Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Recht

Im Rahmen jedes Arbeitsverhältnisses werden eine Menge personenbezogener Daten verarbeitet – angefangen von Namen, Wohnort und Bankverbindung des Angestellten bis hin zu Informationen über Fortbildungen, Mitarbeiterbeurteilungen etc. Dabei entscheiden die Klinik oder Praxis als „verantwortliche Stellen“ im Sinne der Datenschutzgrundverordnung (DSGVO) über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Beschäftigten. Diese sind „betroffene Personen“ im Sinne der DSGVO.

Letztere haben nach Art. 15 des Regelwerks zudem ein Recht auf Auskunft über die vom Praxischef oder der Klinik verarbeiteten persönlichen Daten. Doch wie genau muss diese Auskunft erfolgen? Diese Frage hat der Europäische Gerichtshof (EuGH) nun beantwortet (Rs. C‑487/21).

Im Zweifel den großen Ordner

Die Luxemburger Richter befanden, dass Arbeitgeber, wenn ein Mitarbeiter Auskünfte nach Art. 15 DSGVO verlangt, eine originalgetreue und verständliche Reproduktion aller Daten übermitteln müssen, die er über den Betreffenden verarbeitet hat. Daraus kann auch die Pflicht erwachsen, eine Kopie von ganzen Dokumenten oder Auszügen aus Datenbanken zur Verfügung zu stellen, „wenn dies erforderlich ist, damit die betroffene Person ihre Rechte geltend machen kann“.

Diese relativ schwammige Formulierung lässt dem Arbeitgeber zwar einen Beurteilungsspielraum bei der Frage, welche Informationen erforderlich sein könnten, damit der Arbeitnehmer seine Rechte aus der DSGVO geltend machen kann – sei es nun, etwa, weil er die Löschung oder Berichtigung bestimmter Informationen verlangt. Um möglichst wenig (zusätzliches) Konfliktpotenzial zu schaffen, ist es ärztlichen Arbeitgebern jedoch zu raten, ihrer Auskunft ein Begleitschreiben beizulegen, das begründet, welche Informationen sie im Sinne der Entscheidung für „erforderlich“ gehalten haben.

Klare Regeln helfen beim Datenmanagement

Die Entscheidung des EuGH ist für Kliniken, Praxen und MVZ von großer Bedeutung, auch, weil Verstöße gegen die DSGVO immer wieder Schadenersatzansprüche und/oder Bußgelder nach sich ziehen.

Um stets auf etwaige Auskunftsansprüche vorbereitet zu sein, sollten Verantwortlichen daher ein System entwickeln, nach dem sie personenbezogene Daten von Arbeitnehmern speichern. Zudem ist es ratsam, ein striktes, nachvollziehbares Löschkonzept zu etablieren. Denn Informationen, die zum Zeitpunkt des Auskunftsanspruchs (aus nachvollziehbaren Gründen) nicht mehr vorhanden sind, können und müssen sie nicht an den Arbeitnehmer herausgegeben.