Datenschutz für Betriebsärzte Vorgaben zu sensiblen Informationen gelten auch für ärztliche Arbeitgeber

Praxismanagement , Patientenmanagement Autor: Anouschka Wasner

Mal schnell die Beschäftigten mitimpfen? Dafür braucht es die explizite Einwilligung. Mal schnell die Beschäftigten mitimpfen? Dafür braucht es die explizite Einwilligung. © Talia Mdlungu/peopleimages.com – stock.adobe.com

Kein Betrieb ohne Betriebsärztin bzw. -arzt. Und keine betriebsärztliche Betreuung ohne Beschäftigtendaten, die geschützt werden müssen. Wer trägt hier welche Verantwortung? Und was, wenn der Betrieb ein medizinischer ist?  

Sobald personenbezogene Informationen verarbeitet werden, stellt sich die Frage, bei wem die datenschutzrechtliche Verantwortung für diesen Vorgang liegt. Das gilt erst recht für sensible medizinische Daten. Auch bei der betriebsärztlichen Betreuung fallen solche Daten an, bei freiwilligen wie verpflichtenden Untersuchungen bzw. Maßnahmen. 

Die Datenschutz-Grundverordnung (DSGVO) beantwortet diese Frage: Die Verantwortung liegt da, wo über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entschieden wird. Dabei kommt es nicht darauf an, dass die Stelle realen Zugang zu den Daten hat, erklärt dazu das Netzwerk Datenschutzexpertise, das sich das Thema Datenschutz und Betriebsarzt genauer angeschaut hat. 

Unterschieden werden müsse zwischen externen und internen Betriebsärzten: Ein interner Betriebsarzt ist als Beschäftigter Teil der vom Arbeitgeber geführten juristischen Person und damit kein Verantwortlicher. Ein externer Betriebsarzt oder Dienst ist hingegen verantwortlich im Sinne des Datenschutzrechtes. Da ein externer aber in der Regel Räumlichkeiten, Einrichtungen und Geräte des Arbeitgebers nutzt und ja auch von diesem beauftragt wird, sieht das Gesetz hier eine gemeinsame Verantwortung. Cave: Aus dieser gemeinsamen Verantwortung folgt, dass eine vertragliche Vereinbarung geschlossen werden muss, die der DSGVO genügt.

Auch Abläufe, die in den Organisationsbereich des Arbeitgebers fallen, gehören zum gemeinsamen Verantwortungsbereich und müssen in Absprache mit dem Betriebsarzt gestaltet werden. Dazu gehört z.B., wie die Untersuchungsräume und Papierunterlagen sicher organisiert werden – die Verwendung von Schlössern mit betrieblichen Schlüsselsystemen ist z.B. nicht zulässig.

Zu den Selbstverständlichkeiten gehört, dass keine Namenslisten offen aushängen, dass Terminvergabelisten nach Abschluss einer Untersuchungseinheit unmittelbar gelöscht werden, dass Dokumentationen zum Nachweis von Untersuchungen auf das gesetzlich erforderliche Maß beschränkt und vor unberechtigtem Zugriff geschützt werden und dass für alle Arten von Daten Löschfristen definiert und dokumentiert werden. 

Die Pflichten zur Auskunftserteilung, zur sicheren Gestaltung der technischen und organisatorischen Grundlagen und zum Verzeichnis der Verarbeitungstätigkeiten, sind durch den Verantwortlichen zu erfüllen: Im Falle des internen Betriebsarztes durch den Arbeitgeber, der sich des bei ihm angestellten Betriebsarztes bedienen muss, im Falle eines externen Betriebsarztes über eine nachvollziehbare Aufteilung. 

Der Betriebsarzt und die interne IT-Struktur

Wird die IT-Infrastruktur des Arbeitgebers für die betriebsärztliche Datenverarbeitung genutzt, müssen die Datenbestände des Betriebsarztes technisch und organisatorisch so geschützt werden (z.B. durch Verschlüsselung), dass außer dem Betriebsarzt und seinen Gehilfen niemand Zugriff darauf hat. Eine Zuweisung von Verzeichnissen auf einem Server, die sonst niemandem zugewiesen werden, reicht nicht für einen angemessenen Schutz – zu leicht können durch einen einfachen Administrationsfehler Daten offenbart werden. Die Verpflichtung eines Administrators auf Geheimhaltung sollte durch den Betriebsarzt selbst vorgenommen werden.

Wird dem Betriebsarzt vom Arbeitgeber eine unsichere digitale Infrastruktur bereitgestellt (keine Verschlüsselung bei Übermittlung von Labordaten, unzureichendes Berechtigungskonzept auf Serververzeichnisse o.ä.), sodass der Arzt Gefahr läuft, seine Schweigepflicht zu verletzen, kann und muss er den Arbeitgeber auf die Mängel hinweisen und zu deren Behebung auffordern. Kommt der Arbeitgeber begründeten Forderungen nicht nach, kann sich der Betriebsarzt an den Datenschutzbeauftragten, den Betriebsrat und im Zweifelsfall an die zuständige Datenschutzaufsichtsbehörde wenden, ohne dass dies arbeits- oder sonstige vertragsrechtlich negative Folgen haben darf. Der Betriebsarzt ist hier als natürliche Person selbst Betroffener.

Quelle: Netzwerk Datenschutzexpertise

Wer erteilt Auskünfte: Arbeitgeber oder Arzt?

So wird der Arbeitgeber bei Auskunftsanfragen die Auskünfte geben, die er im Rahmen seiner betrieblichen Organisation erhebt, also z.B. beim Führen der Vorsorgedatei gemäß der Verordnung zur arbeitsmedizinischen Vorsorge. Betriebsarzt bzw. Betriebsärztin dagegen geben den Betroffenen Auskunft zu medizinischen Daten. 

Ist der Betriebsarzt angestellt, muss der Arbeitgeber ein Verfahren etablieren, dass die Auskunftserteilung durch den Arzt sicherstellt, ohne dass er als Arbeitgeber Einblick in die Daten erhält. Das kann durch eine Arbeitsanweisung erfolgen. Vergleichbares gilt auch für einen Datenschutzvorfall, für den der Arbeitgeber einen Prozess etablieren muss, der einen rechtskonformen Umgang mit dem Vorfall ermöglicht, ohne dass er selbst Kenntnis von den Daten erhält. 

Wichtig zu wissen: Aus der Rechnungsstellung über die betriebsärztliche Untersuchungen dürfen keine Informationen an den Arbeitgeber gelangen, die er nicht ohnehin wissen darf. Die Durchführung einer verpflichtend vorgeschriebenen Untersuchung darf zwar einzeln abgerechnet werden, sodass der Arbeitgeber aus dem Datum ableiten kann, um wessen Untersuchung es geht. In der Rechnung dürfen aber keine Angaben enthalten sein, die Rückschlüsse auf Diagnosen oder Behandlungen zulassen. Das Gleiche gilt für Laborrechnungen. Die teilweise geübte Praxis, dem Arbeitgeber die vollständige Laborrechnung zukommen zu lassen, verletzt das Patientengeheimnis. Richtig ist, die vollständige Rechnung zur Kontrolle an den Betriebsarzt zu schicken und dem Arbeitgeber eine Rechnung mit nichtpersonenbezogener, pauschaler Summierung zukommen zu lassen.

Ist der Arbeitgeber selbst als Niedergelassener bzw. MVZ oder Klinik im medizinischen Bereich aktiv, kann es zu einem Verschwimmen der Grenzen zwischen den Rollen „Beschäftigter“ und „Patient“ kommen.

Es scheint praktisch, die Beschäftigten eines medizinischen Labors „mal eben schnell“ gegen Hepatitis zu impfen oder bei flächendeckenden Coronatests in einem Krankenhaus „mitzutesten“. Achtung: Eine medizinische Betreuung von Beschäftigten durch Vorgesetzte oder Kollegen ist nur mit Einwilligung des Beschäftigten zulässig. Und die sollte man sich möglichst schriftlich holen, um zu dokumentieren, dass die Einwilligung ohne äußeren Zwang, Benachteiligung oder aufgrund mangelhafter Information erteilt wurde. Das medizinische Personal unterliegt natürlich auch in solchen Fällen den Geheimhaltungspflichten, etwa gegenüber der Personalabteilung.

Zuständig für die medizinische Betreuung bleibt grundsätzlich aber auch in medizinischen Betrieben der Betriebsarzt. Seine Inanspruchnahme muss jederzeit und ohne Nachteile anstelle der Betreuung durch Mitarbeitende des Arbeitgebers möglich sein. Werden „normale“ Beschäftigte mit medizinischen Aufgaben beauftragt – also z.B. Corona-Temperaturmessungen am Eingang –, sind diese Aufgaben unter der Verantwortung und Leitung des Betriebsarztes vorzunehmen. Die Beauftragten sind dann weisungsgebundene Gehilfen. 

Beschäftigte eines Unternehmens können allerdings nicht verpflichtet werden, sich Untersuchungen auszusetzen, die keinen direkten Bezug zum Arbeitsverhältnis haben. Willigt ein Beschäftigter in eine medizinische Betreuung außerhalb der betriebsärztlichen Betreuung ein, muss der Arbeitgeber dafür sorgen, dass die Daten von der Betreuung über die Datenerhebung und -ablage bis zur Rechnungsstellung technisch und organisatorisch angemessen geschützt sind und nicht im Kollegenkreis bekannt werden können.

Medizinische Daten über Beschäftigte sind deswegen nicht ohne besonderen Zugriffsschutz zusammen mit den Daten anderer Patienten abzulegen.

Medical-Tribune-Bericht