4. November 2010 - Die betriebsärztliche Dokumentation

Datenschutz und Schweigepflicht

Für den Arbeitgeber besteht unter bestimmten Voraussetzungen eine gesetzliche Verpflichtung zur Bestellung eines Betriebsarztes. Manche Arbeitnehmer sind verunsichert, weil sie befürchten, dass der Arzt Untersuchungs­ergebnisse an den Arbeitgeber weitergibt. Unser Beitrag zeigt den rechtlichen Rahmen für das Verhältnis von Datenschutz und Schweigepflicht.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Das Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit („ASiG“) verpflichtet Unternehmen unter bestimmten Bedingungen, einen Betriebsarzt für Untersuchungen und medizinische Beratung zu stellen.

Aufgabe: Ärztliche Untersuchung der Beschäftigten

Größere Unternehmen stellen in der Regel einen Arbeitsmediziner ein, kleinere arbeiten mit einem externen Betriebsarzt. Nach § 3 ASiG ist es Aufgabe des Betriebsarztes, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu beraten und zu unterstützen. In diesem Rahmen erfolgt die Untersuchung von Arbeitnehmerinnen und Arbeitnehmern, ggf. auch eine Einstellungsuntersuchung.

Hier geht es um besonders sensible und schutzwürdige Daten

Die betriebsärztliche Dokumentation beinhaltet arbeitnehmerbezogene und individuelle medizinische Aspekte wie auch arbeitgeber- bzw. unternehmens- und arbeitsplatzbezogene Aspekte.

Damit sind besonders sensible und schutzwürdige Daten über die Mitarbeiter betroffen. Denn Angaben über die Gesundheit sind besondere Arten personenbezogener Daten und genießen im Datenschutz nach dem BDSG einen erhöhten Schutz (§§ 3 Abs. 9, 28 Abs. 6 BDSG).

Datenschutz und Schweigepflicht gelten auch bei Beauftragung eines externen Betriebsarztes

Der Betriebsarzt unterliegt ebenso wie ein ambulant tätiger Arzt oder ein Krankenhausarzt der ärztlichen Schweigepflicht. Er nimmt nach § 8 Abs. 1 ASiG eine dem Arbeitgeber gegenüber unabhängige Stellung ein und muss auch diesem gegenüber die ärztliche Schweigepflicht wahren. Das gilt unabhängig davon, ob er mittels Arbeitsvertrag eingesetzt wurde, also ein sogenannter interner Betriebsarzt ist, oder ob er als allein praktizierender Arzt bzw. als Mitarbeiter eines ärztlichen Unternehmens und somit als externer Betriebsarzt tätig ist.

Hier ist es also für Sie wichtig zu wissen, dass jeder Betriebsarzt der gesetzlichen Schweigepflicht unterliegt und eine dem Arbeitgeber gegenüber unabhängige Stelle ist.

Die verantwortliche Stelle im Datenschutz

Das Bundesdatenschutzgesetz knüpft in Bezug auf die Berechtigung zur Erhebung oder Verarbeitung personenbezogener Daten an die „verantwortliche Stelle“ für den Umgang mit den Daten an.

Nach § 3 Abs. 7 BDSG ist verantwortliche Stelle im Sinne des Datenschutzes jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. In Abgrenzung hierzu ist „Dritter“ im datenschutzrechtlichen Sinne jede Person oder Stelle außerhalb der verantwortlichen Stelle, sofern er nicht selbst Betroffener ist oder Auftragsdatenverarbeiter (vgl. § 3 Abs. 8 S. 2 und 3 BDSG).

Der Betriebsarzt gilt als Teil des Unternehmens

Sofern es um Datenflüsse zwischen dem Unternehmen und dem Betriebsarzt geht, ist zu hinterfragen,

  • ob sie als Übermittlung im Sinne des BDSG zu qualifizieren sind und damit einer gesetzlichen Grundlage bedürfen, oder
  • ob der Betriebsarzt Teil des Unternehmens als datenschutz-rechtlich verantwortliche Stelle ist.

Letzteres ist der Fall: Der externe Betriebsarzt wird für das Unternehmen – sogar auf dessen Kosten – tätig und unterstützt es bei der Erfüllung seiner durch das ASiG auferlegten Pflichten.

Übermittlung ja oder nein?

Wenn das Unternehmen (der Arbeitgeber) dem Arzt in Ausführung des Vertragsverhältnisses Datensätze zur Verfügung stellt, liegt hierin keine „Übermittlung“ im Gesetzessinne. Die gesetzlichen Merkmale „verantwortliche Stelle/Dritter“ und „Übermittlung“ sind also eng miteinander verknüpft.

Der Betriebsarzt darf keine Geheimnisse offenbaren

Gleichwohl soll das nicht heißen, dass daher eine Weitergabe von Daten in die andere Richtung – also vom Betriebsarzt zum Unternehmen – ohne Weiteres zulässig wäre. Der Betriebsarzt ist Adressat von § 203 des Strafgesetzbuches (StGB): Er unterliegt der ärztlichen Schweigepflicht und macht sich strafbar, wenn er unbefugt Geheimnisse offenbart, die ihm im Rahmen seiner Berufstätigkeit anvertraut oder sonst bekannt geworden sind.

Zwar ist der Betriebsarzt seinem Auftraggeber gegenüber zur Ausführung seiner Dienste verpflichtet. Das umfasst allerdings nicht die Weitergabe von Daten, die er bei der Ausführung dieser Dienste erlangt hat.

Strafbarkeit nach dem StGB
Der externe Betriebsarzt ist kein „Dritter“, sondern Teil der „verantwortlichen Stelle“ im Sinne des BDSG. Gleichwohl darf er Daten nur in sehr beschränktem Umfang an das Unternehmen zurückspielen, da er der ärztlichen Schweigepflicht unterliegt. Ein Verstoß ist strafbar nach § 203 StGB.

„Nutzung“ statt „Übermittlung“

Selbst wenn die Weitergabe von Daten nicht als Übermittlung im datenschutzrechtlichen Sinne anzusehen ist, bedeutet das nicht, dass ein Umgang mit den besonders schützenswerten Daten nicht eine „Nutzung“ darstellt, die ihrerseits datenschutzrechtlichen Restriktionen unterworfen ist.

Nicht nur die Übermittlung (als Unterfall der Datenverarbeitung, § 3 Abs. 4 S. 1 BDSG), sondern auch die Nutzung personenbezogener Daten bedarf

  • der Einwilligung des Betroffenen oder
  • einer gesetzlichen Erlaubnis durch das BDSG oder
  • der einer anderen Rechtsvorschrift (vgl. § 4 Abs. 1 BDSG).

Beachten Sie die Zweckbindung!

Wenn also auf die im Rahmen der betriebsärztlichen Behandlung entstandenen Daten in irgendeiner Form zugegriffen wird, ist auch hier Vorsicht geboten: Eine Einwilligung des Patienten bzw. Arbeitnehmers umfasst immer nur den Zweck, der bei ihrer Abgabe erklärt wurde. Ändert sich der Zweck der Datenverarbeitung (oder -nutzung), so entfaltet die Einwilligung keine Rechtswirkung mehr.

Was passiert, wenn der Betriebsarzt ausscheidet?

Beim Ausscheiden des Betriebsarztes stellt sich unweigerlich die Frage, ob der Betriebsarzt das Recht dazu hat, die im Rahmen seiner Tätigkeit erstellten Unterlagen bzw. Datensätze (besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG) mitzunehmen bzw. zu behalten.

Hierzu fehlt es an einer Berechtigung, da der Betriebsarzt nur als Teil der verantwortlichen Stelle im datenschutz-rechtlichen Sinne angesehen werden kann. Darüber hinaus sind diese Daten im Rahmen der Ausübung der gesetzlichen Pflichten des ASiG entstanden.

Unterlagen nur in die Hände des Nachfolgers!

Der Betriebsarzt darf somit bei seinem Ausscheiden keine Patientenakten mitnehmen bzw. behalten. Er ist selbst nicht verantwortliche Stelle im Sinne des BDSG. Selbstverständlich dürfen diese Unterlagen auch nicht einfach dem Unternehmen zur Verfügung gestellt werden, sondern allenfalls dem Nachfolger des ausscheidenden Betriebsarztes.

Benjamin Spies

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln