Datenverarbeitung beim Betriebsarzt

29. Juli 2024

Publikationen zum Datenschutz im Arbeitsrecht und im Gesundheitswesen gibt es inzwischen in großer Zahl. Als der Verband Deutscher Betriebs- und Werksärzte e. V. (VDBW) jedoch im Jahr 2020 beim Netzwerk Datenschutzexpertise zu Aspekten betriebsärztlicher Datenverarbeitung nachfragte, stellten wir gemeinsam fest, dass zu diesem Thema wenig Konkretes vorliegt. Für uns war dies Anlass zur Lückenfüllung, geht es doch um die Schnittmenge zweier äußerst sensitiver Formen der Verarbeitung personenbezogener Daten – nämlich um Daten abhängig Beschäftigter und um Daten zu deren Gesundheit. Beschäftigte haben nicht nur ein Grundrecht auf Datenschutz (Art. 8 Grundrechtecharta – GRCh), sondern auch ein „Recht auf gesunde, sichere und würdige Arbeitsbedingungen“ (Art. 31 Abs. 1 GRCh). Die erste Version zum Thema „Die Datenverarbeitung beim Betriebsarzt“ wurde nach diversen Hinweisen, Verbesserungsvorschlägen und im Austausch mit Betriebsärzten im Dezember 2023 überarbeitet.

Unsere Handreichung richtet sich nicht nur an Betriebsärzte, sondern auch an Beschäftigte, Betriebsräte, Arbeitgeber und natürlich Datenschutzbeauftragte. Das Recht der betriebsärztlichen Datenverarbeitung ist nicht ganz einfach zu handhaben, da sich Datenschutz-, Medizin- und Arbeitsrecht gegenseitig ergänzen und beeinflussen. Im Folgenden greifen wir einige wesentliche Aspekte unserer Publikation heraus.

Die Aufgaben des Betriebsarztes

Aufgaben und Rechte des Betriebsarztes – ebenso wie die des Sicherheitsingenieurs und die der anderen Fachkräfte für Arbeitssicherheit – sind im Arbeitssicherheitsgesetz (ASiG) geregelt. Der Arbeitgeber ist zur Bestellung eines Betriebsarztes verpflichtet, der ihn bei der Durchführung des betrieblichen Gesundheitsschutzes berät und unterstützt. Die damit verbundenen Aufgaben kann ein beim Arbeitgeber angestellter Arzt wahrnehmen. Es ist aber ebenso möglich, mit dieser Aufgabe einen externen Arzt oder einen betriebsärztlichen Dienst, der zumeist aus einem größeren Team besteht, zu beauftragen.

Der Betriebsarzt genießt – unabhängig von seinem Arbeitsverhältnis – bei Anwendung seiner arbeitsmedizinischen Fachkunde Unabhängigkeit und ist bei Ausübung seiner Aufgaben keinen Weisungen unterworfen (§ 8 ASiG). Er soll sich generell um die Gesundheit im Betrieb kümmern und die „Erste Hilfe“ organisieren. Zudem hat er „die Arbeitnehmer zu untersuchen, arbeitsmedizinisch zu beurteilen und zu beraten sowie die Untersuchungsergebnisse zu erfassen und auszuwerten“. Er kann beim Betrieblichen Eingliederungsmanagement (BEM, § 167 Abs. 2, 3 SGB IX) einbezogen werden. Die Überprüfung, ob Krankmeldungen der Beschäftigten berechtigt sind, gehört nicht zu seinen Aufgaben (§ 3 ASiG).

Schweigepflicht

Die zentrale Norm zum betriebsärztlichen Datenschutz ist § 8 Abs. 1 S. 3 ASiG: „Betriebsärzte sind nur ihrem ärztlichen Gewissen unterworfen und haben die Regeln der ärztlichen Schweigepflicht zu beachten.“ Die ärztliche Schweigepflicht findet generell ihre Grundlage in § 203 StGB sowie in den ärztlichen Berufsordnungen (§ 9 MBOÄ) sowie speziell in § 6 ArbMedVV. Sie gilt auch gegenüber dem Arbeitgeber. Den Beschäftigten soll es möglich sein, sich vertraulich an den Betriebsarzt zu wenden, ohne arbeitsrechtliche Konsequenzen befürchten zu müssen. In die Schweigepflicht, also die Wahrung des Patientengeheimnisses, sind alle (internen) Gehilfen und (externen) Mitwirkenden des Betriebsarztes einbezogen. Diese Personen unterliegen ausschließlich den Weisungen des Arztes und nicht des Arbeitgebers. Dies gilt selbst dann, wenn ausnahmsweise nicht medizinische Beschäftigte für betriebsärztliche Dienste in Anspruch genommen werden, etwa als sie Temperaturmessungen in der Coronapandemie vorgenommen haben. Für eine Offenbarung durch den Betriebsarzt und seiner Unterstützer gegenüber dem Arbeitgeber bedarf es immer einer Betroffeneneinwilligung beziehungsweise einer Schweigepflichtentbindung.

Nach der Durchführung von Eignungsuntersuchungen darf der Betriebsarzt dem Arbeitgeber regelmäßig nur mitteilen, ob der Beschäftigte für den vorgesehenen Arbeitsplatz gesundheitlich geeignet ist oder nicht. Widerspricht der Beschäftigte einer solchen Mitteilung, muss diese unterbleiben. Ist eine positive Eignungsuntersuchung für die Wahrnehmung einer beruflichen Tätigkeit unabdingbar, so hat der Widerspruch des Betroffenen zur Folge, dass er für diese Tätigkeit nicht eingesetzt werden kann.

Ausnahmsweise darf der Betriebsarzt ein Untersuchungsergebnis ohne vorherige Zustimmung des Beschäftigten offenbaren, wenn er eine meldepflichtige Krankheit diagnostiziert (Meldung an das Gesundheitsamt, §§ 6 ff. IfSG), eine Berufskrankheit vermutet (Meldung an die Unfallversicherung, § 202 SGB VIII) oder wenn eine Gefährdung für die Gesundheit des Beschäftigten oder Dritten besteht, die einer sofortigen Abhilfe durch den Arbeitgeber bedarf. Generell gilt die Ausnahme von der Schweigepflicht, wenn nur durch die Offenbarung des Patientengeheimnisses eine konkrete Gefahr für Leib und Leben eines Dritten abgewendet werden kann (rechtfertigender Notstand, § 34 StGB in Verbindung mit Art. 6 Abs. 1 lit. d DSGVO).

Dokumentation und IT-Systeme

Wie alle Ärzte unterliegen Betriebsärzte einer besonderen Dokumentationspflicht. Die Dokumentation ist kein ausgelagerter Teil der Personalakte, sondern unterliegt einem eigenen Rechtsregime. Die Mindestspeicherdauer beträgt zehn Jahre (§ 630f Abs. 1 BGB, vgl. § 10 Abs. 3 MBOÄ). Bei Langzeitrelevanz, etwa der Dokumentation zu Tätigkeiten mit krebserzeugenden Gefahrstoffen, kann die Aufbewahrungspflicht bis zu 40 Jahre betragen. Eine Konkretisierung weitergehender Aufbewahrungspflichten erfolgte durch den Ausschuss für Arbeitsmedizin in der Arbeitsmedizinischen Regel zu „Fristen für die Aufbewahrung ärztlicher Unterlagen“ (AMR 6.1). Die Rechtsgrundlagen für die Datenverarbeitung des Betriebsarztes befinden sich in Art. 9 Abs. 2 lit. a, b, h, i und Abs. 3, Art. 6 Abs. 1 lit. c und e, Art. 88 DSGVO in Verbindung mit den Regelungen insbesondere im ASiG. § 26 Abs. 7 BDSG stellt klar, dass die Datenschutznormen für den Betriebsarzt unabhängig davon gelten, ob die Beschäftigtendaten in Papierakten oder digital verarbeitet werden. Ergänzend gelten die allgemeinen Regeln des BDSG, die Regelungen zum Behandlungsvertrag in den §§ 630e ff. BGB sowie spezielle Vorgaben im Medizin-, Arbeits- und Sozialrecht.

Bei der betriebsärztlichen Dokumentation ist zu unterscheiden, ob es sich um Daten aus Untersuchungen und Erhebungen zur Pflichtvorsorge (§ 4 ArbMedVV) handelt oder um solche, die der Disposition der Beschäftigten unterliegen, also wenn diese die Dienste aus eigenen Stücken in Anspruch nehmen (§§ 5, 5a ArbMedVV). Diese Unterscheidung sollte sich in einer getrennten Aktenführung oder im System zumindest über eine besondere Markierung abbilden. Leider sehen die meisten für Betriebsarztdienste vorgesehenen Softwareprodukte diese Differenzierung (bisher) nicht vor.

Die Betriebsarztdokumentation muss von der Personalverwaltung des Arbeitgebers sauber getrennt sein; doch setzt dies nicht zwingend ein eigenständiges informationstechnisches System voraus. Durch die Regelung der Zugriffsrechte, der Verschlüsselung sowie weitere möglicher räumlichen Vorkehrungen kann (und muss im Falle der Nutzung informationstechnischer Systeme des Arbeitgebers) gewährleistet werden, dass der Arbeitgeber einschließlich der Personalabteilung und der Vorgesetzten nicht auf die Gesundheitsdaten Zugriff nehmen können.

Betriebsärztliche IT-Systeme sind, wie alle IT-Systeme mit Authentifizierungsmechanismus gemäß § 87 Abs. 1 Nr. 6 und 7 BetrVG mitbestimmungspflichtig. Die Administration eines IT-Systems des Betriebsarztes unterliegt nicht den Weisungen der Unternehmensleitung des Arbeitgebers, sondern denen des Arztes, für die der Administrator oder IT-Dienstleister „Gehilfe“ oder „Mitwirkender“ im Sinne von § 203 StGB ist, dem die Gesundheitsdaten deshalb offenbart werden dürfen.

Verantwortlichkeit

Hinsichtlich der datenschutzrechtlichen Verantwortlichkeit muss zwischen dem internen und dem externen Betriebsarzt beziehungsweise betriebsärztlichen Dienst unterschieden werden. Bei Vorliegen eines Anstellungsverhältnisses zum Arbeitgeber ist dieser trotz eingeschränkter Weisungsbefugnis „Verantwortlicher“ im Sinne der DSGVO.

Insofern ähnelt der Rechtsstatus des Betriebsarztes dem des auch rechtlich teilweise unabhängigen Datenschutzbeauftragten oder dem des Betriebsrats (vgl. § 79a BetrVG). Bei einem externen betriebsärztlichen Dienst ist eine gemeinsame Verantwortlichkeit gegeben (Art. 26 DSGVO).

Dies gilt unabhängig davon, ob die Daten des Betriebsarztes auf einem eigenen IT-System verarbeitet werden oder auf einem IT-System des Arbeitgebers, da der Arbeitgeber als Besteller des Betriebsarztes in jedem Fall über Zwecke und Mittel der Datenverarbeitung mitentscheidet. Das bedeutet, dass in einem Anstellungsvertrag mit einem externen betriebsärztlichen Dienst die in Art. 26 DSGVO vorgesehenen Regelungen aufgenommen sein müssen.

Da sich die Verantwortung auch auf die Sicherheit der Datenverarbeitung erstreckt, ist der Arbeitgeber für die Beachtung der Art. 25 und 32 DSGVO (mit-)verantwortlich.

Bei einem Datenschutzvorfall sind alle Verantwortlichen, also in jedem Fall auch der Arbeitgeber, gegenüber der zuständigen Datenschutzaufsichtsbehörde und regelmäßig gegenüber den Betroffenen meldepflichtig (Artt. 33 ff. DSGVO). Beim Wechsel des Betriebsarztes in einem Unternehmen gelten ähnliche Regeln wie bei einem Arztwechsel in einer ambulanten Arztpraxis: Durch das sogenannte Zwei- Schrank-Modell wird gewährleistet, dass die Vertraulichkeit zum übergebenden Arzt nicht zwangsläufig auf den übernehmenden Arzt ausgeweitet wird. Dieser darf die medizinischen Dokumente in seinen „Schrank“ nur übernehmen, nachdem der Beschäftigte hierin eingewilligt hat.

Betroffenenrechte

Beschäftigte sind zur Duldung von ärztlichen Untersuchungen verpflichtet, die rechtlich vorgeschrieben sind (z. B. § 77 StrSchV, § 48 FeV, § 10 DruckLV, § 12 BioStoffV). Sie können dafür – auf eigene Kosten – alternativ einen Arzt ihrer Wahl in Anspruch nehmen. Erfolgt eine Datenverarbeitung auf einem Betriebsarztsystem, so müssen die Betroffenen gem. Art. 13 DSGVO hierüber umfassend informiert werden. Auch über einen Wechsel des Betriebsarztes sind die betroffenen Beschäftigten entsprechend zu informieren.

Ganz generell haben die Beschäftigten in Bezug auf die betriebsärztliche Dokumentation sämtliche geltenden Datenschutzrechte. Macht ein Beschäftigter seine Rechte gegenüber dem Arbeitgeber geltend, so leitet dieser die Forderung an den Betriebsarzt weiter, der sie in eigener Verantwortung erfüllt. Der Anspruch auf Akteneinsicht oder auf Auskunft gilt umfassend, ist unentgeltlich und kann nicht mit dem Argument verweigert werden, dabei handele es sich um subjektive Arztaufzeichnungen. Dieser Anspruch besteht sowohl aus datenschutz- als auch aus medizinrechtlicher Sicht. Wegen der langen, mindestens zehn-jährigen Dokumentationspflicht besteht beim Löschungs- und Berichtigungsanspruch eine Besonderheit: Anstelle der Korrektur tritt aus Beweissicherungsgründen ein Akten- oder Datenergänzungsanspruch beziehungsweise das Recht auf Gegendarstellung. So soll noch nach Jahren nachvollzogen werden können, was der Arzt dokumentiert hat, selbst wenn sich eine Diagnose im Nachhinein als falsch erweist.

Kooperationen

Der interne Betriebsarzt ist gesetzlich verpflichtet mit dem betrieblichen Datenschutzbeauftragten zusammenzuarbeiten. Er muss entsprechende Kontrollen dulden. Ähnlich wie es in § 79a S. 2 BetrVG für die Betriebsratskontrolle geregelt ist, ist der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit über Informationen verpflichtet, die dem Patientengeheimnis unterliegen. Erfolgt die Datenverarbeitung ausschließlich beim externen Betriebsarzt auf einem eigenen System, so hat der betriebliche Datenschutzbeauftragte des Arbeitgebers keine direkte Zuständigkeit. Wohl aber ist eine Kooperation empfehlenswert, zumal die Verbindung zur Personaldatenverarbeitung gegeben ist.

Eine gesetzliche Kooperationspflicht des Betriebsarztes besteht gegenüber dem Betriebsrat, etwa beim Arbeitsschutz oder bei der Unfallverhütung. Die Unter- nehmensleitung muss in diesen Fragen nicht mit einbezogen werden. Es ist eine zentrale Aufgabe des Betriebsrats wie des Betriebsarztes, den Gesundheitsschutz im Betrieb zu sichern, wobei sie sich gegenseitig ergänzen. Die Bestellung des Betriebsarztes bedarf der Zustimmung des Betriebsrats (§ 9 ASiG).

Über die Autor:innen

Karin Schuler


ist Diplom-Informatikerin und seit über dreißig Jahren selbständige Beraterin
und Sachverständige für Datenschutz und IT-Sicherheit. Sie berät Betriebsräte
und Datenschutzbeauftragte. Karin Schuler ist BvD-Mitglied, ehemalige Vorständin der Deutschen Vereinigung für Datenschutz und Gründungsmitglied des Netzwerks Datenschutzexpertise.

Thilo Weichert


ist Jurist und Politologe. Er war 2004 bis 2015 Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein. Er ist heute als Datenschutzexperte tätig. Thilo Weichert engagiert sich im Vorstand der Deutschen Vereinigung für Datenschutz und ist Gründungsmitglied des Netzwerks Datenschutzexpertise.

Im Rahmen des vorliegenden Beitrags konnten nur einige wichtige Fragen zur betriebsärztlichen Datenverarbeitung exemplarisch erörtert werden. Insofern verweisen wir auf die aktuelle Version unserer Handreichung, die auf der Webseite des Netzwerks Datenschutzexpertise abrufbar ist.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.