Datenschutz in der Arbeitsmedizin (Teil I): Rechtsrahmen und Verantwortung

Einleitung

Die zunehmende Digitalisierung von Abläufen in arbeitsmedizinischen Zentren bei erhöhten Ansprüchen von Arbeitsmedizinern an Schnelligkeit und Datenverfügbarkeit, „Usability“, Softwareergonomie und nicht zuletzt an die arbeitsbezogene Auswertbarkeit dokumentierter Gesundheitsdaten erfordern komplexe IT-Systeme, die einen zuverlässigen Schutz individueller Gesundheitsdaten gewährleisten müssen. Angesichts ihrer Verantwortung für die Einhaltung der ärztlichen Schweigepflicht und zunehmender Cyberattacken auf die Dokumentationssysteme im Gesundheitswesen sind auch Betriebsärzte gut beraten, sich mit dem Schutz der von ihnen erhobenen und dokumentierten Gesundheitsdaten intensiv zu befassen. Der streng vertrauliche Umgang mit individuellen Gesundheitsdaten liegt als Voraussetzung der Einhaltung der ärztlichen Schweigepflicht in ärztlicher Verantwortung und ist eine wesentliche Bedingung des Vertrauens von Beschäftigten in ihre arbeitsmedizinische Betreuung.

Dieser Beitrag gibt einen kurzen Überblick über rechtliche Rahmenbedingungen sowie technische und organisatorische Aufgaben des Datenschutzes in der arbeitsmedizinischen Praxis. Er befasst sich nicht mit der Frage, wie im Rahmen der arbeitsmedizinischen Betreuung die Persönlichkeitsrechte der Beschäftigten zuverlässig zu berücksichtigen sind – das ist ein eigenes, komplexes Thema. Er beschränkt sich vielmehr auf eine orientierende Darstellung der rechtlichen, organisatorischen und technischen Erfordernisse bei IT-gestützter Erhebung und Speicherung individueller Gesundheitsdaten von Beschäftigten in einem unternehmensinternen, in einem überbetrieblichen arbeitsmedizinischen Dienst, aber auch durch selbständige Betriebsärzte.

Die Notwendigkeit eines exzellenten Datenschutzes ergibt sich nicht erst seit der breiten Nutzung einer IT-gestützten Datenerfassung und Dokumentation in der Medizin – auch in der vermeintlich „guten alten Papieraktenwelt“ gab es anspruchsvolle und nicht immer erfolgreich bewältigte Herausforderungen zur Sicherung der Vertraulichkeit medizinischer Daten und der ärztlichen Schweigepflicht. Die zu treffenden Maßnahmen waren aber weitgehend ohne Spezialwissen ableitbar und selbstverständlich in gut geführten medizinischen Einrichtungen.

Demgegenüber erfordert eine sichere Nutzung IT-gestützter Dokumentationssysteme für Gesundheitsdaten von Beschäftigten eine enge Zusammenarbeit von Arbeitsmedizinern mit IT-Spezialisten wie Softwareentwickler bzw. -hersteller und Experten für den Aufbau sowie Betrieb von IT-Netzwerken und Datenbanken mit hohen Sicherheitsstandards. Ziele sind ein gemeinsames Verständnis möglicher Risiken, die Ableitung eines IT-Sicherheits- und Datenschutzkonzepts, die Klärung der technischen Voraussetzungen und die Festlegung von Aufgaben und Verantwortlichkeiten.

Rechtsrahmen

Die EU-Datenschutzgrundverordnung (nachfolgend: DSGVO) ist seit dem 25.05.2018 unmittelbar geltendes Recht in Deutschland. Als Verordnung der EU bedarf sie keines weiteren Umsetzungsaktes (Art. 288 UAbs. 2 AEUV).

Weiterhin ist seit dem 25.05.2018 aber auch eine geänderte Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Es enthält ergänzende Angaben für die Konstellationen, in denen das EU-Recht bestimmte Sachverhalte zur Regelung den Mitgliedsstaaten überträgt. Weiterhin bestehen (wie bisher) auch zahlreiche Rechtsvorschriften, die datenschutzrechtliche Belange regeln (vgl. z.B. § 6 Abs. 3 Nr. 3 ArbMedVV, § 38 Abs. 3 S. 1 RöV, § 202 SGB VII). Die Regelungen gelten sowohl für die automatisierte Datenverarbeitung als auch für personenbezogene Daten, die in einem Dateisystem gespeichert werden (z.B. Papierakten; vgl. § 1 Abs. 1 S. 2 BDSG).

Gesundheitsdaten unterliegen auch innerhalb des Datenschutzes einem besonderen Schutz. Grundsätzlich ist die Verarbeitung von Gesundheitsdaten untersagt (Art. 9 Abs. 1 DSGVO). Ärztliches Handeln ohne die Verarbeitung von Gesundheitsdaten ist aber selbstverständlich nicht möglich, daher existieren einige Erlaubnistatbestände.

Relativ unproblematisch sind die Fälle der Datenverarbeitung im Rahmen der kurativen Medizin. Artikel 9 Abs. 2 lit. h DSGVO ermöglicht aber auch ausdrücklich die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin als einziger explizit aufgeführter Disziplin und für die Beurteilung der Arbeitsfähigkeit des Beschäftigten auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaates. Deutschland hat von dieser Öffnungsklausel Gebrauch gemacht und diesen Sachverhalt in § 22 BDSG einer Regelung zugeführt. Somit sind wesentliche Tätigkeiten (wie z.B. die Erhebung von Daten, die Speicherung in der Patientenakte und die Verwendung der Daten) rechtlich abgesichert. § 22 Abs. 1 Nr. 1 lit. b BDSG findet allerdings nur dann Anwendung, wenn die Datenverarbeitung durch Personen erfolgt, die durch berufsrechtliche Regelungen einer Geheimhaltungspflicht unterliegen.

Problematisch ist in der Arbeitsmedizin aber regelmäßig die Einbindung des Arbeitgebers z.B. dann, wenn er betriebsärztliche Auskünfte auf Grundlage individueller medizinischer Befunde benötigt. Da das Verbot mit Erlaubnisvorbehalt auch der DSGVO zugrunde liegt (vgl. Art. 5, 6 DSGVO), muss in diesen Fällen geprüft werden, ob eine Rechtsvorschrift die diesbezügliche Verarbeitung erlaubt (z.B. § 61 Abs. 3 S. 1 StrlSchV) oder eine Einwilligung der untersuchten Person vorliegt. Anders als in der alten Fassung des BDSG ist die Schriftform im Sinne des § 126 BGB bei der Einwilligung nicht mehr zwingend gefordert. Allerdings bleibt der Verantwortliche dafür nachweispflichtig, dass eine ordnungsgemäße Einwilligung vorliegt (Art. 7 Abs. 1 DSGVO). Insofern wird sich hier auch weiterhin die Schriftform im Sinne von § 126 BGB empfehlen. Eine rechtlich gute Alternative ist es, für die Fälle in denen die Datenverarbeitung lediglich auf einer Einwilligung beruht, der untersuchten Person die entsprechende Bescheinigung zur selbständigen Weitergabe an ihren Arbeitgeber mitzugeben. Eine gute arbeitsmedizinische Beratung klärt auch zur Frage auf, inwieweit im speziellen Fall Beschäftigte zur Weitergabe an den Arbeitgeber verpflichtet sind.

Über die Verarbeitungsvorgänge ist ein Verzeichnis zu führen, in dem u.a. der Zweck der jeweiligen Datenverarbeitungen aufgeführt werden muss (Art. 30 DSGVO).

Weiterhin ist zu prüfen, ob ein Datenschutzbeauftragter zu benennen ist (Art. 37 DSGVO). Dies ist u.a. dann der Fall, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

Werden personenbezogene Daten beim Patienten erhoben, so muss der Verantwortliche die betroffene Person über wesentliche Umstände der Datenverarbeitung informieren (Art. 13 DSGVO; z.B. Name des Verantwortlichen, Zwecke der Datenverarbeitung). Dies gilt auch dann, wenn die Daten nicht direkt beim Patienten erhoben wurden (Art. 14 DSGVO; z.B. wenn der Arbeitgeber dem Betriebsarzt Untersuchungslisten zukommen lässt). Im letzterem Fall ist allerdings zu prüfen, ob sich die individuelle Erteilung der Information nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (Art. 14 Abs. 2 lit. b DSGVO). Gegebenenfalls können in solchen Fällen Informationsmedien hierzu im betriebsärztlichen Dienst ausgehändigt oder als unübersehbarer Aushang genutzt werden.

Das „Recht auf Vergessenwerden“ hat im Rahmen der DGSVO einen neuen Stellenwert erhalten. In Bezug auf die Patientenakte ist allerdings anzumerken, dass zur diesbezüglichen Speicherung eine Verpflichtung besteht (vgl. § 630f Abs. 3 BGB; § 10 Abs. 3 MBO, dieser Passus wurde in allen Ärztekammern übernommen). Insofern besteht diesbezüglich innerhalb der Aufbewahrungsfristen kein Recht des Patienten auf Löschung der entsprechenden Daten in der Patientenakte (Art. 17 Abs. 3 lit. b DSGVO).

Vor dem Hintergrund der neu gefassten Datenschutzvorschriften ist es folglich unabdingbar, sämtliche Datenverarbeitungsvorgänge einer Bewertung zu unterziehen. Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und steht auch hier in der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Auch ist zu prüfen, ob eine Datenschutz-Folgeabschätzung nach Art. 35 DGSVO vorzunehmen ist. Dies wäre z. B. dann der Fall, wenn telemedizinische Verfahren zur Anwendung kommen.

Verantwortung für den Datenschutz im betriebsärztlichen Dienst

Rechtlich verantwortlich ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Besteht eine gemeinsame Verantwortung von zwei oder mehr Verantwortlichen im Sinne von Art. 4 Nr. 7 DGSVO, so haben diese in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt (Art. 26 Abs. 1 DSGVO) und wer von ihnen welche Datenschutzrisiken „persönlich übernimmt“. Eine derartige Vereinbarung dürfte bei jedem größeren arbeitsmedizinischen Zentrum erforderlich sein.

Nutzer arbeitsmedizinischer IT-Systeme sind Arbeitsmediziner und ärztliche Mitarbeiter/-innen sowie arbeitsmedizinische Fachkräfte. Da ein Datenschutzkonzept und die entsprechenden Maßnahmen Voraussetzungen einer Einhaltung sowohl des Datenschutzes als auch der ärztlichen Schweigepflicht sind, liegt in dieser Situation die „Gesamtverantwortung“ des Datenschutzes beim (ggf. leitenden) Arbeitsmediziner – auch wenn Teilaufgaben einzelnen Mitarbeitern oder einem IT-Dienstleister übertragen wurden.

Im Fall eines kaufmännischen Geschäftsführers eines arbeitsmedizinischen Dienstes ohne ärztliche Funktion, aber mit Entscheidungskompetenz hinsichtlich der eingesetzten Medizintechnik, Endgeräte, Dokumentationssysteme sowie Vertragspartnerschaft mit Softwarehersteller und anderen IT-Dienstleistern, dürfte die Gesamtverantwortung sowie zusätzlich die Teilverantwortung für die technischen Aspekte des medizinischen Datenschutzes in der Regel bei der Geschäftsführung des arbeitsmedizinischen Dienstes liegen und sollte dann auch so explizit vertraglich festgelegt werden. Davon abweichende Regelungen sind möglich, wenn z.B. ein leitender Betriebsarzt die einer Gesamtverantwortung entsprechende Entscheidungskompetenz hat, einschließlich Direktionsrecht und Budgetverantwortung.

Die Verantwortung für die verhaltensabhängigen Aspekte der ärztlichen Schweigepflicht – dazu gehört u.a. die sorgsame Nutzung bereitgestellter Geräte und Programme nach festgelegten Regelungen und Standards – bleibt bei den einzelnen Ärzten und ggf. bei den medizinischen Fachkräften im arbeitsmedizinischen Dienst.

Ohne Relativierung der Gesamtverantwortung können Teilaufgaben und damit Teilverantwortlichkeiten – z.B. für eine dem Datenschutz gerechte Softwarekonzeption oder für den professionellen Serverbetrieb eines Rechenzentrums inkl. Integrität der Firewall usw. – vertraglich kompetenten IT-Partnern übertragen werden. Dies muss unmissverständlich vereinbart und festgelegt werden, z.B. im Rahmen eines Vertrags zur Auftragsdatenverarbeitung.

Die jeweils verantwortliche Person muss sich aber immer davon überzeugen, dass alle Maßnahmen des vereinbarten IT-Sicherheitskonzepts von allen Beteiligten wirksam umgesetzt werden. Die im Gesundheitswesen verbreitete Vorstellung, die IT-Sicherheit durch Vertragsabschluss mit einem Softwarehaus weitgehend delegiert und hinreichend gewährleistet zu haben, ist ein gefährlicher Irrtum. Alle technischen Änderungen – z.B. ein Softwareupdate oder der Einsatz neuer Hardware bzw. Medizintechnik – bringen auch bei hohem Niveau des Datenschutzes besondere Risiken mit sich – das gilt besonders dann, wenn die gemeinsame Aufmerksamkeit zunächst nur auf die Funktionalität gerichtet wird. Eventuell werden in solchen Situationen Sicherheitsmaßnahmen wie z.B. Firewalls zeitweise inaktiviert. Derartige Prozesse sind nur in enger Zusammenarbeit des medizinischen Fachpersonals, des Hardware- bzw. Softwarelieferanten und ggf. IT-Dienstleisters bzw. -Betreibers sicher zu bewältigen. Um Risiken angemessen vorzubeugen, sind besonders auch für solche Fälle die Teilaufgaben und Teilverantwortlichkeiten, aber auch die Überprüfung aller relevanten Sicherheitsmaßnahmen sowie die Schritte zur Wiederaufnahme des Routinebetriebs eindeutig festzulegen: Nicht zuletzt sind auch hier die rechtlichen Anforderungen für eine regelkonforme Datenverarbeitung nach den Prinzipien der DSGVO, des BDSG und des Strafgesetzbuches (StGB) zu beachten. Im Rahmen von Verträgen zur Auftragsdatenverarbeitung mit den Dienstleistern ist es für den Arzt als Berufsgeheimnisträger zwingend notwendig, auch die Dienstleister zur Geheimhaltung zu verpflichten. Das heißt, es muss über die Geheimhaltungspflicht nach § 203 StGB aufgeklärt und auf die Strafbarkeit eines Verstoßes hingewiesen werden.

Ausblick

Weitere Hinweis zu den möglichen Risiken, den technischen Schutzmaßnahmen sowie zur Organisation des Datenschutzes werden im Beitrag „Datenschutz in der Arbeitsmedizin – Teil II“ in der Dezemberausgabe der ASU dargestellt.

Interessenkonflikt: Die Autoren erklären, dass sie keinem Interessenkonflikt hinsichtlich der behandelten Aspekte dieses Beitrags unterliegen.