Die Datenverarbeitung durch den Betriebsarzt erfolgt vorrangig aufgrund gesetzlicher Vorgaben, die sich aus verschiedenen Quellen zusammensetzen können, wie zum Beispiel der Verordnung zur arbeitsmedizinischen Vorsorge (ArbMedVV), dem Arbeitsschutzgesetz, dem Arbeitssicherheitsgesetz oder der Fahrerlaubnisverordnung. Diese gesetzlichen Regelungen verpflichten den Arbeitgeber, arbeitsmedizinische Vorsorgeuntersuchungen durchführen zu lassen, um die Gesundheit und Sicherheit der Mitarbeiter am Arbeitsplatz zu gewährleisten.
Der Umfang der vom Betriebsarzt verarbeiteten personenbezogenen Daten umfasst insbesondere Gesundheitsdaten wie Name, Anschrift, Geburtsdatum, Anamnesen, Diagnosen, Termine, Therapien und Befunde der Mitarbeiter. Die Erhebung dieser Daten ist notwendig, um eine adäquate medizinische Beratung, Beurteilung und gegebenenfalls Behandlung der Mitarbeiter sicherzustellen. Fehlen diese Informationen, kann eine sorgfältige und zielgerichtete medizinische Versorgung nicht gewährleistet werden.
Darüber hinaus dient die Datenverarbeitung durch den Betriebsarzt nicht nur der direkten medizinischen Versorgung, sondern auch organisatorischen Zwecken, wie der Terminplanung und -verwaltung. Zudem werden die Daten anonymisiert für Auswertungen genutzt, beispielsweise für Statistiken zu Untersuchungen, Impfungen, Gesundheitsförderungsaktionen und zur allgemeinen Verbesserung der arbeitsmedizinischen Vorsorge und Sicherheit am Arbeitsplatz.
Um den Datenschutz der Mitarbeiter zu gewährleisten, muss der Betriebsarzt sicherstellen, dass die Verarbeitung der personenbezogenen und insbesondere der Gesundheitsdaten im Einklang mit den geltenden Datenschutzgesetzen, wie der EU-Datenschutz-Grundverordnung (DSGVO), erfolgt. Dazu gehört, dass die Mitarbeiter über die Datenverarbeitung informiert werden, ihre Daten nur für die festgelegten Zwecke genutzt werden, und die Daten sicher vor unbefugtem Zugriff geschützt werden. Des Weiteren haben die Mitarbeiter das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten, diese bei Fehlern korrigieren zu lassen und unter bestimmten Umständen die Löschung oder Einschränkung der Verarbeitung ihrer Daten zu verlangen.