Betriebsarzt und DSB als eigene Verantwortliche?

Betriebsarzt

Ob es sich beim Betriebsrat um einen eigenen Verantwortlichen handelt oder ob er Teil der verantwortlichen Stelle ist, wurde in der Datenschutzwelt in den letzten Jahren zuhauf diskutiert. Das Thema fand auch innerhalb der Tätigkeitsberichte der Aufsichtsbehörden immer mal wieder seinen Platz.
In dem Tätigkeitsbericht zum Jahr 2020 des Sächsischen Datenschutzbeauftragten wird jedoch erläutert, ob eine etwaige eigene Verantwortlichkeit auch im Falle des Betriebsarztes (Ziffer 2.1.1) und des (externen) Datenschutzbeauftragten (Ziffer 2.1.2) in Frage kommen kann.

(Externer) Betriebsarzt als eigener Verantwortlicher
Der Sächsische Datenschutzbeauftragte betrachtet Betriebsärzte als funktionale Stellen innerhalb des Verantwortlichen. Sie seien dem Verantwortlichen zugehörig und keine eigenen Verantwortlichen. Daran ändere auch nichts, wenn sie als Berufsgeheimnisträger agierten. Zwar unterliegen sie einer besonderen Geheimhaltungspflicht, die dazu führt, dass sie innerhalb der datenverarbeitenden Stelle informationell abgeschottet agieren und sie unterliegen auch innerhalb ihres geheimhaltungspflichtigen Wirkungsbereichs fachlich-inhaltlich keiner Weisungspflicht, doch bleiben sie weiterhin Teil der Entität, so der Sächsische DSB in seinem Tätigkeitsbericht.
Der Verantwortliche habe aber die technisch-organisatorischen Möglichkeiten und Voraussetzungen zur prozessualen Umsetzung zu schaffen. Den wesentlichen Unterschied sieht die Aufsichtsbehörde aber in der Ausgestaltung als externer Betriebsarzt. Bei diesen handele es sich um eigene Verantwortliche, die zwar im Auftrag der personalverwaltenden Stelle datenverarbeitend tätig seien, aber eben selbst über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entscheiden.

(Externer) Betriebsarzt als Joint Controller
Dass diese Frage der Verantwortlichkeit auch durchaus anders betrachtet werden kann, zeigt das Gutachten “ Die Datenverarbeitung des Betriebsarztes“ des Netzwerks Datenschutzexpertise. Dort kommt die Autoren Schuler/Weichert zum dem Ergebnis, dass die Konstellation zwischen Verantwortlichem und externem Betriebsarzt in der Regel in Form der „Gemeinsamen Verantwortlichkeit“ nach Art. 26 DS-GVO ausgestaltet wäre (Ziffer 5.1 – Datenschutzrechtliche Verantwortlichkeit).

Sächsischer Datenschutzbeauftragter

(Foto s_l – stock.adobe.com)


Letztes Update:20.06.21

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren