Die betriebsärztliche Datenverarbeitung: Ein Fall des Joint Controllership?

Das Netzwerk Datenschutzexpertise beschäftigt sich in seinem nunmehr in der 2. Auflage veröffentlichten Gutachten „Die Datenverarbeitung des Betriebsarztes – Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärztliche Dienste“ mit einem Thema, welches nicht sonderlich oft im Rampenlicht des betrieblichen Datenschutzes und insbesondere des Beschäftigtendatenschutzes steht.

Um so weniger nachvollziehbar ist die stiefmütterliche Behandlung des Themas in der Praxis und Literatur, vor dem Hintergrund der Tatsache, dass es sich in der Schnittmenge des Medizinrechts und des Datenschutzrechts abspielt, wobei ebenso so viele spannende Fragen des Arbeitsrechts, des Mitbestimmungsrechts und die dort bestehenden spezifischen Regelungen, zur Anwendung kommen.

Daher dürfte auch die aktualisierte Veröffentlichung des Netzwerks Datenschutzexpertise für alle Beteiligten aufschlussreich, wie hilfreich sein, da die Handreichung die rechtlichen Grundlagen ordnet und gleichzeitig eine Vielzahl praktischer Fragestellungen aufgreift. Es werden die wesentlichen anzuwendenden Normen und deren korrekte Anwendung dargestellt.

Datenschutzrechtliche Verantwortlichkeit des Betriebsarztes
Auch die Frage der datenschutzrechtlichen Verantwortlichkeit des internen und des externen Betriebsarztes wird darin diskutiert.

(Externer) Betriebsarzt als eigener Verantwortlicher
In dem Tätigkeitsbericht zum Jahr 2020 des Sächsischen Datenschutzbeauftragten wird auf die Frage eingegangen eingegangen, ob eine etwaige eigene Verantwortlichkeit auch im Falle des Betriebsarztes (Ziffer 2.1.1) in Frage kommen kann.

Der Sächsische Datenschutzbeauftragte betrachtet Betriebsärzte als funktionale Stellen innerhalb des Verantwortlichen. Sie seien dem Verantwortlichen zugehörig und keine eigenen Verantwortlichen. Daran ändere auch nichts, wenn sie als Berufsgeheimnisträger agierten. Zwar unterliegen sie einer besonderen Geheimhaltungspflicht, die dazu führt, dass sie innerhalb der datenverarbeitenden Stelle informationell abgeschottet agieren und sie unterliegen auch innerhalb ihres geheimhaltungspflichtigen Wirkungsbereichs fachlich-inhaltlich keiner Weisungspflicht, doch bleiben sie weiterhin Teil der Entität, so der Sächsische DSB in seinem Tätigkeitsbericht.

Der Verantwortliche habe aber die technisch-organisatorischen Möglichkeiten und Voraussetzungen zur prozessualen Umsetzung zu schaffen. Den wesentlichen Unterschied sieht die Aufsichtsbehörde aber in der Ausgestaltung als externer Betriebsarzt. Bei diesen handele es sich um eigene Verantwortliche, die zwar im Auftrag der personalverwaltenden Stelle datenverarbeitend tätig seien, aber eben selbst über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entscheiden.

(Externer) Betriebsarzt als Joint Controller
Dass diese Frage der Verantwortlichkeit auch durchaus anders betrachtet werden kann, zeigt das Gutachten “ Die Datenverarbeitung des Betriebsarztes“ des Netzwerks Datenschutzexpertise.
Dort kommt die Autoren Schuler/Weichert zum dem Ergebnis, dass in bestimmten Konstellationen aus datenschutzrechtlicher Sicht eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO für die betriebsärztliche Dokumentation und Datenverarbeitung in Frage kommt, weil auch der Arbeitgeber als Besteller des Betriebsarztes, Entscheider über betriebliche Abläufe mit Beteiligung des Betriebsarztes und evtl. Bereitstellung von IT-Infrastruktur Verantwortung trägt (Ziffer 5.1 – Datenschutzrechtliche Verantwortlichkeit).

Im Rahmen der geteilten Verantwortung zwischen dem Arbeitgeber und dem externen Betriebsarzt wäre es nach dieser Auffassung erforderlich, eine vertragliche Vereinbarung gemäß den Anforderungen des Art. 26 DS-GVO zu treffen. Diese Vereinbarung sollte klar festlegen, welcher der beiden Vertragspartner für welche Datenverarbeitungen verantwortlich ist. Dabei sind die Schutzmaßnahmen für die einzelnen Verarbeitungsvorgänge zu definieren, ebenso wie die Methoden, mit denen der externe Betriebsarzt sicher und im Einklang mit den Datenschutzbestimmungen in die betrieblichen Abläufe integriert wird.

(Foto: peopleimages.com – stock.adobe.com)