Datenschutz bei Betriebsärzten: Rechte, Pflichten und Fallstricke

Betriebsärzte spielen eine zentrale Rolle im betrieblichen Gesundheitsmanagement. Sie sind dafür verantwortlich, die Gesundheit der Mitarbeiter zu schützen, arbeitsmedizinische Untersuchungen durchzuführen und Arbeitgeber zu beraten. Doch gerade im Umgang mit sensiblen Gesundheitsdaten stellen sich erhebliche Datenschutzfragen. Wie ist die Datenverarbeitung geregelt, welche Pflichten bestehen und welche Fallstricke sind zu beachten?

Datenschutzrechtliche Grundlagen

Betriebsärzte verarbeiten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, insbesondere Gesundheitsdaten. Diese unterliegen einem besonderen Schutz. Die Verarbeitung ist nur zulässig, wenn eine ausdrückliche Einwilligung des Betroffenen vorliegt oder eine gesetzliche Grundlage besteht.

Relevante Rechtsgrundlagen:

• Art. 9 Abs. 2 DSGVO (z. B. Gesundheitsvorsorge, medizinische Diagnostik)
• § 22 BDSG (besondere Kategorien personenbezogener Daten)
• Arbeitsschutzgesetz (ArbSchG) und Arbeitssicherheitsgesetz (ASiG)

Die Rolle des Betriebsarztes: Unabhängigkeit und Schweigepflicht

Der Betriebsarzt ist unabhängig vom Arbeitgeber. Er unterliegt der ärztlichen Schweigepflicht (§ 203 StGB) und darf Gesundheitsdaten grundsätzlich nicht an den Arbeitgeber weitergeben. Dies dient dem Schutz der Arbeitnehmer und der Wahrung des Vertrauensverhältnisses.

Welche Informationen darf der Betriebsarzt weitergeben?

• ✅ Ja: Arbeitsmedizinische Beurteilungen (z. B. „arbeitsfähig“, „nicht arbeitsfähig“)
• 🚫 Nein: Diagnosen, Untersuchungsergebnisse oder detaillierte Befunde

Einwilligungen zur Offenlegung von Gesundheitsdaten müssen freiwillig und transparent erfolgen.

Verantwortlichkeit und IT-Sicherheit

Datenschutzrechtlich stellt sich die Frage: Wer ist Verantwortlicher im Sinne der DSGVO?

• Interner Betriebsarzt (Angestellter des Unternehmens): Verantwortlich ist der Arbeitgeber.
• Externer Betriebsarzt (selbständiger Dienstleister): Eigenständig Verantwortlicher oder gemeinsame Verantwortung mit dem Arbeitgeber nach Art. 26 DSGVO.

Besondere Anforderungen gelten für IT-Systeme, die zur Dokumentation genutzt werden:

• Verschlüsselung und Zugriffsbeschränkungen
• Trennung von Gesundheits- und Eignungsuntersuchungsdaten
• Dokumentation und regelmäßige Löschung von Daten nach festgelegten Fristen

Betriebsärzte sind zur Dokumentation ihrer Untersuchungen verpflichtet. Die Daten müssen für mindestens zehn Jahre aufbewahrt werden, bei bestimmten gefährlichen Tätigkeiten sogar bis zu 40 Jahre. Arbeitgeber dürfen jedoch keine Kopien oder direkten Zugriff auf diese Daten erhalten.

Datenschutz im Bereich der Betriebsmedizin erfordert eine sorgfältige Abwägung zwischen gesetzlichen Pflichten, ärztlicher Schweigepflicht und den Rechten der Arbeitnehmer. Klare Prozesse, eine sichere IT-Infrastruktur und die Einhaltung der gesetzlichen Vorgaben sind essenziell, um Datenschutzverletzungen zu vermeiden. Unternehmen sollten Betriebsärzte in ihre Datenschutzstrategie einbinden und eine transparente Kommunikation über die Datenverarbeitung sicherstellen.