Datenschutzkonforme Verarbeitung von Krankheitsdaten der Mitarbeitenden
Krankenrückkehr-Gespräche sind nicht nur möglich, sondern im Rahmen des Betrieblichen Eingliederungsmanagements teilweise sogar gesetzlich gefordert. Ziel ist es hierbei, Ursachen von Fehlzeiten zu erkennen und die Arbeitssituation für die Beschäftigten zu verbessern. Im Idealfall profitieren von diesem Instrument beide: Arbeitnehmer und Arbeitgeber. Ziel ist es, mit gesunden, motivierten und gut qualifizierten Beschäftigten überdurchschnittliche Arbeitsergebnisse zu erzielen. Soweit der Idealzustand. Das BEM hält einige datenschutzrechtliche Fallstricke für Arbeitgeber bereit, die zweifelsohne herausfordernd, aber in jedem Fall zu meistern sind.
Was bei einem BEM verlangt wird und wie die Regeln des Datenschutzes erfolgreich umgesetzt werden können, sind die Fragen, die beantwortet werden sollen.
Datenschutz-Grundsätze beim Betrieblichen Eingliederungsmanagement (BEM)
Ein BEM gemäß § 167 Abs. 2 SGB IX kann nur mit Einwilligung des Beschäftigten durchgeführt werden. Gegen seinen Willen funktioniert ein BEM nicht. Mit der Verarbeitung seiner Gesundheitsdaten muss der Arbeitnehmer einverstanden sein. Dabei ist darauf zu achten, dass mögliche Einwilligungserklärungen nicht zu weit gehen und freiwillig erfolgen. Sensible Gesundheitsdaten müssen in keinem Fall Dritten im Betrieb offengelegt werden.
Ein Fallbeispiel
Eine beschäftigte Arbeitnehmerin fehlte häufig wegen Kurzerkrankungen. Der Arbeitgeber startete mit einem Einladungsschreiben ein BEM. Dem Brief war eine „Datenschutzerklärung“ beigefügt, mit der die Mitarbeiterin aufgefordert wurde, in die Nutzung ihrer Gesundheitsdaten im Zusammenhang mit dem BEM einzuwilligen. Die datenschutzrechtliche Einwilligung des Beschäftigten ist in Art 9 Abs. 2a DSGVO verankert.
Es wäre alles rechtmäßig verlaufen, wenn der Arbeitgeber in der Einwilligungserklärung nicht über das Ziel hinausgeschossen wäre. Er forderte nämlich nicht nur das Einverständnis für die „Erhebung“ und „Nutzung“ ihrer Gesundheitsdaten im Rahmen des BEM, sondern auch noch das Einverständnis für die „Bekanntmachung“ gegenüber ihrem Vorgesetzten und der Standortleitung. Die Arbeitnehmerin reagierte nicht auf die BEM-Einladung.
Stattdessen reagierte der Arbeitgeber: Er kündigte die Mitarbeiterin. Diese reichte eine Kündigungsschutzklage ein, die in zwei arbeitsgerichtlichen Instanzen bestätigt wurde. „Die Kündigung ist nicht sozial begründet“ heißt es im Urteilsspruch.
Die Unverhältnismäßigkeit der Kündigung hatte sich der Arbeitgeber mit einer unausgegorenen datenschutzrechtlichen Einwilligungserklärung selber zuzuschreiben. Sie war zu weit gefasst und wurde vom Landesarbeitsgericht verworfen. Es bestehen, laut den Arbeitsrichtern, die berechtigten Interessen des Beschäftigten gegen eine umfassende Informationssammlung, um es dann auf den Punkt zu formulieren: „Die Beachtung des Datenschutzes ist in § 167 Abs. 2 SGB IX zwar verklausuliert, aber dennoch ausdrücklich vorgeschrieben.“
Gerade die Einwilligung zur angestrebten „Bekanntmachung“ der Gesundheitsdaten sei nicht von der Arbeitnehmerin hinzunehmen.
Anforderungen an eine rechtskonforme Einwilligung
Es kommt auf die Gestaltung der Einwilligungserklärung an. Eine wirksame Einwilligung nach DSGVO muss freiwillig, informiert und nachweisbar sein. Eine Einwilligung ist dann freiwillig, wenn sie ohne Zwang erteilt wurde. Hierbei muss man zum Teil auch auf ein etwaiges Abhängigkeitsverhältnis des Betroffenen gegenüber dem Unternehmen abstellen (zum Beispiel: Marktmonopol gegenüber Verbrauchern oder das Fragerecht beim Bewerbungsgespräch).
Eine Einwilligung ist dann informiert, wenn die geplante Datenverarbeitung (welche Daten zu welchen Zwecken) ausführlich und in einer klaren und einfachen Sprache dargestellt wird [Transparenz und Verständlichkeit].
Zur Nachweisbarkeit sollte die Einwilligung idealerweise schriftlich eingeholt werden. Denkbar sind auch elektronische Einwilligungen, wenn nachgewiesen werden kann, dass der Betroffene tatsächlich eingewilligt hat (beispielsweise durch Double-Opt-In bei der Newsletter-Bestellung).
Hinzu kommt, dass sie spezifisch und durch eine unmissverständliche, aktive Handlung (keine vorausgefüllten Kästchen) erteilt werden.Dann können solche arbeitsrechtlichen Streitfälle zwar nicht verhindert werden, aber sie nehmen einen anderen Ausgang.
