Sind Betriebsärzte Auftragsverarbeiter im Sinne des Art. 28 DSGVO?

Sind Betriebsärzte Auftragsverarbeiter im Sinne des Art. 28 DSGVO?

Die Rolle von Betriebsärzten in Unternehmen ist eine wichtige Säule des Gesundheitsschutzes. Doch wie verhält es sich mit dem Datenschutz? Insbesondere vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) stellt sich die Frage, ob Betriebsärzte als Auftragsverarbeiter im Sinne des Art. 28 DSGVO einzustufen sind oder ob sie als eigenständige Verantwortliche agieren. Diese Unterscheidung hat erhebliche rechtliche Konsequenzen, insbesondere im Hinblick auf die ärztliche Schweigepflicht und den Schutz der betroffenen Personen.

Eigenständige Verantwortliche statt Auftragsverarbeiter

Nach der geltenden Rechtslage und insbesondere der DSGVO sind Betriebsärzte nicht als Auftragsverarbeiter zu betrachten. Der entscheidende Punkt ist, dass Betriebsärzte eigenständig über die Zwecke und Mittel der Verarbeitung personenbezogener Daten ihrer Patienten entscheiden – in diesem Fall also der Arbeitnehmer, die sie betreuen. Die Betriebsärzte handeln somit als eigenständige Verantwortliche im Sinne der DSGVO.

Würde man Betriebsärzte als Auftragsverarbeiter einstufen, müsste ein sogenannter Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO abgeschlossen werden. Ein solcher Vertrag regelt, dass der Auftraggeber, also das Unternehmen, dem Betriebsarzt Weisungen erteilen kann und Kontrollrechte, etwa durch Inspektionen, über die Datenverarbeitung hat. Diese Vorstellung ist problematisch, weil sie tief in das Arzt-Patienten-Verhältnis und die damit verbundene ärztliche Schweigepflicht gemäß § 203 StGB eingreifen würde.

Die Problematik der Kontrollrechte

Ein zentrales Element eines Auftragsverarbeitungsvertrags sind die Kontrollrechte des Auftraggebers. Diese beinhalten das Recht auf Überprüfungen und Inspektionen der Datenverarbeitung durch den Auftragsverarbeiter, in diesem Fall den Betriebsarzt. In der Praxis würde das bedeuten, dass das Unternehmen tiefgehende Einblicke in die Verarbeitung von Gesundheitsdaten seiner Arbeitnehmer erhielte. Dies wäre ein klarer Verstoß gegen die ärztliche Schweigepflicht. Die Schweigepflicht ist ein zentrales Element des Arzt-Patienten-Verhältnisses und dient dem Schutz der Vertraulichkeit. Nur durch diese Vertraulichkeit kann das notwendige Vertrauen zwischen Arzt und Patient aufrechterhalten werden.

Eine solche Einsichtnahme durch das Unternehmen könnte ohne die Einwilligung der betroffenen Arbeitnehmer nicht durchgeführt werden. Eine gesetzliche Grundlage für eine solche Einsichtnahme existiert in der Regel ebenfalls nicht. Daher würde der Abschluss eines Auftragsverarbeitungsvertrags, der solche Kontrollrechte einräumt, gegen geltendes Recht verstoßen und die Rechte der betroffenen Personen erheblich gefährden.

Unterschiedliche Behandlung interner und externer Betriebsärzte

Die Einschätzung des Sächsischen Landesdatenschutzbeauftragten im Tätigkeitsbericht 2020 unterstützt diese Sichtweise. Er hebt hervor, dass Betriebsärzte unterschiedlich behandelt werden müssen. Während interne Betriebsärzte als Teil des Verantwortlichen, also des Unternehmens, angesehen werden, sind externe Betriebsärzte als eigenständige Verantwortliche zu betrachten.

Interne Betriebsärzte agieren zwar informationell abgeschottet und unterliegen keiner fachlichen Weisungspflicht im Rahmen ihres geheimhaltungspflichtigen Wirkungsbereichs. Dennoch bleiben sie organisatorisch dem Unternehmen zugeordnet und fallen unter die Verantwortung des Unternehmens. Sie sind daher keine eigenständigen Verantwortlichen im Sinne der DSGVO.

Externe Betriebsärzte hingegen entscheiden vollständig eigenständig über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten ihrer Patienten. Diese Eigenständigkeit macht sie zu eigenständigen Verantwortlichen und unterscheidet sie klar von internen Betriebsärzten.

Betroffenenrechte und Folgen einer fehlerhaften Einordnung

Ein weiterer wichtiger Aspekt, der im Zusammenhang mit der Einstufung als eigenständige Verantwortliche zu beachten ist, betrifft die Rechte der betroffenen Personen. Gemäß der DSGVO haben betroffene Personen, also die Patienten des Betriebsarztes, eine Reihe von Rechten, wie etwa das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten. Diese Rechte müssen vom Verantwortlichen gewahrt werden.

Wenn Betriebsärzte fälschlicherweise als Auftragsverarbeiter eingestuft würden, könnte dies schwerwiegende Konsequenzen für die Wahrung dieser Betroffenenrechte haben. Beispielsweise könnte das Unternehmen als Auftraggeber in einer solchen Konstellation versuchen, Einfluss auf die Ausübung der Betroffenenrechte zu nehmen, was nicht zulässig wäre. Die Verantwortung für die Wahrung der Betroffenenrechte liegt jedoch vollständig beim Betriebsarzt als eigenständigem Verantwortlichen. Er allein entscheidet, wie mit den personenbezogenen Daten seiner Patienten umzugehen ist.

Eine fehlerhafte Einordnung als Auftragsverarbeiter würde daher die Rechte der betroffenen Arbeitnehmer gefährden und zu erheblichen rechtlichen Problemen führen. Im Falle von Datenschutzverstößen könnte dies nicht nur zu rechtlichen Konsequenzen, sondern auch zu erheblichen Bußgeldern führen. Die Verantwortlichkeiten und Pflichten gemäß DSGVO würden in einem solchen Fall nicht korrekt abgebildet werden, was zu Compliance-Risiken für das Unternehmen und den Betriebsarzt gleichermaßen führen könnte.

Fazit: Betriebsärzte sind eigenständige Verantwortliche

Zusammenfassend lässt sich sagen, dass Betriebsärzte als eigenständige Verantwortliche und nicht als Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingestuft werden müssen. Der Abschluss eines Auftragsverarbeitungsvertrags mit Betriebsärzten ist nicht nur unnötig, sondern auch rechtlich problematisch. Insbesondere die Kontrollrechte, die ein solcher Vertrag einräumen würde, stehen im Widerspruch zur ärztlichen Schweigepflicht und könnten die Betroffenenrechte erheblich beeinträchtigen.

Unternehmen sollten sich dieser rechtlichen Rahmenbedingungen bewusst sein und sicherstellen, dass die Datenschutzverpflichtungen sowohl gegenüber den internen als auch externen Betriebsärzten korrekt eingehalten werden. Insbesondere bei externen Betriebsärzten ist darauf zu achten, dass sie als eigenständige Verantwortliche agieren und entsprechend ihre Pflichten und Verantwortlichkeiten eigenverantwortlich wahrnehmen.


Stefan Winger
Stefan Winger
Stefan Winger ist seit Oktober 2023 als Senior Manager Datenschutz bei INTEGRITY tätig mit den Schwerpunkten: Gestaltung und Planung datenschutzrelevanter Prozesse in KMUs und klinischen Betrieben.