Nach langen, bald vierjährigen Verhandlungen haben sich das Europäische Parlament, der Europäische Rat und die Europäische Kommission am 15. Dezember 2015 über den Inhalt der EU-Datenschutz-Grundverordnung geeinigt. Die Verordnung war am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Am 25. Mai 2016 ist die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.
Das ist zwar noch etwas Zeit, aber der Datenschutz ist für den Betriebsarzt von besonderer Bedeutung. Denken wir nur an die ärztliche Schweigepflicht, das Recht auf informelle Selbstbestimmung und die damit verbundenen Auswirkungen auf die Verordnung zur arbeitsmedizinischen Vorsorge.
Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als z.B. das deutsche Bundesdatenschutzgesetz (BDSG). Manches Unternehmen war bereits hiermit überfordert. Auch im Zusammenspiel mit dem Betriebsarzt ergaben sich reichlich Fragen und Herausforderungen. Zudem beauftragt die EU-DS-GVO den nationalen Gesetzgeber zusätzlich, bestimmte Regelungsbereiche in den Mitgliedstaaten auszugestalten oder stellt ihm dies in anderen Bereichen frei. Auch hierzu dient die zweijährige Übergangszeit. Die Mitgliedstaaten und die Aufsichtsbehörden stehen somit vor großen Herausforderungen. Es ist zu befürchten, dass sich daraus auch neue Herausforderungen für den Betriebsarzt im Umgang mit den personenbezogenen Daten ergeben, die er bei den Mitarbeitern erhebt bzw. zum Teil vom Betrieb bekommt.
Erste Auswirkungen zeigen sich bereits, denn immer wenn es größere rechtliche Änderungen gibt, überarbeiten viele Betriebe ihre Managementsysteme und in diesem Fall den Datenschutz. Das wirkt sich unmittelbar auch auf die Zusammenarbeit mit Dienstleistern aus. Aktuell fordern einzelne Betriebe von ihren Betriebsärzten die Unterzeichnung von Verträgen gem. §11 Bundesdatenschutzgesetz (BDSG) über eine „Auftragsdatenverarbeitung“.
Beim Betriebsarzt handelt es sich aber nicht um eine „Auftragsdatenverarbeitung“ im Sinne des §11 BDSG, sondern um eine „Funktionsübertragung“.
Bei der sog. „Funktionsübertragung“ wird eine Stelle (Betriebsarzt) für eine andere Stelle (Arbeitgeber) dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt (z.B. arbeitsmedizinische Vorsorge) und dazu in eigenem Namen alle erforderlichen Entscheidungen trifft (der Betriebsarzt ist weisungsfrei). In der Regel wird eine derartige „andere“ Stelle beauftragt, wenn diese über ein bestimmtes Fachwissen (Arbeitsmedizin) oder über Erfahrungen und Möglichkeiten verfügt, die der „Auftraggeber“ nicht besitzt.
Charakteristisch für die „Auftragsdatenverarbeitung“ hingegen ist, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bedient. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der beauftragenden Stelle. Der Auftragnehmer verfährt lediglich entsprechend den Weisungen des Auftraggebers mit den von ihm überlassenen und für ihn zu verarbeitenden Daten. Dem Betriebsarzt aber ist es schon von Rechts wegen verwehrt, sich in sein Handeln (auch eine Untersuchung ist eine Datenerhebung) reinreden zu lassen. Bei der Auftragsdatenverarbeitung bestimmt aber der Auftraggeber, was gemacht wird.
Aus § 1 (3) BDSG leitet sich des Weiteren ab, dass Themen, welche unter die ärztliche Schweigepflicht fallen, grundsätzlich nicht mit einer Auftragsdatenverarbeitung abgearbeitet werde können.
