Arbeitsmediziner befinden sich in einer datenschutzrechtlich besonders heiklen Position: Sie verwalten Gesundheitsdaten von Arbeitnehmern, die gleichzeitig einem Beschäftigungsverhältnis unterliegen. Ein Datenleck könnte nicht nur DSGVO-Konsequenzen haben, sondern auch das Vertrauensverhältnis zwischen Arzt, Arbeitnehmer und Arbeitgeber dauerhaft beschädigen. IT-Sicherheit ist für Arbeitsmediziner daher eine doppelte Pflicht.
Das Wichtigste in Kürze
- Arbeitsmediziner unterliegen der ärztlichen Schweigepflicht gegenüber dem Arbeitgeber; Gesundheitsdaten von Mitarbeitern dürfen dem Arbeitgeber grundsätzlich nicht zugänglich sein, auch nicht durch einen IT-Angriff.
- Überbetriebliche arbeitsmedizinische Dienste (OAMD) verwalten Daten von tausenden Mitarbeitern verschiedener Unternehmen; ein Ransomware-Angriff kann den gesamten Betrieb lahmlegen.
- Für die Datenspeicherung in der Arbeitsmedizin gelten besonders lange Aufbewahrungsfristen (G37-Untersuchung: 40 Jahre); der Datenschutz über diesen langen Zeitraum muss sichergestellt sein.
IT-Sicherheit speziell für Arbeitsmediziner
Die arbeitsmedizinische Datenhaltung unterscheidet sich fundamental von der allgemeinärztlichen: Neben den üblichen Patientenstammdaten werden arbeitsmedizinische Vorsorgeuntersuchungen (G-Untersuchungen nach DGUV Grundsätzen), Impfdokumentationen, Gefährdungsbeurteilungen und Bescheinigungen zur Arbeitstauglichkeit gespeichert. Diese Daten sind besonders sensitiv, weil sie Konsequenzen für das Beschäftigungsverhältnis haben können.
Die IT-Infrastruktur überbetrieblicher Dienste muss mehrere Firmen gleichzeitig datenschutzkonform verwalten; eine Mischung aus verschiedenen Arbeitgeberdaten in einem System ohne ausreichende Mandantentrennung ist ein typisches Sicherheitsrisiko. Arbeitsmediziner sollten auf mandantenfähige, ISO-27001-zertifizierte Software setzen.
Worauf Arbeitsmediziner besonders achten sollten
Arbeitsmediziner müssen bei der Nutzung digitaler Kommunikation (E-Mail, Messenger) höchste Sorgfalt walten lassen: Die Übermittlung von Eignungsbescheinigungen per unverschlüsselter E-Mail an Arbeitgeber verstößt gegen die DSGVO und die ärztliche Schweigepflicht. Ärzteversichert empfiehlt Arbeitsmedizinern, ausschließlich verschlüsselte Kommunikationswege (KIM über TI oder Ende-zu-Ende-verschlüsselte Systeme) für die Übermittlung von Gesundheitsdaten zu nutzen und eine Cyberversicherung abzuschließen, die Datenschutzverletzungen in der arbeitsmedizinischen Praxis explizit abdeckt.
Typische Fehler bei Arbeitsmedizinern
Ein häufiger Fehler ist die Nutzung privater E-Mail-Konten für die Kommunikation mit Arbeitgebern über Mitarbeitertauglichkeit; diese Konten sind nicht DSGVO-konform gesichert. Ein zweiter Fehler betrifft die unzureichende Datentrennung: Daten verschiedener Klientenunternehmen werden in einem gemeinsamen, nicht mandantengetrennten System gespeichert. Drittens werden die langen Aufbewahrungsfristen arbeitsmedizinischer Daten häufig nicht in die Backup-Strategie einbezogen.
Fazit
Arbeitsmediziner tragen durch die doppelte Verantwortung gegenüber Arbeitnehmern und Arbeitgebern eine besondere IT-Sicherheitspflicht; verschlüsselte Kommunikation, mandantenfähige Software und eine Cyberversicherung mit DSGVO-Deckung sind unverzichtbar. Weitere Artikel finden Sie in der Blog-Übersicht.
Quellen und weiterführende Informationen
- Bundesministerium für Arbeit und Soziales – Arbeitsmedizinische Vorsorge
- Kassenärztliche Bundesvereinigung – Datenschutz und IT
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →