Arbeitsmediziner befinden sich in einer datenschutzrechtlichen Doppelrolle: Sie verarbeiten Gesundheitsdaten von Arbeitnehmern als Patienten, stehen aber gleichzeitig in einem Vertragsverhältnis mit dem Arbeitgeber. Diese Konstellation birgt besondere DSGVO-Risiken, insbesondere hinsichtlich der strikten Trennung zwischen ärztlicher Schweigepflicht und betrieblichen Interessen des Auftraggebers.
Das Wichtigste in Kürze
- Strikte Trennung zwischen Arbeitnehmer- und Arbeitgeberdaten: Arbeitsmediziner dürfen dem Arbeitgeber grundsätzlich nur das Ergebnis der Eignungsuntersuchung (geeignet/eingeschränkt geeignet/nicht geeignet) mitteilen, nicht die medizinischen Details.
- Eignungsuntersuchungsprotokolle besonders schützen: Diese Unterlagen müssen so aufbewahrt werden, dass Arbeitgeber keinen Zugriff erhalten.
- Auftragsverarbeitungsvertrag mit dem Unternehmen schließen: Das Vertragsverhältnis zwischen Betriebsarzt und Unternehmen muss datenschutzrechtlich klar geregelt sein.
Datenschutz (DSGVO) speziell für Arbeitsmediziner
Arbeitsmediziner verarbeiten Gesundheitsdaten von Arbeitnehmern im Rahmen von Pflichtuntersuchungen (z. B. Fahreignung, Lärmschutz, Gefahrstoffexposition), Wunschuntersuchungen und der allgemeinen arbeitsmedizinischen Betreuung. Die Besonderheit liegt darin, dass der Auftraggeber (das Unternehmen) nicht derjenige ist, dessen Daten verarbeitet werden (der Arbeitnehmer). Diese Dreipersonenkonstellation erzeugt spezifische DSGVO-Anforderungen.
Das Unternehmen hat als Auftraggeber keinen Anspruch auf Einsicht in die medizinischen Unterlagen des Betriebsarztes. Eignungsunterlagen sind getrennt von allen betrieblichen Unterlagen aufzubewahren und dürfen weder vom Arbeitgeber noch von der Personalabteilung eingesehen werden. Bei Betriebsübergaben oder Wechsel des Betriebsarztes muss die Übertragung der Gesundheitsdaten datenschutzkonform geregelt werden.
Worauf Arbeitsmediziner besonders achten sollten
Arbeitsmediziner sollten mit jedem Unternehmen, für das sie tätig sind, einen Vertrag schließen, der die datenschutzrechtlichen Verhältnisse klar regelt. Dabei muss explizit geregelt sein, welche Daten dem Arbeitgeber mitgeteilt werden dürfen und welche der Schweigepflicht unterliegen. Ärzteversichert empfiehlt Arbeitsmedizinern, den Datenschutz in der Praxis durch klare Dokumentations- und Zugriffsregelungen zu flankieren und regelmäßige Mitarbeiterschulungen durchzuführen.
Für Arbeitsmediziner, die mehrere Unternehmen betreuen, ist die sichere Trennung der Datensätze einzelner Unternehmen besonders wichtig, um Vermischungen und unbeabsichtigte Datenweitergaben zu verhindern.
Typische Fehler bei Arbeitsmedizinern
Ein häufiger Fehler ist die gemeinsame digitale Ablage von Untersuchungsergebnissen und betrieblichen Unterlagen, die für den Arbeitgeber zugänglich ist. Ein zweiter Fehler ist das Fehlen einer klaren Vereinbarung mit dem Arbeitgeber über die Grenzen der Datenweitergabe; ohne eine solche Vereinbarung sind im Konfliktfall beide Seiten ungeschützt. Schließlich wird die datenschutzkonforme Vernichtung von Untersuchungsunterlagen nach Ablauf der Aufbewahrungsfristen oft vernachlässigt.
Fazit
Arbeitsmediziner müssen die besondere Dreipersonenkonstellation ihrer Tätigkeit datenschutzrechtlich klar gestalten und die Trennung von Arbeitnehmer-Gesundheitsdaten und betrieblichen Informationen strikt einhalten. Weitere Artikel finden Sie in der Blog-Übersicht.
Quellen und weiterführende Informationen
- Gesetze im Internet – DSGVO
- Bundesgesundheitsministerium – Arbeitsmedizin
- BMAS – Bundesministerium für Arbeit und Soziales
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →