieten solide, hochwertige Erkenntnisse, die die Basis für die Erarbeitung und Umsetzung wissensgestützter politischer Maßnahmen darstellen, die Lebensqualität zahlreicher Menschen verbessern und die Effizienz der Sozialdienste verbessern können. Zur Erleichterung der wissenschaftlichen Forschung können daher personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden, wobei sie angemessenen Bedingungen und Garantien unterliegen, die im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt sind.

Erwägungsgrund 157 betont den großen Nutzen von Registern für die Forschung und erwähnt die Krebsforschung ausdrücklich. Ihrer Natur nach sammeln und speichern Register aber Daten zunächst vorrätig ohne Bezug zu einer konkreten Verwendung im Einzelfall. Ihnen ist inhärent, dass ihr Zweck zunächst nur sehr allgemein bestimmt werden kann und erst durch das spezifische Forschungsprojekt weiter konkretisiert wird. Erkennt die Datenschutz-Grundverordnung diesen Nutzen an und hält sie ihn für besonders förderwürdig, so kann das Register nicht zugleich allein aufgrund seiner Ausgestaltung als Register gegen die Datenschutz-Grundverordnung verstoßen.

(cc) Die epidemiologische und klinische Krebsregistrierung ist auch geeignet, diese Zwecke der Krebsforschung, Gesundheitsvorsorge und -versorgung, sowie Statistik zu fördern. Entgegen der Ansicht der Klägerin lässt sich der PROGNOS-Studie nichts Gegenteiliges entnehmen. Die aus dem Jahr 2010 stammende Studie untersucht das Verhältnis von Aufwand und Nutzen zum Ausbau und dem Betrieb bundesweit flächendeckender klinischer Krebsregister. Die von der Klägerin in Bezug genommene Passage weist lediglich auf die methodischen Schwierigkeiten hin, den Nutzen der Krebsregistrierung zu messen, ihn insbesondere in monetäre Einheiten zu übersetzen (Endbericht Aufwand-Nutzen-Abschätzung zum Ausbau und Betrieb bundesweit flächendeckender klinischer Krebsregister, abrufbar unter: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Praevention/Berichte/Gutachten-Aufwand-Nutzen-Abschaetzung-Krebsregister.pdf, S. 139 f.; zuletzt abgerufen am 5.10.2022). Wie dargelegt bringt Erwägungsgrund 157 der Datenschutz-Grundverordnung den großen Nutzen von Krebsregistern für die Forschung zum Ausdruck. Vor diesem Hintergrund überschreitet die Einschätzung, dass ein möglichst vollständiger Datenbestand wesentliche Grundlage für die angewandte Forschung, z.B. die Krebsrisikoforschung, ist und diese daher fördert, den Einschätzungsspielraum des Gesetzgebers nicht. Auch ist die gesetzgeberische Annahme, die Krebsregistrierung diene auch dem Zwecke der Gesundheitsversorgung und -vorsorge, entsprechend den obigen Ausführungen (4. b. aa. (1)) nicht zu beanstanden.

(dd) Die Datenverarbeitung ist jedoch nicht verhältnismäßig im engeren Sinne und damit nicht "erforderlich" im Sinne von Art. 9 Abs. 2 lit. h), i) und j) DSGVO. Nach der unionsgerichtlichen Rechtsprechung muss eine Regelung klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken ermöglichen. Die Regelung muss nach nationalem Recht bindend sein und insbesondere Angaben dazu enthalten, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass sich der Eingriff auf das absolut Notwendige beschränkt. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisiert verarbeitet werden, vor allem wenn eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht. Diese Erwägungen gelten in besonderem Maß, wenn es um den Schutz der speziellen Kategorie sensibler personenbezogener Daten geht (EuGH, Urt. v. 6.10.2020, C- 623/17 [Privacy International], juris, Rn. 68; Urt. v. 8.4.2014, C-293/12 u. C-594/12 [Digital Rights Ireland], juris, Rn. 54 f.; Urt. v. 21.12.2016, C-203/15 u. C-698/15 [Tele2], juris, Rn. 117; Gutachten 1/15 [PNR-Abkommen EU–Kanada] v. 26.7.2017, juris, Rn. 141).

Die im Wege einer Gesamtbetrachtung zu bewertende gesetzliche Ausgestaltung der im Hamburgischen Krebsregistergesetz vorgesehenen Garantien genügt diesen Anforderungen nicht. Ausgangspunkt der Bewertung ist dabei, dass, wie dargelegt, ein Eingriff von erheblichem Gewicht vorliegt. Dem stehen zwar gewisse Vorgaben des Hamburgischen Krebsregistergesetzes zum Schutz der Rechte des Einzelnen gegenüber sowie eine darüber hinausgehende interne Verwaltungspraxis im Sinne eines Datenschutz-Konzepts. Indes bedarf es umfänglicherer und konkreterer gesetzgeberischer Bestimmungen, die zu gewährleisten vermögen, dass die hochsensiblen Daten vor Missbrauchsrisiken, jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt und so der Eingriff auf das absolut Notwendige beschränkt wird. Im Einzelnen:

Die Kammer verkennt nicht, dass das Hamburgische Krebsregistergesetz gesetzliche Vorgaben zum Schutz der Freiheiten und Rechte des Einzelnen enthält. So ist in §§ 5, 1 Abs. 3 HmbKrebsRG ein abgegrenzter, "besonders geschützter" Vertrauensbereich vorgesehen. Durch das Kontrollnummernverfahren mit anschließender Überverschlüsselung wird gewährleistet, dass die Verarbeitung der Daten weitgehend pseudonymisiert erfolgt. Dies betrifft insbesondere auch den Fall, dass Daten ohne Patientenkontakt übermittelt werden; hier erfolgt gemäß § 2 Abs. 4 Satz 3 Halbs. 2 HmbKrebsRG grundsätzlich eine lediglich pseudonyme Speicherung. Art. 89 Abs. 1 Satz 2 DSGVO erkennt die Pseudonymisierung auch als mögliche Garantie zur Sicherung der Rechte und Freiheiten der betroffenen Person an. § 8 HmbKrebsRG schützt die personenbezogenen Daten bei der Datenübermittlung insofern, als diese in der Regel in anonymisierter Form zu erfolgen hat. Die Übermittlung personenbezogener Daten ist nach § 9 HmbKrebsRG an strenge Voraussetzungen gebunden. Die Betroffenen haben ein Widerspruchsrecht sowohl gegen die Übermittlung der Daten als auch gegen die Speicherung der personenidentifizierenden Klartextdaten. § 12 Abs. 3 HmbKrebsRG ordnet an, dass im Falle des Widerspruchs eine Speicherung lediglich pseudonymer Daten erfolgt und dass eine Reidentifizierung nicht erfolgt. Bereits gespeicherte personenidentifizierende Klartextdaten sind zu löschen. Dies erfolgt in der Praxis in einem automatisierten Verfahren, so dass bei einem erneuten Eingang einer Meldung die Klartextdaten auf der Benutzeroberfläche nicht sichtbar sind.

Die Kammer verkennt weiter nicht, dass das Hamburgische Krebsregister über diese gesetzlichen Vorgaben hinaus zahlreiche Maßnahmen zur Sicherung der Daten in der Praxis anwendet. In der mündlichen Verhandlung hat die Beklagte ein internes Datenschutz-Konzept vorgelegt, das Sicherheitskonzepte für die Datenbank und die Anwendungssoftware vorsieht, Vorgaben zur Datensicherung und Übermittlung der Daten macht, sowie eine Datenschutzverpflichtung für alle beim Hamburgischen Krebsregister Beschäftigte vorsieht.

Indes genügt angesichts der Erheblichkeit des Eingriffs vorliegend das tatsächliche Vorhandensein entsprechender Garantien ohne rechtliche Verbindlichkeit nicht dem Grundsatz der Verhältnismäßigkeit. Indem die unionsgerichtliche Rechtsprechung als zentrale Vorgabe klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme, sowie zu Mindestgarantien fordert, die nach nationalem Recht bindend sein müssen (EuGH, Urt. v. 6.10.2020, C-623/17 [Privacy International], juris, Rn. 68 m.w.N.), wird die besondere Bedeutung gesetzlicher Vorgaben im Datenschutzrecht deutlich. Auch das Bundesverfassungsgericht betont in seiner Rechtsprechung zum Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG die Notwendigkeit hinreichend konkreter gesetzlicher Vorgaben (vgl. bereits BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83, juris, Rn. 151; Urt. v. 19.5.2020, 1 BvR 2835/17, juris, Rn. 137; Urt. v. 26.4.2022, 1 BvR 1619/17, juris, Rn. 199 f.). Darin spiegelt sich das Erfordernis eines durchgängig gewährleisteten verfassungsrechtlichen Schutzniveaus wider. Dieses darf in seiner konkreten Ausgestaltung nicht vollständig der Verwaltung überlassen bleiben. Denn zum einen sind bloße verwaltungsinterne Vorgaben der jederzeitigen Veränderung zugänglich. Fehlt es aber punktuell etwa an einem ausreichenden Sicherheitskonzept, so kann dies im Datenschutz weitreichende Konsequenzen haben: Werden Daten unberechtigt erhoben, missbräuchlich auf diese zugegriffen oder weiter übermittelt, so können sie in der Regel nur schwer wieder eingefangen werden. Zum anderen dienen gesetzliche Vorgaben der Kontrolle und dem effektiven Schutz. Nur wo ein rechtlicher Maßstab zur Verfügung steht, anhand dessen exekutives Handeln (gerichtlich) überprüft werden kann, wird Macht durch eine kontrollierende Gegenmacht begrenzt. Es bedarf Normen, die aus sich heraus der Verwaltung steuernde und begrenzende Handlungsmaßstäbe bieten. Auch effektiver Schutz gegenüber staatlicher Datenerhebung und -verarbeitung ist nur auf Grundlage eines ausreichend spezifischen gesetzlichen Normprogramms möglich (vgl. BVerfG, Urt. v. 26.4.2022, 1 BvR 1619/17, juris, Rn. 200). Darüber hinaus soll Datenschutz auch präventiv wirken: Schon die Gefährdung durch den Umgang mit Daten soll beseitigt werden (Spiecker gen. Döhmann, in: dies./Wallrabenstein, Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, S. 12). Dies erfordert jedoch bei der Datenverarbeitung durch Behörden von außen, also durch den Gesetzgeber, kommende Vorgaben. Schließlich spricht auch die Zusammenschau der zentralen Grundsätze des Datenschutzes dafür, dass es möglichst präziser gesetzlicher Bestimmungen bedarf. Der Grundsatz der Zweckbindung, der zentrale Grundsatz des Datenschutzrechts (Art. 5 Abs. 1 lit. b) DSGVO), beruht auf dem Gedanken der eingrenzenden Kraft vorheriger und eindeutiger Festlegungen (vgl. Spies, ZD 2022, 75, 76, 78). Auch der Grundsatz der Transparenz, Art. 5 Abs. 1 lit. a) DSGVO, erfordert gesetzliche Vorgaben. Dieser umfasst nicht nur die retrospektive Nachverfolgung der Schritte der Datenverarbeitung, sondern auch deren prospektive Vorhersehbarkeit (Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 5, Rn. 21). Dies beruht letztlich darauf, dass Datenschutz die Autonomie des Einzelnen wahren will. Der Einzelne soll frei und unabhängig über seine Daten entscheiden können (Spiecker gen. Döhmann, in: dies./Wallrabenstein, Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, S. 11; BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83, juris, Rn. 148). Die Datenverarbeitung kann aber nur dann bewertet und einer persönlichen Entscheidung zugeführt werden, wenn sich der Betroffene jedenfalls einen Überblick über die mit der Datenverarbeitung verbundenen Risiken, Zugriffsmöglichkeiten und die wesentlichen (Sicherheits-)Garantien verschaffen kann. Wie sich nicht zuletzt aus dem hiesigen Verfahren ergibt, wird diese Kenntnis bei einer lediglich internen bzw. faktisch gelebten Umsetzung kaum erlangt werden können. Bis zum Zeitpunkt der mündlichen Verhandlung war außerhalb der Beklagten unbekannt, ob und welches Sicherheitskonzept die Beklagte verfolgt.

Diesem Erfordernis gesetzlicher Vorgaben genügt das Hamburgische Krebsregistergesetz in der Gesamtschau nicht. Zwar besteht durch die genannten gesetzlichen Vorgaben (insbesondere zur Pseudonymisierung und zur Übermittlung der Daten, sowie durch das Widerspruchsrecht) ein gewisses Schutzniveau. Angesichts der Erheblichkeit des Eingriffs bedürfte es jedoch eines weitergehenden gesetzgeberischen Rahmens, der insbesondere die Sicherheit der Verarbeitung gewährleistet und einen unbefugten Zugriff – intern wie extern – verhindert. § 5 Abs. 1 HmbKrebsRG sieht lediglich vor, dass ein "besonders geschützter" Vertrauensbereich bestehen muss. Wie dies aber im Konkreten auszugestalten ist, bleibt in Gänze dem Hamburgischen Krebsregister vorbehalten. Es fehlt an klaren und strikten gesetzgeberischen Vorkehrungen für den Schutz und die Sicherheit der hochsensiblen Daten, damit deren Unversehrtheit und Vertraulichkeit in vollem Umfang gewährleistet ist. Dies fällt umso schwerer ins Gewicht, als das Hamburgische Krebsregistergesetz keine detaillierte Aufgabenzuweisung für den Vertrauensbereich und den Registerbereich enthält und so auch nicht auf der Ebene der Verantwortungsklarheit einer missbräuchlichen bzw. auf das absolut Notwendige begrenzten Verwendung der Daten entgegengewirkt: Zwar finden sich in § 5 HmbKrebsRG Vorgaben dahingehend, dass die Daten im Vertrauensbereich erfasst, geprüft, zusammengeführt und gespeichert werden. Wer hingegen etwa die Auswertung der Daten nach § 6 oder § 7 Abs. 1 HmbKrebsRG vornimmt, ist offen. Das Erfordernis gesetzlicher Vorgaben wird auch nicht dadurch kompensiert, dass Art. 32 DSGVO allgemeine Anforderungen hinsichtlich der Sicherheit der Verarbeitung aufstellt. Denn es handelt sich hierbei um die Normierung eines allgemeinen datenschutzrechtlichen Grundsatzes ohne Bezug zum spezifischen Regelungskontext. Es fehlt an einer hinreichenden Konkretisierung der Vorgaben, die die Sensibilität der streitgegenständlichen Daten entsprechend der unionsgerichtlichen Rechtsprechung berücksichtigt und mit den jeweiligen Zwecken der Verarbeitung in Ausgleich bringt; diese Abwägung konstituiert jedoch gerade die vom Gesetzgeber zu leistende – wesentliche – Verwirklichung und Sicherung grundrechtlicher Positionen.

Dass eine präzisere gesetzliche Ausgestaltung auch tatsächlich möglich ist, zeigt ein Vergleich mit anderen Landesgesetzen und § 303a SGB V. Im Hessischen Krebsregistergesetz finden sich in § 11 detaillierte Vorgaben zur Datensicherheit. Es wird festgelegt, dass Vorschriften die Zutrittskontrolle, Benutzerkontrolle, Zugriffskontrolle, Datenverarbeitungskontrolle, Verantwortlichkeitskontrolle, Auftragskontrolle, Dokumentationskontrolle und Organisationskontrolle gewährleisten müssen. Das Landeskrebsregistergesetz Baden-Württemberg enthält in § 2 Vorgaben zur Organisation des Krebsregisters und sieht eine räumliche, organisatorische und personelle Trennung von Vertrauensstelle, klinischer Landesregisterstelle und epidemiologischem Krebsregister vor. § 5 enthält sodann detaillierte Vorgaben hinsichtlich der Verarbeitung der personenidentifizierenden Klartextdaten durch die Vertrauensstelle. Es wird sowohl das Erfordernis automatisierter Verarbeitungsverfahren aufgestellt als auch geregelt, wann ein Zugriff auf die personenidentifizierenden Klartextdaten erfolgen darf. § 303a Abs. 1 Satz 2 SGB V ermächtigt zu einer näheren Ausgestaltung im Wege der Rechtsverordnung und stellt in Abs. 4 weitere Rahmenbedingungen auf: Danach ist etwa das Verfahren der Pseudonymisierung (Nr. 3) und die Evaluation und Weiterentwicklung der Datentransparenz (Nr. 6) näher zu regeln. Auch für das Hamburgische Krebsregister bedarf es der gesetzgeberischen Auseinandersetzung mit den technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit und Verantwortlichkeit. Dabei bleibt es dem Gesetzgeber grundsätzlich unbenommen, die nähere Ausgestaltung aufgrund einer entsprechenden gesetzlichen Ermächtigung durch Rechtsverordnung zu regeln.

bb. Die Beklagte ist auch Verantwortliche. Dies ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Mit Eingang einer Meldung liegen die Daten im Bearbeitungs- und Verantwortungsbereich des Hamburgischen Krebsregisters, das fortan unter Berücksichtigung der von der Beklagten als Gesetzgeber normierten Vorgaben über die weitere Verarbeitung der Daten entscheidet.

cc. Der Löschungsanspruch ist nicht nach Art. 17 Abs. 3 lit. d) DSGVO ausgeschlossen. Danach gilt Art. 17 Abs. 1 DSGVO nicht, soweit die Verarbeitung erforderlich ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. Vorliegend beeinträchtigt die Löschung der klägerischen Daten nicht ernsthaft die durch das Hamburgische Krebsregister verfolgten Forschungszwecke und statistischen Zwecke. Abzustellen ist dabei auf die Ausübung des Löschungsrechts im Einzelfall der Klägerin und nicht auf das Löschungsrecht im Allgemeinen. Zwar lässt der Wortlaut ein solches allgemeines Verständnis zu. Systematisch verweist Absatz 3 jedoch auf "das in Absatz 1 genannte Recht"; dort ist der auf den Einzelfall bezogene Löschungsanspruch normiert, der von den konkreten Umständen der Datenverarbeitung abhängt. Absatz 3 stellt zudem auf die "erforderliche" Verarbeitung ab, womit nur die Datenverarbeitung im Einzelfall gemeint sein kann. Für diese Auslegung streitet weiter, dass es sich um eine Ausnahme von dem für das Datenschutzrecht zentralen Löschungsanspruch handelt und diese mithin zum Schutz der Rechte des Betroffenen eng auszulegen ist. Auch ist die Ausnahme von der Löschungspflicht nicht wie die übrigen Ausnahmen von den Betroffenenrechten in Art. 89 Abs. 2 DSGVO allgemein normiert, sondern in Art. 17 DSGVO, der den Löschungsanspruch des Einzelnen statuiert. Sinn und Zweck des Löschungsanspruchs spricht ebenfalls dafür, dass auf den Einzelfall abzustellen ist: Stellte man auf das Löschungsrecht allgemein ab, würde dies bedeuten, dass für sämtliche Register und quantitativ arbeitende wissenschaftliche Forschungsprojekte der Löschungsanspruch als eines der zentralen Betroffenenrechte von vornherein praktisch ausgeschlossen wäre. Denn bei dieser allgemeinen Betrachtung, wonach alle den Löschungsanspruch ausüben könnten, wären die auf eine möglichst vollständige Datengrundlage angewiesenen Register immer in ihrer Funktionsfähigkeit ernsthaft beeinträchtigt. Zwar führt demgegenüber eine Einzelfallbetrachtung wohl regelmäßig dazu, dass umgekehrt eine ernsthafte Beeinträchtigung zu verneinen ist, weil die Löschung einzelner Daten insbesondere bei Registern und Datenspeicherungen zu statistischen Zwecken und Ähnlichem zumeist nicht zur Unterschreitung einer erforderlichen kritischen Masse führt. Gerade diese Entscheidung unter Berücksichtigung der Umstände des Einzelfalls entspricht indes am ehesten dem Sinn des Löschungsanspruchs, das Grundrecht auf Schutz personenbezogener Daten des Einzelnen unter gleichzeitiger Berücksichtigung der Funktionsfähigkeit von Registern und Datenspeicherungen zu den genannten Zwecken zu wahren.

Unter Zugrundelegung dieses Verständnisses liegt eine ernsthafte Beeinträchtigung der Zwecke des Hamburgischen Krebsregisters bei Löschung der personenbezogenen Daten der Klägerin nicht vor. Wie die Leiterin des Hamburgischen Krebsregisters in der mündlichen Verhandlung ausgeführt hat, wird davon ausgegangen, dass ein Bestand von 90 % der Daten genügt, um Verzerrungen zu vermeiden. Indem das Hamburgische Krebsregister ein Widerspruchsrecht bereits gegen die Weitergabe der Daten vorsieht, nimmt es von vornherein eine Einschränkung der Vollständigkeit des Datensatzes hin. Dem widerspräche es, hielte man zugleich den vollständigen Ausschluss des Löschungsrecht deswegen für erforderlich, weil andernfalls der Zweck der Verarbeitung nicht erreicht werden könnte oder ernsthaft beeinträchtigt wäre.

5. Über den Antrag zu 5. war nicht zu entscheiden, da die Bedingung, unter der er gestellt worden ist, nicht eingetreten ist. Denn der auf Auskunft gerichtete Klageantrag zu 4. wurde nicht wegen bereits erfolgter Löschung der Daten abgewiesen.

6. Der Antrag zu 6. ist unzulässig, da es ihm an dem für die vorbeugende Unterlassungsklage erforderlichen besonderen Rechtsschutzinteresse fehlt.

Der Antrag ist als vorbeugende Unterlassungsklage zu qualifizieren. Diese stellt einen Fall der allgemeinen Leistungsklage im Sinne von § 43 Abs. 2 VwGO dar, da sie auf die Unterlassung einer nicht als Verwaltungsakt zu bewertenden öffentlich-rechtlichen Amtshandlung gerichtet ist. So liegt es hier. Die zukünftige Verarbeitung der Daten durch das Hamburgische Krebsregister stellt einen hoheitlichen Realakt dar. Es fehlt dem Klagebegehren jedoch an dem besonderen Rechtsschutzinteresse. Die Zulässigkeit vorbeugenden Rechtsschutzes auf die Unterlassung zukünftiger Handlungen setzt ein besonderes, gerade auf die Inanspruchnahme vorbeugenden Rechtsschutzes gerichtetes Rechtsschutzinteresse voraus (BVerwG, Urt. v. 23.5.1989, 7 C 2/87, juris, Rn. 46). Daran fehlt es hier. Die Klägerin erstrebt mit ihrem Antrag eine Verpflichtung der Beklagten, eine gleichartige Datenverarbeitung, wie sie zuvor mit jedem Eingang einer neuen Meldung erfolgt ist, zu unterlassen. Der damit nachgesuchte Rechtsschutz wird jedoch durch die Verurteilung der Beklagten, die Daten der Klägerin zu löschen, in hinreichendem Umfang gewährt. Denn dort wird inzident die Feststellung getroffen, dass mangels hinreichender gesetzlicher Vorgaben die Datenverarbeitung unrechtmäßig ist, dementsprechend auch eine künftige Verarbeitung unrechtmäßig wäre. Es kann und muss erwartet werden, dass sich das Hamburgische Krebsregister als zuständige behördliche Stelle an den Spruch der Kammer und die ihm zugrunde liegende Beurteilung halten und diese (bei gleichbleibender Sach- und Rechtslage) respektieren wird (vgl. zum Vorstehenden BVerwG, Urt. v. 19.3.1974, I C 7.73, juris, Rn. 40 f.).

7. Auch der Antrag zu 7. ist unzulässig, da kein feststellungsfähiges Rechtsverhältnis zur Beklagten vorliegt und dem Antrag das Rechtsschutzbedürfnis fehlt.

Es liegt kein feststellungsfähiges Rechtsverhältnis im Sinne des § 43 VwGO vor. Ein Rechtsverhältnis ist die sich aus einem konkreten Sachverhalt ergebende öffentlich-rechtliche Beziehung einer Person zu einer anderen Person oder zu einer Sache (BVerwG, Urt. v. 26.1.1996, 8 C 19/94, juris, Rn. 10). Nicht statthaft sind Feststellungsanträge, bei denen das feststellungsfähige Rechtsverhältnis nicht – wie behauptet – zur Beklagten, sondern in Wirklichkeit zu einem Dritten besteht (BVerwG, Urt. v. 31.8.2011, 8 C 8/10, juris, Rn. 14). So liegt es hier. Die Klägerin begehrt im Kern eine Feststellung gegenüber den behandelnden Ärztinnen und Ärzten. Denn es kommt ihr darauf an, gegen deren Datenübermittlung rechtlich vorzugehen. Wechselseitige Rechte und Pflichten der Klägerin und Beklagten oder Pflichten der Beklagten gegenüber den Ärztinnen oder Ärzten hat der vorliegende Antrag indes nicht zum Gegenstand. Darüber hinaus ist das Rechtsverhältnis auch nicht hinreichend konkret (vgl. dazu BVerwG, Urt. v. 23.1.1992, 3 C 50/89, juris, Rn. 30 m.w.N.). Denn die Klägerin begehrt die Feststellung gegenüber unbekannten Personen.

Dem Antrag fehlt auch das allgemeine Rechtsschutzbedürfnis. Dieses ist dann nicht gegeben, wenn der Kläger sein Ziel auf anderem Wege schneller und einfacher erreichen könnte, oder wenn ein Erfolg seine Rechtsstellung nicht verbessern würde (Wöckel, in: Eyermann, VwGO, 16. Aufl. 2022, Vorb. zu §§ 40-53, Rn. 11 m.w.N.). So liegt es hier. Die Klägerin begehrt die Feststellung, dass sämtliche, derzeit noch unbekannte sie behandelnde Ärztinnen und Ärzte nicht berechtigt und verpflichtet sind, ihre Daten an das Hamburgische Krebsregister zu übermitteln. Dieser Feststellungsausspruch nützte der Klägerin jedoch nichts: Kennt die Klägerin die sie behandelnden Ärztinnen und Ärzte nicht, etwa bei Untersuchungen durch Pathologen, so ist nicht ersichtlich, wie diese Ärztinnen und Ärzte von dem begehrten Urteil Kenntnis erlangen sollten. Kennt sie hingegen die sie behandelnden Ärztinnen und Ärzte, so erreichte sie ihr Rechtsschutzziel einfacher, indem sie unmittelbar bei den Ärztinnen und Ärzten Widerspruch gegen die Übermittlung ihrer Daten einlegte.

8. Die Erweiterung um den Antrag zu 7a. war gemäß § 173 S. 1 VwGO i.V.m. § 264 Nr. 2 ZPO zulässig. Über den Antrag zu 7a. war zu entscheiden, da die Bedingung, unter der er gestellt worden ist, eingetreten ist. Der Antrag zu 7a. ist ebenfalls mangels hinreichend konkreten, feststellungsfähigen Rechtsverhältnisses sowie mangels Rechtsschutzbedürfnisses unzulässig. Auch hier verlangt die Klägerin eine Feststellung in Bezug auf nicht am Rechtsstreit beteiligte unbekannte Personen. Das begehrte Urteil verbesserte ihre Rechtsstellung nicht. Auf die voranstehenden Ausführungen (7.) wird verwiesen.

II.

Die Kostenentscheidung beruht auf § 155 Abs. 1 Satz 1 VwGO. Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf § 167 Abs. 1 Satz 1 und Abs. 2 VwGO i.V.m. §§ 708 Nr. 11, 709 S. 2, 711 ZPO.

III.

Die Berufung war gemäß § 124a Abs. 1 Satz 1 i.V.m. § 124 Abs. 2 Nr. 3 VwGO zuzulassen. Die Frage, ob nach Löschung der personenidentifizierenden Klartexdaten gemäß § 12 Abs. 3 HmbKrebsRG noch personenbezogene Daten vorliegen, sowie die dem Löschungsanspruch nach Art. 17 Abs. 1 DSGVO zugrundeliegende Frage der (unions-)verfassungsrechtlichen Ausgestaltung des Hamburgischen Krebsregisters hat grundsätzliche Bedeutung. Denn diese wirken sich auf die informationstechnische Ausgestaltung des Hamburgischen Krebsregisters im Gesamten aus und können ein gesetzgeberisches Tätigwerden erfordern. Dies gilt umso mehr, als aufgrund der Verknüpfung der Landeskrebsregister untereinander bundesweite Abspracheprozesse angestoßen werden dürften.