Eine durchaus wegweisend zu nennende Entscheidung des Bundesarbeitsgerichts vom Juni 2024 hat die rechtliche Situation zur Verarbeitung von Gesundheitsdaten durch Medizinische Dienste erheblich konkretisiert. Der Fall eines IT-Mitarbeiters beim Medizinischen Dienst Nordrhein brachte grundlegende Fragen zur Handhabung sensibler Gesundheitsinformationen zur Klärung.
Nach der aktuellen Rechtsprechung dürfen Medizinische Dienste die Arbeitsunfähigkeit ihrer eigenen Mitarbeiter prüfen und entsprechende Gutachten erstellen. Die Besonderheit liegt darin, dass der beauftragte Medizinische Dienst dabei die Gesundheitsdaten des eigenen Personals verarbeiten darf. Diese Befugnis besteht auch dann, wenn einzelne Mitarbeiter des Dienstes im Rahmen ihrer Tätigkeit Zugang zu den entsprechenden Daten erhalten.
Der konkrete Fall verdeutlicht die praktische Umsetzung: Ein langzeiterkrankter Systemadministrator des Medizinischen Dienstes wurde durch eine Gutachterin des eigenen Arbeitgebers begutachtet. Die rechtliche Bewertung ergab, dass die getroffenen Schutzmaßnahmen ausreichend waren. Diese umfassten die Einrichtung spezieller Organisationseinheiten, ein IT-gestütztes Berechtigungskonzept sowie die Beschränkung der Zugriffsrechte auf einen eng begrenzten Personenkreis.
Bemerkenswert ist die Feststellung, dass ein Arbeitgeber in der Position eines Medizinischen Dienstes nicht garantieren muss, dass keinerlei andere Beschäftigte Zugang zu den Gesundheitsdaten haben. Entscheidend ist vielmehr die Implementierung angemessener Schutzmaßnahmen. Dazu gehören die Einrichtung gesonderter Organisationseinheiten, die Verwendung personalisierter Softwarezertifikate und die strikte Begrenzung der Zugriffsrechte nach dem Erforderlichkeitsprinzip.
Die Rechtmäßigkeit der Datenverarbeitung stützt sich auf die berufliche Schweigepflicht und das Sozialgeheimnis, dem alle beteiligten Mitarbeiter unterliegen. Diese Verpflichtungen gelten auch im internen Verhältnis zwischen den Mitarbeitern des Medizinischen Dienstes. Die getroffenen organisatorischen und technischen Maßnahmen zum Schutz der Gesundheitsdaten erfüllen dabei die rechtlichen Anforderungen an Integrität und Vertraulichkeit.
Ein spezieller Aspekt des Falls betrifft die Kommunikation zwischen den beteiligten Ärzten. Die Gutachterin holte telefonisch Auskünfte beim behandelnden Arzt des Mitarbeiters ein. Diese Vorgehensweise wurde vom Gericht als rechtmäßig eingestuft und gehört zum erforderlichen Umfang der Datenverarbeitung bei der Gutachtenerstellung. Selbst der Umstand, dass die IT-Abteilung des Medizinischen Dienstes standortübergreifend Zugriffsmöglichkeiten hatte, wurde nicht als problematisch eingestuft, solange die Zugriffe ausschließlich zur Erfüllung der dienstlichen Aufgaben erfolgten.
Die Entscheidung schafft Rechtssicherheit für die organisatorische Gestaltung der Begutachtungsprozesse in Medizinischen Diensten. Sie bestätigt die Zulässigkeit der internen Begutachtung bei ausreichenden Schutzmaßnahmen und verdeutlicht die Grenzen der erforderlichen Datenschutzvorkehrungen. Bemerkenswert ist auch die Feststellung des Gerichts, dass der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf die Initiative des betroffenen Mitarbeiters selbst zurückging, was die Wirksamkeit der implementierten Schutzmaßnahmen zusätzlich unterstreicht.
Bundesarbeitsgericht, Urteil vom 20.06.2024; AZ– 8 ARZ 253/20 –
Foto: create