Die betriebsärztliche Datenverarbeitung: Ein Fall des Joint Controllership?
Das Netzwerk Datenschutzexpertise beschäftigt sich in seinem nunmehr in der 2. Auflage veröffentlichten Gutachten „Die Datenverarbeitung des Betriebsarztes – Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärztliche Dienste“ mit einem Thema, welches nicht sonderlich oft im Rampenlicht des betrieblichen Datenschutzes und insbesondere des Beschäftigtendatenschutzes steht.
Um so weniger nachvollziehbar ist die stiefmütterliche Behandlung des Themas in der Praxis und Literatur, vor dem Hintergrund der Tatsache, dass es sich in der Schnittmenge des Medizinrechts und des Datenschutzrechts abspielt, wobei ebenso so viele spannende Fragen des Arbeitsrechts, des Mitbestimmungsrechts und die dort bestehenden spezifischen Regelungen, zur Anwendung kommen.
Daher dürfte auch die aktualisierte Veröffentlichung des Netzwerks Datenschutzexpertise für alle Beteiligten aufschlussreich, wie hilfreich sein, da die Handreichung die rechtlichen Grundlagen ordnet und gleichzeitig eine Vielzahl praktischer Fragestellungen aufgreift. Es werden die wesentlichen anzuwendenden Normen und deren korrekte Anwendung dargestellt.
Datenschutzrechtliche Verantwortlichkeit des Betriebsarztes
Auch die Frage der datenschutzrechtlichen Verantwortlichkeit des internen und des externen Betriebsarztes wird darin diskutiert.
(Externer) Betriebsarzt als eigener Verantwortlicher
In dem Tätigkeitsbericht zum Jahr 2020 des Sächsischen Datenschutzbeauftragten wird auf die Frage eingegangen eingegangen, ob eine etwaige eigene Verantwortlichkeit auch im Falle des Betriebsarztes (Ziffer 2.1.1) in Frage kommen kann.
Der Sächsische Datenschutzbeauftragte betrachtet Betriebsärzte als funktionale Stellen innerhalb des Verantwortlichen. Sie seien dem Verantwortlichen zugehörig und keine eigenen Verantwortlichen. Daran ändere auch nichts, wenn sie als Berufsgeheimnisträger agierten. Zwar unterliegen sie einer besonderen Geheimhaltungspflicht, die dazu führt, dass sie innerhalb der datenverarbeitenden Stelle informationell abgeschottet agieren und sie unterliegen auch innerhalb ihres geheimhaltungspflichtigen Wirkungsbereichs fachlich-inhaltlich keiner Weisungspflicht, doch bleiben sie weiterhin Teil der Entität, so der Sächsische DSB in seinem Tätigkeitsbericht.
Der Verantwortliche habe aber die technisch-organisatorischen Möglichkeiten und Voraussetzungen zur prozessualen Umsetzung zu schaffen. Den wesentlichen Unterschied sieht die Aufsichtsbehörde aber in der Ausgestaltung als externer Betriebsarzt. Bei diesen handele es sich um eigene Verantwortliche, die zwar im Auftrag der personalverwaltenden Stelle datenverarbeitend tätig seien, aber eben selbst über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entscheiden.
(Externer) Betriebsarzt als Joint Controller
Dass diese Frage der Verantwortlichkeit auch durchaus anders betrachtet werden kann, zeigt das Gutachten “ Die Datenverarbeitung des Betriebsarztes“ des Netzwerks Datenschutzexpertise.
Dort kommt die Autoren Schuler/Weichert zum dem Ergebnis, dass in bestimmten Konstellationen aus datenschutzrechtlicher Sicht eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO für die betriebsärztliche Dokumentation und Datenverarbeitung in Frage kommt, weil auch der Arbeitgeber als Besteller des Betriebsarztes, Entscheider über betriebliche Abläufe mit Beteiligung des Betriebsarztes und evtl. Bereitstellung von IT-Infrastruktur Verantwortung trägt (Ziffer 5.1 – Datenschutzrechtliche Verantwortlichkeit).
Im Rahmen der geteilten Verantwortung zwischen dem Arbeitgeber und dem externen Betriebsarzt wäre es nach dieser Auffassung erforderlich, eine vertragliche Vereinbarung gemäß den Anforderungen des Art. 26 DS-GVO zu treffen. Diese Vereinbarung sollte klar festlegen, welcher der beiden Vertragspartner für welche Datenverarbeitungen verantwortlich ist. Dabei sind die Schutzmaßnahmen für die einzelnen Verarbeitungsvorgänge zu definieren, ebenso wie die Methoden, mit denen der externe Betriebsarzt sicher und im Einklang mit den Datenschutzbestimmungen in die betrieblichen Abläufe integriert wird.
(Foto: peopleimages.com – stock.adobe.com)
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
