Die betriebsärztliche Datenverarbeitung: Ein Fall des Joint Controllership?
Das Netzwerk Datenschutzexpertise beschäftigt sich in seinem nunmehr in der 2. Auflage veröffentlichten Gutachten „Die Datenverarbeitung des Betriebsarztes – Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärztliche Dienste“ mit einem Thema, welches nicht sonderlich oft im Rampenlicht des betrieblichen Datenschutzes und insbesondere des Beschäftigtendatenschutzes steht.
Um so weniger nachvollziehbar ist die stiefmütterliche Behandlung des Themas in der Praxis und Literatur, vor dem Hintergrund der Tatsache, dass es sich in der Schnittmenge des Medizinrechts und des Datenschutzrechts abspielt, wobei ebenso so viele spannende Fragen des Arbeitsrechts, des Mitbestimmungsrechts und die dort bestehenden spezifischen Regelungen, zur Anwendung kommen.
Daher dürfte auch die aktualisierte Veröffentlichung des Netzwerks Datenschutzexpertise für alle Beteiligten aufschlussreich, wie hilfreich sein, da die Handreichung die rechtlichen Grundlagen ordnet und gleichzeitig eine Vielzahl praktischer Fragestellungen aufgreift. Es werden die wesentlichen anzuwendenden Normen und deren korrekte Anwendung dargestellt.
Datenschutzrechtliche Verantwortlichkeit des Betriebsarztes
Auch die Frage der datenschutzrechtlichen Verantwortlichkeit des internen und des externen Betriebsarztes wird darin diskutiert.
(Externer) Betriebsarzt als eigener Verantwortlicher
In dem Tätigkeitsbericht zum Jahr 2020 des Sächsischen Datenschutzbeauftragten wird auf die Frage eingegangen eingegangen, ob eine etwaige eigene Verantwortlichkeit auch im Falle des Betriebsarztes (Ziffer 2.1.1) in Frage kommen kann.
Der Sächsische Datenschutzbeauftragte betrachtet Betriebsärzte als funktionale Stellen innerhalb des Verantwortlichen. Sie seien dem Verantwortlichen zugehörig und keine eigenen Verantwortlichen. Daran ändere auch nichts, wenn sie als Berufsgeheimnisträger agierten. Zwar unterliegen sie einer besonderen Geheimhaltungspflicht, die dazu führt, dass sie innerhalb der datenverarbeitenden Stelle informationell abgeschottet agieren und sie unterliegen auch innerhalb ihres geheimhaltungspflichtigen Wirkungsbereichs fachlich-inhaltlich keiner Weisungspflicht, doch bleiben sie weiterhin Teil der Entität, so der Sächsische DSB in seinem Tätigkeitsbericht.
Der Verantwortliche habe aber die technisch-organisatorischen Möglichkeiten und Voraussetzungen zur prozessualen Umsetzung zu schaffen. Den wesentlichen Unterschied sieht die Aufsichtsbehörde aber in der Ausgestaltung als externer Betriebsarzt. Bei diesen handele es sich um eigene Verantwortliche, die zwar im Auftrag der personalverwaltenden Stelle datenverarbeitend tätig seien, aber eben selbst über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entscheiden.
(Externer) Betriebsarzt als Joint Controller
Dass diese Frage der Verantwortlichkeit auch durchaus anders betrachtet werden kann, zeigt das Gutachten “ Die Datenverarbeitung des Betriebsarztes“ des Netzwerks Datenschutzexpertise.
Dort kommt die Autoren Schuler/Weichert zum dem Ergebnis, dass in bestimmten Konstellationen aus datenschutzrechtlicher Sicht eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO für die betriebsärztliche Dokumentation und Datenverarbeitung in Frage kommt, weil auch der Arbeitgeber als Besteller des Betriebsarztes, Entscheider über betriebliche Abläufe mit Beteiligung des Betriebsarztes und evtl. Bereitstellung von IT-Infrastruktur Verantwortung trägt (Ziffer 5.1 – Datenschutzrechtliche Verantwortlichkeit).
Im Rahmen der geteilten Verantwortung zwischen dem Arbeitgeber und dem externen Betriebsarzt wäre es nach dieser Auffassung erforderlich, eine vertragliche Vereinbarung gemäß den Anforderungen des Art. 26 DS-GVO zu treffen. Diese Vereinbarung sollte klar festlegen, welcher der beiden Vertragspartner für welche Datenverarbeitungen verantwortlich ist. Dabei sind die Schutzmaßnahmen für die einzelnen Verarbeitungsvorgänge zu definieren, ebenso wie die Methoden, mit denen der externe Betriebsarzt sicher und im Einklang mit den Datenschutzbestimmungen in die betrieblichen Abläufe integriert wird.
(Foto: peopleimages.com – stock.adobe.com)
Das könnte Sie auch interessieren
-
Neue Datenschutz‑Hilfen von Microsoft für M365 und Copilot
Microsoft hat im November 2025 ein Paket neuer Dokumentations‑ und Compliance‑Hilfen vorgestellt, das Unternehmen bei der datenschutzkonformen Nutzung von Cloud- und KI‑Diensten unterstützen soll. Inhalte der neuen Hilfsmittel Ziel und Selbstverständnis Microsoft gibt an, mit diesen Hilfen den Nachweis der DSGVO‑Konformität und Erfüllung von Rechenschaftspflichten zu erleichtern – gerade im Kontext von KI‑gestützten Anwendungen und
Mehr erfahren -
HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann. Hintergrund der Einschätzung Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen
Mehr erfahren -
BSI: IT‑Sicherheitslage bleibt angespannt
Das BSI hat am 11. November 2025 den neuen Jahresbericht „Die Lage der IT-Sicherheit in Deutschland 2025“ veröffentlicht. Die Bewertung der Behörde fällt klar aus: Deutschland bleibt trotz Verbesserungen bei der Cyberresilienz weiterhin eine angreifbare Zielstruktur für Cyberkriminelle und staatlich organisierte Angreifer. Wachsende Schwachstellen und vergrößerte Angriffsflächen Cyberbedrohungen in Vielfalt und Professionalisierung Fortschritte – aber
Mehr erfahren
