Blogserie Datenschutz in der Arztpraxis - Teil 3: Datenschutz bei Mitarbeiterinnen und Mitarbeitern

Datenschutz bei Mitarbeiterinnen und Mitarbeitern – Datenschutz kann nur von Innen gelebt werden

Neben Patientinnen und Patienten gehören auch Mitarbeiterinnen und Mitarbeiter von Arztpraxen zu den betroffenen Personen, deren personenbezogenen Daten zu schützen sind. Hinzu kommt, dass die Praxismitarbeiter die Gesundheitsdaten der Patienten verarbeiten und dabei die Datenschutzgrundsätze, welche der Arzt als Verantwortlicher nach DSGVO für seine Praxis vorgegeben hat, einhalten müssen. Diesen Beitrag teile ich in zwei Kapitel:

  1. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Mitarbeitern
  2. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Bewerbern

1. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Mitarbeitern

Bei der Verarbeitung personenbezogener Daten von Mitarbeitern sind dieselben Datenschutz-Grundsätze nach Art. 5 Abs. 1 DSGVO einzuhalten wie bei allen anderen Betroffenenkreise (z. B. Patienten). Auch wenn dies selbstredend ist, sieht der Alltag in Praxen manchmal anders aus: Gehaltsdaten werden unverschlüsselt an den Steuerberater geschickt, Fotos von Mitarbeitern werden ohne Einwilligung im Internet veröffentlicht, etc. Falls diese oder ähnliche Missstände bei Ihnen vorherrschen, sind sie mit höchster Priorität abzustellen.

Anfangen sollten Sie wieder mal mit den Informationspflichten nach Art. 13 DSGVO. Analog haben Sie es schon bei den Besuchern Ihrer Webseite (Teil 1 der Blogreihe) und bei ihren Patienten (Teil 2 der Blogreihe) sichergestellt. Nun folgen Ihre Mitarbeiter: Diese müssen Sie (unter anderem) über die Art, den Zweck, den Umfang der Verarbeitung personenbezogener Daten informieren. Die Mitarbeiter müssen diese Informationen in "präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" von Ihnen erhalten.

Die Art der Mitteilung ist dabei nicht entscheidend. Ob als Rundlauf, als E-Mail oder als personalisierten Brief ist Ihnen überlassen. Wichtig ist nur, dass Sie den Erhalt der Informationen nachweisen können. Entsprechend empfehle ich Ihnen, eine (interne) E-Mail zu nutzen. Bei dieser können Sie sowohl Inhalt als auch den (offensichtlichen) Erhalt nachweisen. Eine schriftliche Bestätigung der Mitarbeiter über den Erhalt der DSGVO-Informationen ist nicht notwendig.

Einige Prozesse, bei denen Sie aus Ihrem eigenen Interesse heraus Mitarbeiterdaten verarbeiten möchten, können Sie nicht auf einer vertraglichen oder gesetzlichen Rechtsgrundlage stützen. Als Beispiel sollen Mitarbeiterfotos für Ihren Internetauftritt oder Ihre Social-Media-Präsenz (z. B. bei Facebook) angesprochen werden. Datenschutzrechtlich benötigen Sie eine Einwilligung von den Mitarbeitern, wenn Sie deren Fotos dort veröffentlichen wollen. Diese Einwilligung sollte auch die Verarbeitung "besonderer Kategorien personenbezogener Daten" abdecken - denn das Kruzifix um den Hals eines Mitarbeiters oder dessen Hautfarbe kann Rückschlüsse auf seine religiöse Einstellung oder seine Herkunft zulassen. Der Rest der Einwilligung bleibt gleich zu dem bereits bekannten Einwilligungen für Patienten (nach Art. 7 DSGVO): Formfrei, nachweisbar, jederzeit für die Zukunft widerrufbar, klare und einfache Sprache, verständliche und klare Form, Widerruf ohne Hindernisse möglich. Einwilligungen von Azubis (Minderjährigen) sind dann spezfischer zu gestalten, wenn der Azubis noch nicht das 16 Lebensjahr vollendet hat.

Die Informationspflichten sind bei Mitarbeitern (wie auch bei anderen betroffenen Personen - z. B. Patienten) nur die von Außen sichtbaren Zeichen einer datenschutzgerechten Verarbeitung in der eigenen Arztpraxis. Alle Betroffenenrechte wie

  • das Recht auf Löschen,
  • das Recht auf Einschränken der Verarbeitung,
  • das Recht auf Auskunft,
  • das Recht auf Berichtigung und
  • das Recht auf Datenübertragbarkeit

sind mit entsprechenden technisch-organisatorischen Maßnahmen zu belegen und deren Einhaltung ist nachzuweisen (Art. 5 Abs. 2 DSGVO "Rechenschaftspflicht des Verantwortlichen").

Ein letzter Punkt ist noch wichtig: Wie oben beschribene verarbeiten Ihre Mitarbeiter "besondere Kategorien" personenbezogener Daten - insbesondere die Gesundheitsdaten Ihrer Patienten. Aus diesem Grund sollten Sie Ihre Mitarbeiter ausreichend in Bezug auf die Datenschutzprinzipien und den datenschutzgerechten Umgang sensibilisieren und schulen und dies dokumentieren.

2. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Bewerbern

Auch bei Bewerbenr müssen Sie Ihren Informationspflichten nach Art. 13 DSGVO nachkommen. Und natürlich müssen diese Informationen andere Sachverhalte abdecken als die Informationspflichten zu Mitarbeitern, Webnutzer oder Patienten. Viele Punkte sind zwar gleich, wie der Name und die Kontaktdaten des Verantwortlichen oder die Rechte der Betroffenen. Nur kommen Sie nicht umher, die spezifischen Aspekte zu beispielsweise zu Art, Zweck und Rechtsgrundlage der Verarbeitung auf die Aspekte der Verarbeitung von Bewerberdaten im Detail zu beschreiben.

Bei der Umsetzung der Rechte der Bewerber sollten Sie besonders auf die Einhaltung der Löschfristen achten: Löschen Sie Bewerberdaten drei Monate nach der Absage. Drei Monate empfehle ich deswegen als Aufbewahrungs- bzw. Löschfrist, weil die Frist zur Geltendmachung einer nach dem Allgemeinen Gleichbehandlungsgesetz ver­bo­te­nen Dis­kri­mi­nie­rung zwei Mo­na­te beträgt. Rechnen Sie den Postweg dazu, sind die drei Monate nachvollziehbar. Wenn diese schriftliche Geltendmachung Sie erreicht, verlängert sich die für Sie mögliche Aufbewahrungsdauer der Bewerbungsunterlagen (zur eigenen Rechtsverteidigung) entsprechend.

Wollen Sie die Bewerbungsunterlagen im Rahmen eines Bewerber-Pools längerfristig aufbewahren, benötigen Sie ebenfalls eine Rechtsgrundlage. In Frage kommt mal wieder nur die Einwilligung, denn Gesetz, (Vor-)Vertrag, lebenswichtige Interessen, öffentliches Interesse und berechtigtes Interessen sind ausgeschlossen.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen