Hinweis: Dieser Artikel dient der fachlichen Orientierung und stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einordnung empfehlen wir die Beratung durch eine auf IT-Sicherheitsrecht spezialisierte Kanzlei.

Was NIS2 mit Arbeitsmedizin zu tun hat

Das Gesetz zur Umsetzung der NIS-2-Richtlinie (im Folgenden: NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten und hat das BSI-Gesetz (BSIG) grundlegend neu gefasst. Betroffen sind Unternehmen ab 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro in 18 regulierten Sektoren – darunter Energie, Produktion, Logistik, Chemie, Gesundheitswesen und digitale Infrastruktur.

§ 30 Abs. 2 BSIG verpflichtet diese Unternehmen zu zehn Risikomanagementmaßnahmen. Nummer 4 verlangt ausdrücklich die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern.“

Bei „Lieferkette“ denken die meisten zuerst an Cloud-Provider, IT-Dienstleister oder Softwareanbieter. Aber das Gesetz spricht bewusst allgemein von „unmittelbaren Anbietern oder Diensteanbietern“. Nach unserer Einschätzung fällt ein arbeitsmedizinischer Dienstleister, der regelmäßig personenbezogene Daten des Unternehmens verarbeitet und mit dessen IT-Systemen interagiert, unter diese Kategorie – auch wenn er auf den ersten Blick nichts mit IT zu tun hat. Dafür spricht nicht nur der offene Wortlaut des Gesetzes, das bewusst allgemein von „Diensteanbietern“ spricht, sondern vor allem die Realität der Datenverarbeitung: Beim arbeitsmedizinischen Dienstleister liegen Gesundheitsdaten aller betreuten Beschäftigten – und ein typischer Dienst betreut nicht ein Unternehmen, sondern dutzende gleichzeitig. Ein Sicherheitsvorfall betrifft damit potenziell die sensibelsten Daten der Belegschaften vieler Kunden auf einmal. Es gibt bisher keine BSI-Auslegungshilfe oder Rechtsprechung, die den Dienstleisterbegriff in § 30 Abs. 2 Nr. 4 einschränkt – aber auch keine, die ihn ausdrücklich auf IT-Dienstleister beschränkt.

Wer unter NIS2 fällt, braucht auch substanzielle Arbeitsmedizin

Die Schnittmenge ist kein Zufall: Unternehmen, die unter NIS2 fallen, sind typischerweise Industriebetriebe, Maschinenbauer, Chemiefirmen, Energieversorger, Logistikunternehmen oder größere Einrichtungen des Gesundheitswesens. Also genau die Unternehmen, die eine umfangreiche arbeitsmedizinische Betreuung benötigen – nicht einmal im Jahr eine Vorsorge für fünf Bildschirmarbeitsplätze, sondern laufende Betreuung mit zahlreichen Vorsorgeanlässen, regelmäßigen Begehungen und oft auch Eignungsbeurteilungen.

Ein Maschinenbauer mit 300 Beschäftigten hat Lärmarbeitsplätze, Gefahrstoffe, Fahr- und Steuertätigkeiten. Ein Logistikunternehmen mit 500 Beschäftigten und hoher Fluktuation hat permanent Einstellungsprozesse und laufende Vorsorgezyklen. Ein Chemiebetrieb arbeitet mit umfangreichen Gefahrstoffkatastern, die in die arbeitsmedizinische Betreuung einfließen.

Das bedeutet: Der Datenaustausch zwischen diesen Unternehmen und ihrem arbeitsmedizinischen Dienstleister ist kein gelegentlicher Vorgang, sondern ein laufender Prozess mit erheblichem Datenvolumen.

Was tatsächlich an Daten fließt

Um die NIS2-Relevanz realistisch einzuschätzen, lohnt ein genauer Blick auf die tatsächlichen Datenflüsse. Dabei ist die Unterscheidung zwischen arbeitsmedizinischer Vorsorge und Eignungsbeurteilung wesentlich, weil sich die Datenflüsse und ihre datenschutzrechtliche Bewertung erheblich unterscheiden.

Daten vom Unternehmen zum arbeitsmedizinischen Dienstleister

Das Unternehmen übermittelt regelmäßig Mitarbeiterstammdaten: Name, Geburtsdatum, Personalnummer, Abteilung, Tätigkeitsbeschreibung und die daraus abgeleiteten Vorsorgeanlässe. Bei einem Unternehmen mit mehreren hundert Beschäftigten sind das umfangreiche Datensätze, die bei Personalwechseln laufend aktualisiert werden.

Diese Übermittlung erfolgt heute fast ausnahmslos digital – als Excel-Datei per E-Mail, über freigegebene Netzlaufwerke, SharePoint-Ordner oder über arbeitsmedizinische Softwareplattformen. Der rein analoge Weg über Papierlisten existiert in der Praxis kaum noch.

Daten vom arbeitsmedizinischen Dienstleister zum Unternehmen

Hier ist eine saubere Unterscheidung nötig:

Bei der arbeitsmedizinischen Vorsorge (Pflicht-, Angebots- und Wunschvorsorge nach ArbMedVV) erhält der Arbeitgeber eine Vorsorgebescheinigung nach § 6 Abs. 3 Nr. 3 ArbMedVV. Diese bestätigt lediglich, dass die Vorsorge stattgefunden hat, aus welchem Anlass und wann die nächste Vorsorge aus ärztlicher Sicht angezeigt ist. Die Vorsorgebescheinigung enthält keine Aussage zur gesundheitlichen Eignung – diese Trennung wurde mit der ArbMedVV-Änderung 2013 bewusst vollzogen. Eine Zusammenfassung mit Eignungsbescheinigungen ist nach AMR 6.3 ausdrücklich unzulässig.

Bei der Eignungsbeurteilung (auf arbeitsvertraglicher oder spezialgesetzlicher Grundlage, nicht Teil der ArbMedVV) erhält der Arbeitgeber dagegen eine Aussage: geeignet, bedingt geeignet oder nicht geeignet für eine bestimmte Tätigkeit. Die Eignungsaussage lässt Rückschlüsse auf den Gesundheitszustand zu und ist als Gesundheitsdatum im Sinne von Art. 4 Nr. 15, Art. 9 DSGVO besonders geschützt.

Der Rückfluss an den Arbeitgeber ist also datenschutzrechtlich deutlich weniger brisant, als man zunächst vermuten würde – jedenfalls bei der Vorsorge. Das verringert die NIS2-Relevanz des Rückkanals, bedeutet aber nicht, dass die Lieferantenbeziehung insgesamt unkritisch ist.

Drittanbieter und Systemzugänge

Zur Realität gehört auch: Viele arbeitsmedizinische Dienstleister arbeiten im System des Kunden – etwa über freigegebene SharePoint-Ordner, Zugänge zu HR-Portalen oder geteilte Laufwerke. Und für die Terminkoordination kommen häufig externe Online-Terminbuchungstools zum Einsatz, ohne dass der Datenfluss über diese Drittanbieter immer vertraglich abgesichert ist.

Für die Lieferkettenbewertung stellt sich hier eine Abgrenzungsfrage: Muss das NIS2-regulierte Unternehmen die Subdienstleister seines Betriebsarztes selbst bewerten? Das BSIG beschränkt die Pflicht auf *unmittelbare* Anbieter und Diensteanbieter. Die Drittanbieter des Betriebsarztes sind also primär dessen Risiko. Allerdings sollte das Unternehmen im Rahmen seiner eigenen Bewertung durchaus fragen, ob und welche Subdienstleister der arbeitsmedizinische Dienst einsetzt und ob diese vertraglich eingebunden sind.

Warum der arbeitsmedizinische Dienstleister trotzdem relevant ist

Wenn die Vorsorgebescheinigung keine Gesundheitsdaten enthält und der Datenrückfluss überschaubar ist – warum sollte der arbeitsmedizinische Dienstleister dann in einer NIS2-Lieferkettenbewertung auftauchen?

Aus zwei Gründen:

1. Der Datenfluss zum Dienstleister

Das Unternehmen übermittelt regelmäßig personenbezogene Daten einer großen Zahl von Beschäftigten an den Dienstleister. Diese Daten umfassen nicht nur Name und Geburtsdatum, sondern auch Tätigkeitsprofile und Vorsorgeanlässe – daraus lässt sich ableiten, welche Beschäftigten welchen Gefährdungen ausgesetzt sind. Bei größeren Unternehmen handelt es sich um hunderte bis tausende Datensätze, die häufig über unsichere Kanäle (unverschlüsselte E-Mail, offene Netzlaufwerke) übertragen werden.

Ein NIS2-reguliertes Unternehmen, das seine Lieferkette systematisch bewertet, wird bei der Frage „Welche personenbezogenen Daten übermitteln wir regelmäßig an welche Dienstleister, und über welchen Kanal?“ unweigerlich auf den arbeitsmedizinischen Dienstleister stoßen.

2. Die Datenhaltung beim Dienstleister

Beim arbeitsmedizinischen Dienstleister liegen die eigentlichen Gesundheitsdaten der Belegschaft: Anamnesen, Untersuchungsbefunde, Laborwerte – mit gesetzlichen Aufbewahrungsfristen von 10 Jahren im Regelfall bis zu 40 Jahren bei bestimmten Expositionsarten, etwa bei krebserzeugenden Gefahrstoffen. Diese Daten fallen unter die höchste Schutzkategorie (Art. 9 DSGVO) und die ärztliche Schweigepflicht (§ 203 StGB). Der Arbeitgeber hat auf diese Daten keinen Zugriff – aber ein Sicherheitsvorfall beim Dienstleister betrifft die Beschäftigten des Kunden.

Das ist ein Risiko, das kein Geschäftsführer ignorieren kann: Ein Breach beim arbeitsmedizinischen Dienstleister legt zwar keine Produktion lahm, aber die Gesundheitsdaten der eigenen Belegschaft liegen offen. Die Kombination aus Stammdaten (die das Unternehmen selbst übermittelt hat) und Gesundheitsdaten (die der Arzt erhoben hat) ergibt im schlimmsten Fall ein vollständiges Profil: Name, Arbeitgeber, Tätigkeit, Gefährdungsexposition – und Gesundheitszustand.

Hinzu kommt: Ein arbeitsmedizinischer Dienstleister betreut in der Regel nicht einen Kunden, sondern dutzende Unternehmen gleichzeitig. Ein Sicherheitsvorfall betrifft damit potenziell die Beschäftigten aller Kunden. Das unterstreicht einerseits, wie relevant die IT-Sicherheit beim Dienstleister ist. Andererseits bedeutet es, dass kundenindividuelle Sicherheitsanforderungen schnell an Grenzen stoßen – der Dienstleister braucht einen einheitlichen Sicherheitsstandard, der alle Anforderungen abdeckt.

Eine wichtige Besonderheit: Verantwortlicher, nicht Auftragsverarbeiter

Der arbeitsmedizinische Dienstleister verarbeitet die Gesundheitsdaten der Beschäftigten nicht im Auftrag des Arbeitgebers, sondern als eigenständig datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO). Der Arzt handelt in ärztlicher Eigenverantwortung, ist an die Schweigepflicht nach § 203 StGB gebunden und unterliegt keinem Weisungsrecht des Arbeitgebers hinsichtlich der medizinischen Datenverarbeitung. Das ist keine Auftragsverarbeitung nach Art. 28 DSGVO.

Dabei ist wichtig zu sehen: Ärzte unterliegen bereits heute einem engmaschigen Regelwerk zum Schutz der ihnen anvertrauten Gesundheitsdaten – die strafbewehrte Schweigepflicht nach § 203 StGB, die Berufsordnung für Ärzte mit detaillierten Vorgaben zur Dokumentation und Datensicherheit, und die DSGVO in der Rolle als eigenständig Verantwortlicher. Das inhaltliche Schutzniveau für medizinische Daten ist in der Arbeitsmedizin also keineswegs niedrig. Was NIS2 über die Lieferkettenbewertung adressiert, ist nicht das Schutzniveau als solches, sondern dessen technische Absicherung und Nachweisbarkeit – verschlüsselte Übertragungswege, dokumentierte TOMs, strukturierte Vorfallprozesse.

Für die NIS2-Lieferkettenbewertung hat die Stellung als Verantwortlicher praktische Konsequenzen:

Das NIS2-regulierte Unternehmen kann von seinem arbeitsmedizinischen Dienstleister nicht dasselbe verlangen wie von einem Cloud-Provider oder einem IT-Dienstleister, mit dem es eine AVV hat. Es gibt kein Weisungsrecht und kein vertragliches Audit-Recht bezüglich der Gesundheitsdaten. Die ärztliche Unabhängigkeit – verankert in § 1 Abs. 2 Bundesärzteordnung und § 2 Musterberufsordnung – ist Voraussetzung dafür, dass die Schweigepflicht funktioniert, und darf durch Sicherheitsanforderungen des Kunden nicht ausgehebelt werden. Konkret: Der Kunde kann fragen, ob die IT-Infrastruktur des Dienstleisters geschützt ist und wie Vorfälle gehandhabt werden. Er kann aber nicht vorschreiben, welche Software der Arzt nutzt oder wo dessen Praxis-IT gehostet wird.

Gleichzeitig befreit die Stellung als Verantwortlicher den arbeitsmedizinischen Dienstleister nicht von der NIS2-Lieferkettenlogik: § 30 Abs. 2 Nr. 4 BSIG verlangt die Bewertung der Cybersicherheitspraxis unmittelbarer Dienstleister. Das Gesetz nimmt dabei keine Einschränkung auf bestimmte datenschutzrechtliche Rollen vor. Im Gegenteil: Erwägungsgrund 85 der NIS-2-Richtlinie unterstreicht, dass betroffene Einrichtungen ihre Risikomanagementmaßnahmen in die vertraglichen Vereinbarungen mit ihren direkten Diensteanbietern einbeziehen sollten – und das BSI greift diese Erwartung in seinen FAQ zur Lieferkettensicherheit ausdrücklich auf. Der Kunde kann und sollte also fragen: Wie ist Ihre IT-Infrastruktur geschützt? Haben Sie dokumentierte technische und organisatorische Maßnahmen? Wie gehen Sie mit Sicherheitsvorfällen um?

Die Antwort auf diese Fragen entscheidet zunehmend darüber, ob eine Zusammenarbeit fortgesetzt wird.

Und im Ernstfall? Die Frage der Vorfallmeldung

Ein Aspekt, der in der Praxis oft übersehen wird: Das NIS2UmsuCG verpflichtet betroffene Unternehmen nach § 32 BSIG zu einem mehrstufigen Melderegime bei erheblichen Sicherheitsvorfällen: eine frühe Erstmeldung innerhalb von 24 Stunden, eine Meldung mit erster Bewertung innerhalb von 72 Stunden, auf Ersuchen des BSI Zwischenmeldungen über relevante Statusaktualisierungen sowie eine Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung. Diese Meldepflicht trifft das NIS2-regulierte Unternehmen, nicht den Dienstleister. Wenn aber ein Sicherheitsvorfall beim arbeitsmedizinischen Dienstleister Daten des Kunden betrifft, braucht der Kunde die Information rechtzeitig, um seine eigene Meldepflicht erfüllen zu können. Das setzt voraus, dass vorab geklärt ist: Wer informiert wen, über welchen Kanal, in welcher Frist? Ohne eine solche Vereinbarung erfährt das Unternehmen im Zweifel erst von einem Vorfall, wenn es für die 24-Stunden-Frist bereits zu spät ist.

Das eigentliche Problem: digitale Prozesse ohne Sicherheitsstruktur

Das Risiko liegt in den meisten Fällen nicht in der arbeitsmedizinischen Tätigkeit selbst, sondern in der Art, wie der Datenaustausch organisiert ist. In der Praxis gibt es ein breites Spektrum:

Strukturierte digitale Lösung: Der Datenaustausch erfolgt über eine arbeitsmedizinische Plattform mit Zugriffssteuerung, Verschlüsselung und dokumentierten technischen und organisatorischen Maßnahmen. Vorsorgeanlässe werden systematisch verwaltet, Bescheinigungen digital bereitgestellt. In einer Lieferkettenbewertung lässt sich das sauber nachweisen.

Digitale Workarounds: Mitarbeiterlisten gehen als Excel per E-Mail an den Betriebsarzt. Bescheinigungen kommen als PDF per Mail zurück. Termine werden über separate Online-Tools koordiniert. Der Dienstleister hat einen SharePoint-Zugang beim Kunden. Die Daten fließen digital, aber über unkontrollierte Kanäle, ohne Verschlüsselung, ohne klare Zugriffssteuerung, ohne dokumentierte Sicherheitsmaßnahmen. Genau das fällt bei einer systematischen Lieferkettenbewertung auf.

Für das NIS2-regulierte Unternehmen ergibt sich daraus eine unbequeme Erkenntnis: Wer von seinem arbeitsmedizinischen Dienstleister verlangt, dass Stammdaten und Bescheinigungen per unverschlüsselter E-Mail ausgetauscht werden, weil es keine bessere Infrastruktur gibt, hat selbst ein Problem in der Lieferkette – nicht nur der Dienstleister.

Was der arbeitsmedizinische Dienstleister tun kann

Die Anforderungen des § 30 BSIG gelten nach dem Verhältnismäßigkeitsgrundsatz: Maßnahmen müssen „geeignet, verhältnismäßig und wirksam“ sein, unter Berücksichtigung unter anderem des Ausmaßes der Risikoexposition, der Größe der Einrichtung, der Umsetzungskosten sowie der Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen. Ein arbeitsmedizinischer Dienst mit fünf Mitarbeitern muss kein Security Operations Center betreiben. Aber „wir machen nichts“ ist keine Antwort, die einer Kundenanfrage standhält.

Dabei ist eine realistische Differenzierung wichtig: Wie die Verantwortung für IT-Sicherheit verteilt ist, hängt wesentlich davon ab, welche Art von Praxisverwaltungssystem (PVS) der Dienstleister einsetzt.

Bei einem cloud-basierten PVS liegt ein großer Teil der technischen IT-Sicherheit beim Anbieter: Hosting, Verschlüsselung der gespeicherten Daten, Zugriffskontrollen im System, Backup und Verfügbarkeit. Das sind Anforderungen an den PVS-Anbieter, und dort gehört auch eine ISMS-Zertifizierung hin. Der einzelne Betriebsarzt oder kleine Dienst wird sich in der Regel nicht selbst nach ISO 27001 zertifizieren lassen, und das ist auch nicht das, was NIS2 verlangt.

Bei einem klassischen, lokal installierten PVS – und das ist bei vielen etablierten Systemen nach wie vor der Regelfall – sieht die Verantwortungsverteilung anders aus. Der PVS-Anbieter liefert die Software, aber für Server, Backup, Festplattenverschlüsselung, Netzwerksicherheit und Zugriffskontrolle auf Betriebssystemebene ist der Dienstleister selbst verantwortlich. Diese Systeme sind vielfach seit Jahren bewährt und funktional ausgereift – aber die Frage, ob die darunterliegende Infrastruktur dokumentiert abgesichert ist, stellt sich mit NIS2 neu.

Was allerdings sehr wohl in der Verantwortung des Dienstleisters selbst liegt, ist alles, was außerhalb des PVS passiert – und genau dort liegen in der Praxis die größten Schwachstellen. Denn das PVS bildet in der Regel die interne Dokumentation ab: Vorsorgekartei, Befunde, Termine. Was es typischerweise nicht abdeckt, ist der Datenaustausch mit dem Kunden – der Versand von Bescheinigungen, der Empfang von Mitarbeiterlisten, die Terminkoordination über externe Kanäle. Dieser Bereich läuft häufig über E-Mail, geteilte Laufwerke oder Drittanbieter-Tools und liegt damit vollständig in der Verantwortung des Dienstleisters:

Sofort machbar:

Verschlüsselte E-Mail-Kommunikation für den Austausch personenbezogener Daten einrichten. Die eigenen technischen und organisatorischen Maßnahmen (TOMs) dokumentieren – viele Dienstleister haben Maßnahmen umgesetzt, aber nie schriftlich festgehalten. Klären, welche Sicherheitsnachweise der eigene PVS-Anbieter liefern kann (bei cloud-basierten Systemen) bzw. die eigene Infrastruktur dokumentieren (bei lokalen Systemen), und die Ergebnisse für Kundenanfragen bereithalten. Einen Ansprechpartner für Sicherheitsvorfälle benennen, der im Ernstfall erreichbar ist. Prüfen, ob bestehende Verträge und Vereinbarungen mit Kunden die realen Datenflüsse korrekt abbilden. Mit den wichtigsten Kunden eine Vereinbarung zur Vorfallbenachrichtigung treffen, die zu deren Meldefristen nach § 32 BSIG passt.

Mittelfristig:

Den Datenaustausch mit Kunden auf kontrollierte Kanäle umstellen – weg von unverschlüsselter E-Mail und offenen Netzlaufwerken. Einen Sicherheitsfragebogen proaktiv vorbereiten, statt auf Kundenanfragen reaktiv zu reagieren. Beschäftigte für IT-spezifische Sicherheitsrisiken sensibilisieren – Phishing-Erkennung, sichere Passwörter, Umgang mit E-Mail-Anhängen. Die eigene Arbeitsumgebung absichern: Geräteverschlüsselung auf Laptops, keine Speicherung von Zugangsdaten in Klartext, kein Zugriff auf Kundensysteme über private Endgeräte. Als niedrigschwelligen Einstieg die eigene IT-Sicherheit im Rahmen eines CyberRisikoChecks nach DIN SPEC 27076 bewerten lassen – das BSI hat dieses Verfahren speziell für kleine und Kleinstunternehmen entwickelt, und es liefert einen strukturierten Ergebnisbericht, der gegenüber Kunden als erster Nachweis dienen kann.

Beim PVS-Anbieter einfordern (bei cloud-basierten Systemen):

Wer ein cloud-basiertes PVS nutzt, sollte vom Anbieter Nachweise über dessen Sicherheitsstandards verlangen: Wo wird gehostet? Gibt es eine ISO 27001-Zertifizierung oder vergleichbare Nachweise? Wie sind Backup, Verschlüsselung und Zugriffskontrolle umgesetzt? Wie werden Sicherheitsvorfälle gehandhabt? Diese Nachweise lassen sich direkt an NIS2-regulierte Kunden weiterreichen und beantworten einen Großteil der Fragen, die ein Sicherheitsfragebogen stellt.

Bei lokal installiertem PVS zusätzlich in eigener Verantwortung:

Wer ein klassisches, lokal installiertes PVS betreibt, ist für die Infrastruktursicherheit verantwortlich: Festplattenverschlüsselung, regelmäßige und getestete Backups, aktueller Patchstand von Betriebssystem und Software, Firewall, Zugriffsschutz. In der Praxis wird diese Infrastruktur allerdings meist nicht vom Arzt selbst betrieben, sondern von einem IT-Dienstleister oder Systemhaus, das die Praxis-IT eingerichtet hat und betreut. Von diesem IT-Dienstleister lassen sich Nachweise über die umgesetzten Maßnahmen einfordern – dokumentierte Backup-Konfiguration, Patchzyklen, Firewall-Regeln. Vieles davon ist bei sorgfältig betreuten Systemen bereits umgesetzt; entscheidend ist, dass es auch nachweisbar dokumentiert ist.

Was das NIS2-regulierte Unternehmen tun kann

Die Lieferkettenbewertung des arbeitsmedizinischen Dienstleisters muss nicht so aufwendig sein wie die des Cloud-Providers. Aber sie sollte stattfinden. Sinnvolle Fragen für den Sicherheitsfragebogen:

  • Über welche Kanäle werden Mitarbeiterstammdaten und Vorsorgeanlässe übermittelt?
  • Ist die Kommunikation verschlüsselt (E-Mail, Dateiübertragung)?
  • Wo und wie speichert der Dienstleister die Gesundheitsdaten der Beschäftigten?
  • Gibt es dokumentierte technische und organisatorische Maßnahmen (TOMs)?
  • Gibt es einen benannten Ansprechpartner für Sicherheitsvorfälle?
  • In welcher Frist informiert der Dienstleister bei einem Sicherheitsvorfall, der Daten des Kunden betrifft?
  • Setzt der Dienstleister eine Software oder Plattform ein, und wenn ja – wo wird diese gehostet und welche Sicherheitsstandards werden eingehalten?
  • Verfügt der Dienstleister über eine ISMS-Zertifizierung (z. B. ISO 27001) oder hat zumindest einen CyberRisikoCheck nach DIN SPEC 27076 durchführen lassen?
  • Werden Subdienstleister eingesetzt (z. B. für Terminbuchung, Hosting), und wenn ja – sind diese vertraglich eingebunden?

Ebenso wichtig ist die Selbstreflexion: Wenn das eigene Unternehmen den Datenaustausch mit dem Betriebsarzt über unsichere Kanäle organisiert – etwa durch Versand von Excel-Listen per unverschlüsselter Mail oder Freigabe von SharePoint-Ordnern ohne Zugriffsprotokollierung – ist das ein Risiko, das auch in der eigenen Risikobewertung adressiert werden muss.

Wie wahrscheinlich ist eine Prüfung genau dieses Punktes?

Die Durchsetzungspraxis des BSI unter dem neuen BSIG ist noch nicht etabliert. Ob und wann das BSI die Lieferkettenbewertung eines Unternehmens im Detail prüft und dabei den arbeitsmedizinischen Dienstleister hinterfragt, lässt sich heute nicht zuverlässig sagen. Was sich sagen lässt: Die Dokumentationspflicht nach § 30 Abs. 1 S. 3 BSIG besteht jetzt. Besonders wichtige Einrichtungen müssen die Umsetzung ihrer Risikomanagementmaßnahmen innerhalb von drei Jahren gegenüber dem BSI nachweisen – die Dokumentation sollte also jetzt aufgebaut werden, nicht erst wenn der Nachweis fällig wird. Ein Unternehmen, das in einer späteren Prüfung keine nachvollziehbare Lieferkettenbewertung vorlegen kann, hat ein Problem – unabhängig davon, ob der konkrete Anlass ein IT-Dienstleister oder ein arbeitsmedizinischer Dienst war.

Was, wenn der bestehende Dienstleister nicht mitspielt?

In der Praxis ist der Wechsel eines arbeitsmedizinischen Dienstleisters nicht trivial – bestehende Betreuungsverhältnisse, regionale Verfügbarkeit von Betriebsärzten und die Kontinuität der Vorsorgekartei sprechen oft dagegen. Umso wichtiger ist es, die Anforderungen frühzeitig zu kommunizieren und dem Dienstleister die Gelegenheit zu geben, sich darauf einzustellen. Viele arbeitsmedizinische Dienste haben durchaus Maßnahmen umgesetzt, können sie aber nicht strukturiert nachweisen. Ein gemeinsames Gespräch über TOMs, Verschlüsselung und Vorfallprozesse ist oft wirkungsvoller als ein Lieferantenwechsel.

Fazit: Kein Hochrisiko, aber auch kein blinder Fleck

Der arbeitsmedizinische Dienstleister ist kein Hochrisiko-Lieferant wie der Cloud-Provider oder der Managed-Service-Anbieter. Aber er ist auch kein Büromateriallieferant, den man in der Lieferkettenbewertung ignorieren kann.

Er sitzt in einem Bereich, der genau dann zum Problem wird, wenn die Prozesse nicht sauber aufgesetzt sind: regelmäßiger digitaler Datenaustausch mit personenbezogenen Daten einer großen Zahl von Beschäftigten, Gesundheitsdaten in der höchsten Schutzkategorie beim Dienstleister, und häufig unkontrollierte Übertragungswege.

NIS2 hat eine Kettenreaktion ausgelöst, die auch bei Dienstleistern ankommt, die sich bisher nicht mit Informationssicherheit im technischen Sinne beschäftigen mussten. Der arbeitsmedizinische Dienst ist dabei kein Sonderfall, sondern ein Beispiel für die vielen spezialisierten Dienstleister im Mittelstand, die jetzt mit den Sicherheitsanforderungen ihrer Kunden konfrontiert werden.

Für den Betriebsarzt ist das im Übrigen nicht nur eine Kundenanforderung, sondern auch ein Eigeninteresse: Ein Sicherheitsvorfall, bei dem Gesundheitsdaten kompromittiert werden, hat nicht nur datenschutzrechtliche Konsequenzen: Wenn die Kompromittierung auf eine grobe Vernachlässigung der IT-Sicherheit zurückzuführen ist, drohen dem Arzt berufsrechtliche Maßnahmen der Ärztekammer wegen Verletzung der ärztlichen Sorgfaltspflichten im Umgang mit anvertrauten Patientendaten. Die technische Absicherung der IT-Infrastruktur ist damit kein aufgezwungenes Compliance-Thema, sondern Schutz der eigenen Berufsgrundlage.

Wer sich früh damit auseinandersetzt, hat einen Wettbewerbsvorteil. Wer den ersten Sicherheitsfragebogen eines Kunden sauber beantworten kann, positioniert sich als verlässlicher Partner in einer Welt, in der Cybersicherheit zur Geschäftsgrundlage wird.

 

Stand: Dieser Artikel wurde im März 2026 veröffentlicht. Die dargestellte Rechtslage bezieht sich auf das NIS2UmsuCG in der seit 6. Dezember 2025 geltenden Fassung.