Gesundheitsfragen im Unternehmen sind aktueller denn je. Arbeitsschutz, Gesundheitsschutz oder Unfallverhütung, für all das kann und darf ein Betriebsarzt zur Rate gezogen werden. Wohl oder übel fallen hierbei Gesundheitsdaten an. Nach DSGVO Daten, die besonders schützenswert sind und in Art. 9 der Datenschutzgrunverordnung geregelt sind. Doch was darf der Betriebsarzt und wer darf mit den Daten umgehen. Was passiert mit den Gesundheitsdaten der Betroffenen?
WANN UND WARUM BRAUCHE ICH EINEN BETRIEBSARZT?
Unter gewissen Voraussetzungen müssen Unternehmen einen Betriebsarzt für die Mitarbeiter stellen. Ab einer gewissen Mitarbeiteranzahl oder bei gesundheitsgefährdenden Arbeitsbereichen, muss ein Betriebsarzt vorhanden sein. Geregelt ist dies im Arbeitssicherheitsgesetz (ASiG)
Zu den Aufgaben des Betriebsarztes gehören unter anderem Vorsorgeuntersuchungen und Eignungsuntersuchungen für den reibungslosen Ablauf im Unternehmen.
Die Legitimität der Datenverarbeitung ist in der DSGVO ganz klar geregelt, da neben Namen, Telefonnummer oder E-Mail-Adresse auch Gesundheitsdaten verarbeitet werden gilt Art. 9 Abs. 1 h DSGVO:
“ (Die) Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich (…) erforderlich.“
Der Betriebsarzt hat eine Sonderstellung im Unternehmen. Er kann sowohl intern als auch extern angestellt sein. Der Arbeitgeber darf im Arbeitsvertrag keine generelle oder pauschale Entbindung der Schweigepflicht regeln. Dies muss von den Arbeitnehmer freiwillig mit einer Einwilligung geschehen.
REGELUNG DER VERANTWORTLICHKEIT
Handelt es sich um angestellte Betriebsärzte, ist das Unternehmen Verantwortlicher im Sinne der DSGVO und somit auch für alle Gesundheitsdaten, die erhoben werden. Aufgrund der ärztlichen Schweigepflicht erhält der Betriebsarzt jedoch eine gesonderte Stellung im Unternehmen. Für die Sicherheit der Daten muss er nämlich selbst sorgen. Eine Weitergabe der Daten im Unternehmen ist nicht erlaubt.
Handelt es sich um einen externen Betriebsarzt, gibt es noch keine genaue Aussagen der deutschen Aufsichtsbehörden, genau wie die ungeklärte Thematik, ob der Betriebsrat nach DSGVO eigener Verantwortlicher ist. Agiert der externe Betriebsarzt als eigener Verantwortlicher oder muss man sogar einen AV-Vertrag abschließen? Eigentlich müsste man aufgrund der Schweigepflicht davon ausgehen, dass der Betriebsarzt als Verantwortlicher agiert. Auch liegt keine Weisung bei einer externen Praxis vor, was eine Auftragsverarbeitung ausschließen würde. Im Zweifel hilft es immer, sich mit der verantwortlichen Aufsichtsbehörde auszutauschen, um die legitime Datenverarbeitung sicherzustellen.
DATENAUSTAUSCH ZWISCHEN BETRIEBSARZT UND UNTERNEHMEN
Nach § 3 Verordnung zur arbeitsmedizinischen Vorsorge (ArbMedVV) ist der Arbeitgeber verpflichtet, Vorsorgekarteien zu führen über Datum und Anlass von Vorsorgeuntersuchungen seiner Beschäftigten. Die Beschäftigten werden durch den Arbeitgeber über die Vorsorgeuntersuchung informiert. Theoretisch kann der Arbeitgeber direkt beim Betriebsarzt eine Untersuchung für die Mitarbeiter anstoßen.
Für die Untersuchung benötigt der Betriebsarzt Informationen zum Arbeitsumfeld, den Anlass und eventuelle Gefährdungsbeurteilungen. Bei den Vorsorgeuntersuchungen teilt der Betriebsarzt dem Arbeitgeber dann mit, dass die Untersuchung stattgefunden hat. Bei einer Eignungsuntersuchung muss der Mitarbeiter erst einwilligen, bevor diese stattfinden kann. Die Untersuchung inkl. den Ergebnissen dürfen dann entsprechend an das Unternehmen weitergegeben werden. Diagnosen, die mit der Eignungsuntersuchung nichts zu tun haben, dürfen nicht weitergegeben werden. Auch bei einer Erstuntersuchung unterliegen die Daten der Schweigepflicht.
Ausnahmen von diesem grundsätzlichen Übermittlungsverbot bestehen, wenn es eine gesetzliche Regelung gibt. Beispielsweise sind Gesundheitsämter bei ansteckenden Krankheiten zu informieren (Infektionsschutzgesetz). Und nach dem Sozialgesetzbuch muss der Betriebsarzt die zuständigen Stellen informieren, wenn er feststellt, dass eine Berufskrankheit vorliegt.
Befunde und Ergebnisse sind außerdem gesondert in Patientenakten aufzunehmen und dürfen nicht in der Personalakte gespeichert werden. Sollte der Betriebsarzt wechseln, darf dieser nicht einfach die Patientenakten einsehen, sondern benötigt hierfür die Einwilligung des Betroffenen.
Aufgrund der ärztlichen Schweigepflicht darf auch der betriebliche Datenschutzbeauftragte keine Einsicht in die Patientenakten erlangen. Lediglich für die Überprüfung der Aufbewahrungsfristen, der Datensicherheit o.ä. darf der Datenschutzbeauftragte eingreifen.