Betriebsarzt und DSB als eigene Verantwortliche?
Ob es sich beim Betriebsrat um einen eigenen Verantwortlichen handelt oder ob er Teil der verantwortlichen Stelle ist, wurde in der Datenschutzwelt in den letzten Jahren zuhauf diskutiert. Das Thema fand auch innerhalb der Tätigkeitsberichte der Aufsichtsbehörden immer mal wieder seinen Platz.
In dem Tätigkeitsbericht zum Jahr 2020 des Sächsischen Datenschutzbeauftragten wird jedoch erläutert, ob eine etwaige eigene Verantwortlichkeit auch im Falle des Betriebsarztes (Ziffer 2.1.1) und des (externen) Datenschutzbeauftragten (Ziffer 2.1.2) in Frage kommen kann.
(Externer) Betriebsarzt als eigener Verantwortlicher
Der Sächsische Datenschutzbeauftragte betrachtet Betriebsärzte als funktionale Stellen innerhalb des Verantwortlichen. Sie seien dem Verantwortlichen zugehörig und keine eigenen Verantwortlichen. Daran ändere auch nichts, wenn sie als Berufsgeheimnisträger agierten. Zwar unterliegen sie einer besonderen Geheimhaltungspflicht, die dazu führt, dass sie innerhalb der datenverarbeitenden Stelle informationell abgeschottet agieren und sie unterliegen auch innerhalb ihres geheimhaltungspflichtigen Wirkungsbereichs fachlich-inhaltlich keiner Weisungspflicht, doch bleiben sie weiterhin Teil der Entität, so der Sächsische DSB in seinem Tätigkeitsbericht.
Der Verantwortliche habe aber die technisch-organisatorischen Möglichkeiten und Voraussetzungen zur prozessualen Umsetzung zu schaffen. Den wesentlichen Unterschied sieht die Aufsichtsbehörde aber in der Ausgestaltung als externer Betriebsarzt. Bei diesen handele es sich um eigene Verantwortliche, die zwar im Auftrag der personalverwaltenden Stelle datenverarbeitend tätig seien, aber eben selbst über Zweck und Mittel der Verarbeitung der personenbezogenen Daten entscheiden.
(Externer) Betriebsarzt als Joint Controller
Dass diese Frage der Verantwortlichkeit auch durchaus anders betrachtet werden kann, zeigt das Gutachten ” Die Datenverarbeitung des Betriebsarztes” des Netzwerks Datenschutzexpertise. Dort kommt die Autoren Schuler/Weichert zum dem Ergebnis, dass die Konstellation zwischen Verantwortlichem und externem Betriebsarzt in der Regel in Form der “Gemeinsamen Verantwortlichkeit” nach Art. 26 DS-GVO ausgestaltet wäre (Ziffer 5.1 – Datenschutzrechtliche Verantwortlichkeit).
Sächsischer Datenschutzbeauftragter
(Foto s_l – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
