Schleswig-Holsteinisches OVG, Beschluss vom 28.02.2014 - 4 MB 82/13
Fundstelle
openJur 2014, 7547
  • Rkr:
Verfahrensgang
Tenor

Auf die Beschwerde des Antragsgegners wird der Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts - 8. Kammer - vom 5. November 2013 geändert:

Der Antrag wird hinsichtlich der beantragten Anordnung einer Unterlassung der Äußerungen,

- die Antragstellerin gebe keine anonymisierten, sondern pseudonymisierta Daten heraus,

und/oder

- die Antragstellerin handele unzulässig, und/oder

die von der Antragstellerin vorgenommene Verschlüsselung der Rezeptdaten sei nicht ausreichend,

und/oder

- die Antragstellerin begehe einen Rechtsverstoß, und/oder

die von der Antragsstellerin verschlüsselten Datensätze seien eindeutig zuordenbar,

mit der Maßgabe abgelehnt, dass der Antragsgegner zukünftig entsprechende Äußerungen als seine Auffassung zu kennzeichnen hat.

Im Übrigen wird die Beschwerde zurUckgewiesen.

Die Kosten des gesamten Verfahrens tragen die Beteiligten je zur Hälfte.

Der Streitwert wird für beide lnstanzen auf 5.000 Euro

festgesetzt.

Gründe

Die zulässige Beschwerde ist nur teilweise begründet.

Das Vorbringen des Antragsgegners aus den nach Ablauf der einmonatigen Beschwerdebegründungsfrist eingereichten Schriftsätzen vom 31. Januar sowie vom 13. Februar 2014 berücksichtigt der Senat lediglich insoweit, als dort die mit fristgerechtem Schriftsatz vom 4. Dezember 2013 geltend gemachten Gründe vertieft werden (vgl. dazu allg. Guckelberger, in: Sodan/Ziekow, VwGO, 3. Aufl. 2010, § 146 Rn. 85, Rn. 101 ff., 115). Danach kann die Antragstellerin vorliegend den Erlass einer einstweiligen Anordnung, mit welcher dem Antragsgegner die Unterlassung der von ihr bezeichneten medienöffentlichen Äußerungen aufgegeben werden soll, nur zum Teil beanspruchen.

Es bedarf vorliegend keiner Erörterung, ob die rechtlich verankerte Aufgabenstellung des Landesdatenschutzbeauftragten eine Modifizierung oder Konkretisierung der allgemein für Grundrechtseingriffe aufgrund behördlicher Warnungen geltenden Rechtmäßigkeitsanforderungen veranlasst. Die Beschwerde wendet sich mit ihrem Vortrag innerhalb der 8eschwerdebegrUndungsfrist nicht gegen den rechtlichen Prüfungsmaßstab für medienöffentliche Äußerungen des Antragsgegners als Datenschutzbeauftragter des Landes Schleswig-Holstein, den das Verwaltungsgericht seiner Entscheidung zugrunde gelegt hat. Das Verwaltungsgericht hat in den von der Antragstellerin angeführten Medienäußerungen des Antragsgegners einen Eingriff in die Berufsfreiheit der Antragstellerin gem. Art 12 GG und ggf. auch in deren Grundrecht aus Art. 14 GG gesehen, der sich weder aur die explizite Rechtsgrundlage des § 43 Abs. 1, Abs. 3 Satz 2 LDSG (Beratung und Information von Bürgerinnen und Bürgern sowie nichtöffentlichen Stellen zu Datenschutz und Datensicherheit) noch auf § 39 Abs. 4 Satz 2 LDSG (Empfehlungen an öffentliche Stellen; gemeint wohl: § 39 Abs. 5 Satz 2 Vorlage eines Tätigkeitsberichts) stützen lasse. Die Zulässigkeit der Äußerungen sei jedoch am Maßstab der höchstrichterlichen bzw. obergerichtlichen Rechtsprechung zu behördlichen Warnungen in Verbindung mit der Wahrnehmung von Schutzpflichten zu bewerten, der einen hinreichend gewichtiger Anlass mindestens im Grad eines begründeten Gefahrenverdachts, einen im Wesentlichen zutreffenden bzw. sachgerecht und vertretbar gewürdigten Tatsachenkern sowie die Verhältnismäßigkeit der staatlichen Außerungen verlangt. Eine Öffentlichkeitsarbeit sei vom Mandat des Landesdatenschutzbeauftragten umfasst und dürfe im Rahmen der durch die Rechtsprechung entwickelten Voraussetzungen der Befugnis zu behördlichen Warnungen auch scharfe Kritik beinhalten. Bei weitreichenden und absolut wirkenden Äußerungen habe der Anlragsgegner die Zustandigkeitsordnung der datenschutzrechtlichen Aufsichtsbefugnisse zu beachten. Diese von der Beschwerde nicht fristgerecht angegriffenen Erwägungen sind der Prüfung der fristgemäß vorgetragenen Beschwerdegründe durch den Senat zugrunde zu legen.

Eine einstweilige Anordnung, bestimmte schädigende ÄußeNngen zu unterlassen, kann allein ein in die Zukunft gerichtetes Verhalten des Antragsgegners zum Gegenstand haben, welches an bereits getätigte Äußerungen und deren inhaltlichen Gehalt anknüpft und wegen der Weigerung des Antragsgegners, eine entsprechende Unterlassungserklärung an die Antragstellerin abzugeben, in Zukunft in gleichartiger Weise zu erwarten ist. Grundlage der rechtlichen Bewertung durch den Senat sind daher die von der Antragstellerin im erstinstanzlichen Verfahren eingereichten Medienäußerungen des Antragsgegners durch dessen Leiter, den Landesdatenschutzbeauftragen Schleswig-Holsteins, vom 18. bis 22. August 2013 in den Medien Virtuelles Datenschutzbüro (Internet), Spiegel 34/2013, Spiegel-Online. Bayerischer Rundfunk - Bayern 2, Deutsche Welle sowie TAZ. Nach dem Beschluss des Verwaltungsgerichts hat sich der Antragsgegner mit den angegriffenen Äußerungen schon außerhalb der Zuständigkeitsordnung des Datenschutzes bewegt, weil für die Antragstellerin das Bayerische Landesamt für Datenschutzaufsicht zuständige Aufsichtsbehörde sei und es diesem zuvorderst obliege, nach pflichtgemäßem Ermessen über eine Veröffentlichung (gemeint wohl: der Bewertung des von der Antragstellerin angewandten Anonymisierungsverfahrens) zu entscheiden. Dagegen wendet die Beschwerde ein, der Antragsgegner sei zuständige Aufsichtsbehörde über die im Land Schleswig-Holstein ansässigen Apotheken, soweit diese im Wege der Auftragsdatenverarbeitung ihre Rezeptdaten an die Antragstellerin zur Abrechnung übermittelten oder übermitteln könnten. Die Antragstellerin sei auch nach eigenen Werbedarstellungen eines der führenden Apothekenrechenzentren Deutschlands mit einem Marktanteil von etwa 1/3 der bundesweiten Rezeptabrechnung. Insoweit hat der Antragsgegner ergänzt, die Antragstellerin suche aktuell über eine Tochtergesellschaft Vertriebsmitarbeiter für das Gebiet Schleswig-Holstein und mehrere Apotheken in Schleswig-Holstein unterhielten bereits vertragliche Beziehungen zur Rezeptabrechnung zu einer Tochter der Antragstellerin. Aufgrund der Kontrollbefugnis des Antragsgegners gegenüber den Apotheken als Auftraggebern einer Rezeptabrechnung duroh die Antragstellerin oder einer ihrer Töchter sei sie, vermittelt über die Verantwortlichkeit der auftraggebenden Apotheken nach §§ 11 BDSG, 80 SGB X, insoweit ebenfalls und neben dem Bayerischen Landesamt für Datenschutzaufsicht zur Bewertung der Datenverarbeitung bei der Antragstellerin befugt. Auch durch die vorliegend mit positiven Ergebnis gegenüber der Antragstellerin abgeschlossene datenschutzrechtliche Prüfung des Bayerischen Landesamtes sei der Antragsgegner nicht in seiner unabhängigen Bewertung der Datenverarbeitung von Rezepten aus schleswig-holsteinischen Apotheken gebunden oder in öffentlichen Äußerungen gesperrt.

Gegenstand des Antrages der Antragstellerin sind medienöffentliche Äußerungen des Antragsgegners, nicht etwa ein aufsichtsbehördliches Handeln des Antragsgegners im Sinne von § 39 Abs. 1 Landesdatenschutzgesetz (LDSD) i.V.m. § 38 Bundesdatenschutzgesetz (BDSG) durch Verfügungen, Anordnungen oder sonstige, auch rein faktische Maßnahmen gegenüber der Antragstellerin. Eine unmittelbare Zuständigkeit des Antragsgegners für ein aufsichtsbehördliches Handeln in Bezug auf das bei der Antragstellerin durchgeführte Verfahren zur Anonymisierung der Daten aus der Rezeptabrechnung wäre auch nicht gegeben. Inwieweit er über die Kontrollbefugnis bezüglich der in seinem Zuständigkeitsbereich ansässigen Auftraggeber einer Rezeptabrechnung mittelbar zuständig ist für eine aufsichtsbehördliche Bewertung des bei der Antragstellerin durchgeführten Anonymisierungsverfahrens, bedarf keiner Entscheidung. Denn das Fehlen einer unmittelbaren Kontrollbefugnis gegenüber der Antragstellerin besagt noch nicht, dass der Antragsgegner keine medienöffentlichen Äußerungen in Bezug auf jene Datenverarbeitung tätigen darf. Die Tatsache, dass für die unmittelbare Datenschutzaufsicht über die Antragstellerin das bayerische Landesamt für Datenschutzaufsicht zuständig ist, dass dieses im vorliegenden Fall eine Prüfung mit positivem Ergebnis durchgeführt hat und dass eine datenschutzaufsichtsbehördliche Zuständigkeit des Antragsgegners hier lediglich bezogen auf eine mit der Antragstellerin vereinbarte Auftragsdatenverarbeitung schleswig-holsteinischer Auftraggeber (Apotheken) besteht, bietet allerdings im Rahmen der Verhältnismäßigkeit der jeweiligen Äußerungen Anlass zur Zurückhaltung des Antragsgegners. Diese Zurückhaltung wird verlassen, soweit der Antragsgegner seine Position in Medienäußerungen unangemessen verabsolutiert oder in skandalisierender oder diskreditierender Weise überzeichnend darstellt und dadurch die gebotene Sachbezogenheit seiner Stellungnahme vermissen lässt.

Für den Antragsgegner bestand bei seinen im August 2013 getätigten Äußerungen, an die das Unterlassungsbegehren der Antragstellerin anknüpft, ein hinreichender Anlass zu medienöffentlichen Äußerungen. Wie auch das Verwaltungsgericht zugrundegelegt hat, kann bereits ein begründeter Gefahrenverdacht für verfassungsrechtlich geschützte Rechtsgüter, die dem Aufgabenbereich der handelnden Behörde unterfallen, einen hinreichenden Anlass für öffentliche Warnungen darstellen (vgl. bereits BVerwG, Urt. vom 23.5.1998 - 7 C 2/87 -. BVerwGE 82, 76 f., juris Rdnr. 59). Ein solcher Gefahrenverdacht lag hier vor dem Hintergrund der Informationen über die langjährige Datenverarbeitungspraxis der Antragstellerin (und anderer Rechenzentren) und angesichts dessen, was dem Antragsgegner über deren Praxis jedenfalls noch zum Zeitpunkt der Außerungen bekannt war, vor.

Hintergrund der Befassung der Datenschutzaufsichtsbehörden in mehreren Bundesländern mit der Datenverarbeitung von Apothekenrechenzentren - einschließlich der Antragstellerin - seit etwa 2012 war, dass diese über mehrere Jahre hinweg gegen das Gebot der Anonymisierung von Rezeptdaten vor einer Weitergabe an Dritte zu zwecken der Marktforschung bzw. des Marketings verstoßen hatten. Insoweit kann auf den Vermerk des Bayerischen Landesamtes für Datenschutzaufsicht vom 2. April 2012 verwiesen werden, dem zufolge im Zeitraum von 1998 bis 2010 eine Übermittlung nicht anonymisierter Rezeptdaten seitens der Antragstellerin an ein drittes Unternehmen erfolgt war, die gemessen an § 44 Abs. 1 BDSG bei anzunehmender Bereicherungsabsicht strafrechtlich relevant gewesen sei. Für die Zeit ab Juni 2010 sei von der Antragstellerin ein Verfahren dargestellt worden, das auf dem Hintergrund der rechtlichen Kontroverse aber die Anforderungen an eine Anonymisierung personenbezogener Daten unter Zugrundelegung des wohl noch herrschenden Begriffs der relativen Bestimmbarkeit des Personenbezuges als Anonymlslerung im Sinne von § 3 Abs. 6 BDSG angesehen werden könne. Allerdings gebe es nunmehr - im April 2012 - Anhattspunkte dafür, dass diese Darstellung in der Praxis nicht umgesetzt werde. Letzteres bestätigte sich, soweit ersichtlich, nach den anschließenden Ermittlungen der bayerischen Aufsichtsbehörde allerdings nicht. Anschließend an diese Feststellungen haben ausweislich der hierzu von den Beteiligten eingereichten Infonnationen datenschutzrechtliche und -technische, teilweise auch gegenwärtig noch andauernde Prüfungen von Apothekenrechenzentren durch mehrere Datenschutzaufsichtsbehörden sowie eine intensive interne Diskussion unter den Aufsichtsbehörden über die Anforderungen an eine hinreichende Anonymisierung der Rezeptdaten nach deren Verwendung für Abrechnungszwecke stattgefunden, in deren Verlauf die Praxis einiger Rechenzentren verändert worden ist. Die Datenschutzkonformität der Praxis der Antragstellerin, wie auch anderer Rechenzentren mit vergleichbarem technischem Verfahren, ist unter den Aufsichtsbehörden umstritten und wird von mehreren Datenschutzbeauftragten, darunter dem Antragsgegner, verneint. Von der zuständigen Aufsichtsbehörde wird sie allerdings bejaht.

Berücksichtigt man die hohe Bedeutung des Grundrechts auf informationelle Selbstbestimmung und die Sensibilität insbesondere von in den Rezeptabrechnungsdaten enthaltenen Gesundheitsdaten von Patienten, so konnte der Antragsgegner sich in dieser Situation auf einen grundsätzlich hinreichenden Anlass zu einer medienöffentlichen Äußerung berufen. Es entspricht der allgemeinen Beratungs- und Informationsaufgabe des Antragsgegners aus § 43 Abs. 1 LDSG und gehört mittlerweile zum klassischen Aufgabenbereich einer Datenschutzbehörde, Bürgerinnen und Bürgern sowie interessierten Fachkreisen bei komplexen Sachlagen wie der vorliegenden durch aktive Informationstätigkeit eine Orientierung darüber zu verschaffen, inwieweit Gefährdungen für das Grundrecht auf informationelle Selbstbestimmung vorliegen und was zu dessen Schutz unternommen werden kann.

Der Antragsgegner war bei seinen im August 2013 getätigten Äußerungen und ist auch heute nicht gehalten, sich auf unmittelbare Hinweise an schleswig-holsteinische Apotheken zu beschränken. Eine Kontaktaufnahme lediglich mit den Apotheken in seinem Zuständigkeitsbereich war, unabhängig von der Frage der Praktikabilität, wegen des gesetzlichen Informationsauftrages aus § 43 Abs. 1 LDSG jedenfalls nicht geboten. Der Antragsgegner hat darüber hinaus nachvollziehbar dargelegt, dass er zur Problematik der Datenverarbeitung in Apothekenrechenzentren einschließlich der Frage der hinreichenden Anonymisierung im aktiven Austausch mit einem schleswig-holsteinischen Apothekerverband stand. Auch angesichts der bereits seit 2012 zu dieser Thematik stattgefundenen bundesweiten Medienberichterstattung, auf welche die Beteiligten hingewiesen haben, war der Antragsgegner nicht gehalten, seine Informationstätigkeit auf einen Dialog mit Apothekerverbänden und auf direkte Hinweise an Apotheken zu beschränken.

Ebenfalls nicht rechtlich geboten war bzw. ist es für den Antragsgegner, sich auf die Beteiligung an einer internen fachlichen Diskussion unter dendatenschutzrechtlichen Aufsichtsbehörden zu beschränken. Insoweit war es zum Zeitpunkt der Äußerungen nach dem Vortrag beider Beteiligter über mehrere Monate hinweg nicht gelungen, eine einheitliche fachliche Position zu erlangen. Dar Antragsgegner hat sich an dieser Diskussion beteiligt und sich gegen die von der bayerischen Aufsichtsbehörde vertretene Auffassung gewandt, wonach ein Verfahren wie von der Antragstellerin praktiziert für eine Anonymisierung i.S.v. § 300 Abs. 2 Satz 2.2. Hs. SGB V ausreiche. Die Aufsichtsbehörden haben ausweislich der eingereichten Unterlagen im Düsseldorfer Kreis Ende 2012 und Anfang 2013 mehrheitlich geäußert, dass sie die Position Bayerns, es liege eine hinreichende faktische Anonymisierung vor, nicht teilten. Im Februar 2013 teilte die bayerische Aufsichtsbehörde den Abschluss ihrer überprüfung des Rechenzentrums der Antragstellerin mit dem Ergebnis der Billigung des Anonymisierungsverfahrens mit, wohingegen die nordrhein-westfälische Aufsichtsbehörde sich noch in einem Dialog mit dem in ihrem Aufsichtsbereich angesiedelten Rechenzentrum befand. Die Aufsichtsbehörden verstandigten sich über ihre weitere Zusammenarbeit in der Frage der Anforderungen an eine Anonymisierung personenbezogener Daten. Der Antragsgegner hat an dieser Abstimmung unter den Aufsichtsbehörden aktiv mitgewirkt. Für eine Beschränkung hierauf besteht auch aus Gründen der Verhältnismäßigkeit kein rechtlicher Anlass, soweit die Tatsache eines positiven Prüfergebnisses der zuständigen bayerischen Behörde in angemessener Weise in die Gestaltung der eigenen Verlautbarungen einbezogen wird.

Der Antragsgegner war und ist auch nicht verpflichtet, im Rahmen seiner medienöffentlichen Äußerungen von einer namentlichen Benennung der Antragstellerin abzusehen. Grundsätzlich hat eine Behörde allerdings wegen der grundrechtlichen Bedeutung staatlicher, auf eine bestimmte Person bezogener Informationstätigkeit vorrangig zu prüfen, ob eine namentliche Benennung von Unternehmen bzw. Personen im Rahmen ihrer öffentlichen Warnhinweise unterbleiben kann. Eine namentliche Nennung ist von der Befugnis zu öffentlichen Äußerungen umfasst, wenn diese sonst ihre Schutzfunktion (hier: gegenüber Patienten, Ärzten und Apotheken) nicht entfalten könnten oder wenn die behördliche Namensnennung keine Vertiefung des Grundrechtseingriffs mehr darstellt, weil der Name des betroffenen Unternehmens bzw. der betroffenen Person bereits durch anderweitige Berichterstattung mit einem auch in der Reichweite den behördlichen Warnhinweisen entsprechenden Wirkungskreis öffentlich geworden ist.

Die Antragstelferin ist hier - mit unterschiedlichem Aussagegehalt - in dem Bericht des virtuellen Datenschutzbüros (gezeichnet durch einen Mitarbeiter des Antragsgegners) vom 19. August 2013 sowie in den Beiträgen im Spiegel vom 19. August 2013, in Spiegel-Online am 18. August 2013, im Bayerischen Rundfunk vom 19. August 2013 sowie in der TAZ vom 20. August 2013 durch den Leiter des Antragsgegners namentlich benannt worden. Die Beschwerde trägt vor, der Leiter des Antragsgegners habe ohne namentliche Nennung der Antragstellerin Anfang 2013 in einem datenschutzrechtlichen Fachartikel auf seine Auffassung hingewiesen, dass die bislang praktizierte Datenverarbeitung bei Apothekenrechenzentren unzulässig sei. Anders als die Antragstenerin habe in der Folge ein norddeutsches Rechenzentrum seine Praxis entsprechend den datenschutzrechtlichen Bedenken umgestellt. Eine namentliche Nennung habe er daher für notwendig gehalten, um seine datenachutzrechtliche Einschätzung gerade gegenüber der Datenverarbeitung im Rechenzentrum der Antragstellerin deutlich zu machen. Vor diesem Hintergrund ist eine namentliche Nennung der Antragstellerin nicht zu beanstanden. Dabei ist auch zu berücksichtigen. dass u.a. der Name der Antragstellerin in der öffentlichen bundesweiten Berichterstattung bereits im Februar 2012 (Spiegel-Online vom 13.02.2012) genannt worden war, allerdings nicht in der dortigen Äußerung des Antragsgegners, die allgemein gehalten und mit erkennbaren Vorbehalten zum Sachverhalt ("scheint valide zu sein", "könnten einen der größten Datenskandale ... aufdecken") versehen war. In der weiteren, über das Internet öffentlich zugänglichen Berichterstattung für Fachkreise wurde - ohne Mitwirkung des Antragsgegners - über die Datenverarbeitungspraxis der Antragstellerin namentlich auch schon im Juli 2013 berichtet (vgl. die von dem Antragsgegner eingereichten Artikel in der Pharmazeutischen Zeitung Online, 28. KW im Juli 2013 und vom 15. August 2013). Angesichts dieser Berichterstattung, die für den Wirkungskreis des Gesundheitswesens und damit für dieselbe Zielgruppe wie die streitgegenständlichen Äußerungen des Antragsgegners erfolgt war, und angesichts der überschaubaren Anzahl der auf dem Markt für Rezeptabrechnung mit nennenswertem Gewicht tätigen Akteure kann von dem Antragsgegner nicht erwartet werden, eine spezifische Benennung von solchen Rechenzentren zu unterlassen, deren Praxis er für rechtswidrig hält. Anderenfalls könnte die Kritik an nach seiner Auffassung grundrechtsgefährdenden Vorgängen keine Schutzfunktion entfalten und den interessierten Kreisen keine Orientierung für ihr Handeln bieten.

In jedem Falle aber haben die auf ein spezifisches Unternehmen bezogenen und deshalb grundrechtsrelevanten Äußerungen des Antragsgegners das Gebot der Sachlichkeit behördlicher Warnhinweise zu beachten. Das Gebot der Sachlichkeit staatlicher Intormationen mit grundrechtseingreifender Wirkung richtet sich grundsätzlich auf die inhaltliche Richtigkeit der betreffenden Informationen, bei noch nicht abschließender Klärung eines Sachverhalts jedenfalls auf eine sorgsame Sachverhaltsermittlung unter Nutzung aller verfügbarer Informationsquellen und ggf. auf einen Hinweis auf die nach derzeit ermiHelbarem Sachstand verbleibenden Unsicherheiten über die Richtigkeit der Information. Wertungen dürfen nicht auf sachfremden Erwägungen beruhen und Informationen selbst bei zutreffendem Inhalt weder unsachlich noch herabsetzend formuliert sein (vgl. BVerfG, Beschl. v. 26.06.2002 - 1 BvR 558/91 -. 1 BvR 1428/91 ., BVerfGE 105, 252 f., Juris Rn. 60 f.; OVG Nordrhein-Westfalen, Beschl. v. 23.04.2012 - 13 B 127/12 -, NVwZ 2012. 767, Juris Rn. 16). Diesen Anforderungen ist der Antragsgegner im Rahmen der streitgegenständlichen Äußerungen nur zum Teil gerecht geworden.

Die Antragstellerin und der Antragsgegner vertreten unterschiedliche Auffassungen zu der Frage, ob die von der Antragstellerin praktizierte Umwandlung der in dem Rezeptabrechnungsdatensatz bei der Antragstellerin enthaltenen und zunächst unzweifelhaft personenbezogenen Daten in eine technisch erzeugte Kennziffer eine hinreichende Anonymisierung im Sinne von § 300 Abs. 2 Satz 2, 2. Halbsatz SGB V darstellt und ob die so erzielte Zahlenfolge einen Rückschluss auf eine bestimmte oder bestimmbare Person ermöglicht. Hierzu haben beide Beteiligte auch im Beschwerdeverfahren umfangreich vorgetragen. Maßgeblich für die im vorliegenden Verfahren zu prüfende Frage, ob die Äußerungen des Antragsgegners in unzulässiger Weise in Grundrechte der Antragstellerin eingreifen und deshalb durch eine Unterlassungsanordnung unterbunden werden können, ist nicht, welche der von den Beteiligten vertretenen Positionen zu den Anforderungen an eine Anonymisierung sich bei gerichtlicher Überprüfung etwa einer aufsichtsbehördlichen Maßnahme gegenüber der Antragstellerin als die richtige darstellen würde, sondern lediglich die sachliche Vertretbarkeit der in den Äußerungen des Antragsgegners zum Ausdruck kommenden Auffassung. Es kann nicht Aufgabe eines auf Unterlassung von Äußerungen gerichteten Verfahrens - noch dazu im einstweiligen Rechtsschutz - sein, (erstmals) eine gerichtliche Klärung der in Literatur und Praxis streitigen Anforderungen an eine Anonymisierung personenbezogener Daten nach § 300 Abs. 2 Satz 2 SGB V, § 3 Abs. 6 BDSG herbeizuführen. Ist eine Äußerung nach dem jeweiligen fachlichen und rechtlichen Diskussionsstand sachlich vertretbar und vermeidet sie einen Absolutheitsanspruch, der die Vertretbarkeit anderer Positionen in Abrede stellt und sich noch dazu in Widerspruch zu der Sichtweise der zuständigen Aufsichtsbehörde befindet, so kann sie nicht gerichtlich unterbunden werden, wenn sie sich darüber hinaus auch in der Form an das oben umschriebene Sachlichkeitsgebot halt.

Der Antragsgegner hat sich mit seiner Auffassung dazu, ob die Anforderungen an die Anonymisierung von Rezeptdaten bei Apothekenrechenzentren einschließlich der Antragstellerin eingehalten werden, nicht außerhalb des hierzu vertretenen fachlichen Meinungsspektrums gestellt. Er befindet sich damit vielmehr - wie oben dargelegt - in der Gesellschaft weiterer Datenschutzaufsichtsbehörden, welche auch das nach 2010 bei einem Teil der Apothekenrechenzentren (einschließlich der Antragstellerin) praktizierte Verfahren der Entfernung eines Personenbezuges von Rezeptdaten nicht für datenschutzkonform halten. Dass die Bewertung des Antragsgegners in den von der Antragstellerin angegriffenen Äußerungen jedenfalls im Hinblick auf das von ihr bis September 2013 geübte Verfahren sachlich vertretbar ist, zeigt sich auch darin, dass zeitgleich die nordrhein-westfälische Datenschutzaufsichtsbehörde im Sommer 2013 das (nach den eingereichten Protokollen des Düsseldorfer Kreises technisch hinreichend vergleichbare) Verfahren im Rahmen des Prüfdialoges mit einem Rechenzentrum in ihrem Zuständigkeitsbereich nicht als ausreichend angesehen hat (vgl. Pharmazeutische Zeitung vom 07.11.2013, eingereicht durch die Antragstellerin). In der Kontroverse unter den Datenschutzbehörden und Datenverarbeitern, die sich mit der Auslegung des § 300 Abs. 2 Satz 2, 2. Hs. SGB V als Rechtsgrundlage für eine Nutzung von Rezeptabrechnungsdaten durch Dritte befasst, spiegelt sich ein auf allgemeiner datenschutzrechtlicher Ebene bestehender Meinungsstreit über die Anrorderungen an die Schaffung von Anonymität ehemals personenbezogener Daten. Nach § 3 Abs. 6 BDSG ist Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. In der Literatur und der Praxis der Datenschutzbehörden werden unterschiedliche Auffassungen dazu vertreten, ob ein "unverhältnismäßiger" Aufwand für die Zuordnung von Daten zu einer Person aus Sicht lediglich der jeweiligen datenschutzrechtlich verantwortlichen Stelle (relativer Personenbezug) oder aus Sicht aller denkbarer datenverarbeitender Stellen vorliegen muss (absoluter Personenbezug, vgl. Kühling/Klar, NJW 2013, 3611 f., S. 3613 f.; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 3 Rn. 44 f.).

Auch unter Einbeziehung des Vortrages der Antragstellerin im erstinstanzlichen Verfahren und dessen Konkretisierung im Beschwerdeverfahren, sie habe nach dem Zeitpunkt der hier streitgegenständlichen Äußerungen des Antragsgegners Änderungen an ihrem Anonymisierungsverfahren vorgenommen, hat der Antragsgegner seine ablehnende Haltung aufrecht erhalten. Die Antragstellerin trägt vor, sie habe das von ihr bis August 2013 durchgeführte asymmetrische Verschlüsselungsverfahren für personenbezogene Identitätsdaten ab September 2013 auf eine von der bayerischen Aufsichtsbehörde empfohlene Kombination eines AES-Verschlüsselungsverfahrens mit einer Hash-Verschlüsselung innerhalb einer geschlossenen Kryptobox umgestellt. Hierdurch werde eine Zeichenfolge genenert, die von einer ClearingsteIle erneut verschlüsselt werde. Der Antragsgegner hält auch dieses Verfahren für mit typischen Angriffen korrumpierbar und sieht es lediglich als ein Verfahren dar Pseudonymisierung an, weil eine Zuordnung von Verschreibungsdaten unterschiedlicher Zeitpunkte über einen gemeinsamen Code möglich bleibe und für die weitere Nutzung der Daten auch beabsichtigt sei. Eine Reidentifizierungsmöglichkeit der von den Rezeptdaten betroffenen Personen bleibe aufgrond der Zusammenführung verschiedener Datensätze, die das von der Antragstellerin beschriebene Verfahren durchlaufen haben, innerhalb eines einheitlichen sogenannten Patientenanonyms erhalten. Ein solches Anonym setze die überprüfbare Kompatibilität der Daten voraus. Dem hält die Antragstellerin im Beschwerdeverfahren entgegen, die von ihr verschlüsselten Daten könnten von niemandem zu einer Person zurückverfolgt und in diesem Sinne zugeordnet werden. Eine Zusammenführbarkeit jeweils für sich nicht zurückverfolgbarer Daten zu einem von ihr so genannten "Anonym", von dem aus die dahinterstehende Person nicht identifiziert werden könne, stehe der von § 300 Abs. 2 Satz 2, 2. Halbsatz SGB V verlangten mindestens faktischen Anonymisierung nicht entgegen.

Im Hinblick auf das hier streitgegenständliche Unterlassungsbegehren öffentlicher Äußerungen hat der Senat nicht zu entscheiden, welcher der Auffassungen der Beteiligten - ggf. nach weiterer Sachaufklärung - bei einer unmittelbaren gerichtlichen Überprüfung der Datenverarbeitung der Antragstellerin anhand des Maßstabes aus § 300 Abs. 2 Satz 2, 2. Hs. SGB V der Vorzug zu geben wäre. Dem Antragsgegner kann es vor dem Hintergrund des Spektrums der unter den Datenschutzbeauftragten sowie in der Fachliteratur vertretenen Meinungen jedenfalls nicht verwehrt werden, seine Position hierzu öffentlich kundzutun, wenn er diese unter Vermeidung eines Absolutheitsanspruchs als eigene Auffassung kennzeichnet und etwaigen sachlichen Unsicherheiten aufgrund fehlender Bewertungsgrundlagen durch entsprechende Einschränkungen Rechnung tragt.

Gegen die verwaltungsgerichtliche Bewertung, der Antragsgegner habe eine hinreichend ermittelte Tatsachengrundlage für seine Äußerungen nicht glaubhaft gemacht und kenne insbesondere die ab September 2013 durchgeführten geheimen Teile des Datenverarbeitungsverfahrens bei der Antragstellerin nicht, hat die Beschwerde eingewandt, der Antragsgegner verfüge über hinreichende Informationen über das bis zum Zeitpunkt seiner Äußerungen praktizierte Verfahren und über die aus der Vergangenheit bekannten Datenschutzverstöße bei der Antragstellerin; ob sich seither an dem nach seiner Auffassung unzureichenden Verfahren der Anonymisierung etwas in datenschutzrechtlich relevanter Weise geändert habe, könne er wegen der Zurückhaltung entsprechender Informationen durch die Antragstellerin und die Bayerische Datenschutzaufsichtsbehörde nicht abschließend beurteilen. Die unterschiedlichen Auffassungen der Aufsichtsbehörden zu der von der Antragstellerin praktizierten Verfahrensweise gingen aber nicht auf einen Mangel an Informationen oder auf eine unterschiedliche Bewertung tatsächlicher Ablaufe zurück, sondern auf unterschiedliche Rechtspositionen zur Frage, ob § 300 Abs. 2 Satz 2, 2. Halbsatz SGB V eine faktische oder eine absolute Anonymisierung gebiete.

Festzuhalten ist danach, dass dem Antragsgegner über die gegenwartig praktizierte Datenverarbeitung durch die Antragstellerin keine vollstandigen Informationen vorliegen, weil ihm Unterlagen über die Veränderungen, welche anknüpfend an die Prüfung durch die bayerische Aufsichtsbehörde für den Zeitraum seit Anfang September 2013 vorgenommen wurden, nicht zugänglich gemacht worden sind. Dem Gebot der Sachlichkeit entsprechen zukünftige Äußerungen des Antragsgegners daher nur, soweit sie auch verdeutlichen, dass die als eigene Auffassung gekennzeichneten Bewertungen nur auf Grundlage der für ihn verfügbaren Informationen getroffen werden konnten und somit lediglich vorbehaltlich einer genaueren Kenntnis über die geänderte Gestaltung der Datenverarbeitung der Antragstellerin Bestand haben können.

Soweit danach der Antragsteller seine medienöffentlichen Äußerungen in dem vorliegend vom Senat tenorierten Umfang als eigene Position kennzeichnet und damit eine Verabsolutierung ihres Geltungsanspruchs vermeidet, bestehen unter Beachtung des so umschriebenen Gebotes der Sachlichkeit keine Anhaltspunkte dafür, dass er künftigen Äußerungen keine sachgerechte Tatsachengrundlage nach Maßgabe der für ihn verfügbaren Erkenntnisse - die aufgrund einer zurückhaltenden Informationspraxis einzelner Akteure eingeschränkt sein mögen - zugrundelegen wird. Soweit er sich in zulässiger Weise medienöffentlich äußern darf, ist es allerdings unerheblich, ob er solche Äußerungen auf Presseanfragen hin oder im Rahmen einer aktiven Pressesrbeit getätigt hat. Es bestehen im Übrigen keine Anhaltspunkte dafür, dass seine im Beschwerdeverfahren eingereichte eidesstattliche Versicherung, wonach entsprechende Journalistenanfragen vorlagen, nicht zuträfe. Der Antragsgegner wäre aber auch rechtlich nicht gehindert, zulässige medienöffentliche Äußerungen auf eigene Initiative zu tätigen.

Soweit die Antragstellerin beantragt hat, dem Antragsgegner die Untersagung der medienöffentlichen Äußerungen

- die Antragstellerin sei an einem der größten Datenskandale der Nachkriegszeit beteiligt,

und/oder

- das Geschäftsmodell der Antragsstellerin sei illegal,

und/oder

- eine Zuordnung der Daten zu Patienten sei von der Antragstellerin beabsichtigt,

und/oder

- die Antragstellerin handele mit Bereicherungsabsicht

zu untersagen, bleibt die Beschwerde erfolglos, da diese Äußerungen den Rahmen der bei Fehlen einer unmittelbaren aufsichtsbehördlichen Zuständigkeit für die Antragstellerin gebotenen Zurückhaltung des Antragsgegners überschreiten. Der Antragsgegner hat, soweit seine Äußerungen mit einer besonderen Bewertung der Praxis der Antragstellerin im Hinblick auf eine strafrechtliche Einordnung (eine Bereicherungsabsicht ist Tatbestandsmerkmal der Strafnorm des § 44 BDSG) oder der Unterstellung eines bewussten Rechtsbruchs verbunden sind, aber auch soweit die gegenwärtige Praxis der Antragstellerin in derart herausgehobener Weise skandalisiert wird, maßgeblich zu berücksichtigen, dass die von ihm kritisierte Praxis durch die zuständige bayerische Datenschutzaufsichtsbehörde für datenschutzkonform erachtet wird. Dies ist bei den genannten Äußerungen nicht mehr in angemessener Weise gewährleistet.

Nach alledem war der Antrag in Abänderung des verwaltungsgerichtlichen Beschlusses teilweise abzulehnen und die Beschwerde im übrigen zurückzuweisen.

Die Kostenentscheidung folgt aus § 155 Abs. 1 VwGO. Die Streitwertfestsetzung beruht auf den §§ 53 Abs. 2, 52 Abs. 1 und 2 GKG sowie - hinsichtlich der von Amts wegen vorgenommenen Änderung für das erstinstanzliche Verfahren - auf § 63 Abs. 3 GKG.

Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, §§ 68 Abs. 1 S. 5, 66 Abs. 3 S. 3 GKG).