BEM

Datenschutz beim BEM

Dollarphotoclub_103820493
Quelle: dessauer_Dollarphotoclub

Welche Anforderungen beim betrieblichen Eingliederungsmanagement jetzt nach den neuen Datenschutzregeln zu beachten sind, ist vielen Arbeitgebern, Betriebsräten und Beschäftigten noch nicht ganz klar. Die »Arbeitsrecht im Betrieb« befragte dazu den Landesbeauftragten für Datenschutz und Informationsfreiheit BW, Dr. Stefan Brink.

Das betriebliche Eingliederungsmanagement (BEM) hat einerseits das Ziel der Wiedereingliederung des/der Betroffenen, dient andererseits aber auch der Gesundheitsprävention mit dem Zweck, das Arbeitsverhältnis dauerhaft zu sichern. Um ein erfolgreiches BEM-Verfahren zu gewährleisten, müssen einige Wahrheiten – zumeist Daten – auf den Tisch. Das ist für Beschäftigte problematisch, da sie nie wissen, wie mit diesen sehr sensiblen Gesundheitsdaten in der Praxis umgegangen wird.

Welche Anforderungen stellen die Datenschutz-Grundverordnung und das neue Datenschutzgesetz bei der Verarbeitung dieser Daten an den Arbeitgeber?

Stefan Brink:

Die Datenschutz-Grundverordnung (DSGVO) hat es verpasst, den Beschäftigtendatenschutz abschließend zu regeln. Das ist angesichts eines fehlenden eigenständigen Beschäftigtendatenschutzgesetzes in einem der wohl erfahrensten Mitgliedsstaaten der Europäischen Union in Sachen Datenschutz, nämlich Deutschland, nicht unbedingt verwunderlich. Selbst der deutsche Gesetzgeber konnte sich bisher nicht dazu durchringen, ein eigenständiges Beschäftigtendatenschutzgesetz zu verabschieden. Dabei hätte er beim Erlass des neuen Bundesdatenschutzgesetzes (BDSG) erneut die Chance dazu gehabt und die Öffnungsklausel aus Art. 88 Abs. 1 der DSGVO hierfür nutzen können. Stattdessen hat er sich weiterhin für eine Minimallösung entschieden und die bislang bestehende Regelung zum Beschäftigtendatenschutz, § 32 BDSG alter Fassung, mit wenigen – nicht gerade innovativen – Zusätzen in den neuen § 26 BDSG überführt. Hiernach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn die Verarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Gerade im BEM-Verfahren werden sehr sensible personenbezogene Daten – hauptsächlich Gesundheitsdaten, also besonders geschützte Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO – verarbeitet. Nimmt ein Arbeitnehmer das Angebot seines Arbeitgebers, ein BEM durchzuführen, an, erteilt er damit seine Einwilligung in die im BEM-Verfahren durchgeführte Verarbeitung seiner personenbezogenen Daten. Zwar begegnet die im Beschäftigungsverhältnis abgegebene Einwilligung in der Regel Bedenken hinsichtlich der Freiwilligkeit der Einwilligung. Bei der Durchführung eines BEM kann aber davon ausgegangen werden, dass Beschäftigter und Arbeitgeber in der Regel die gleichen Interessen verfolgen, nämlich das Ziel der Wiedereingliederung des Betroffenen und die dauerhafte Sicherung des Arbeitsverhältnisses. Also ist die Einwilligung grundsätzlich wirksam.

Wie kann das BEM-Verfahren erfolgreich und im Rahmen des Datenschutzes gestaltet werden?

Stefan Brink:

Entscheidende Grundlage einer wirksamen Einwilligung ist die Kenntnis der Sachlage des Betroffenen über das Verfahren, wodurch gleichzeitig auch die Erfolgsaussichten eines jeden BEM-Verfahrens ursächlich mitbestimmt werden. Im BEM-Verfahren vertrauen die Betroffenen in besonderem Maße darauf, dass die von ihnen offenbarten Informationen streng vertraulich behandelt werden. Dieses Vertrauen kann jedoch nur aufgebaut werden und Bestand haben, wenn das Offenbarte einer strengen – nicht nachträglich erweiterbaren – Zweckbindung unterliegt, wenn klar geregelt ist, wo und wie lange die Daten aufbewahrt werden und wer auf sie zugreifen darf. Diese und noch weitere zu treffende technische und organisatorische Maßnahmen führen zur Sicherheit der Verarbeitung (vgl. Art. 32 DSGVO). Der für das BEM-Verfahren angelegte Aktenvorgang ist strikt von den übrigen Personalaktenvorgängen zu trennen. Zugriff auf die BEM-Akte dürfen nur die am Verfahren Beteiligten haben.

Wie können Betriebsräte sicherstellen, dass die Gesundheitsdaten auch datenschutzkonform verarbeitet werden?

Stefan Brink:

Bei all diesen Fragen hat der Betriebsrat zum Glück ein Wörtchen mitzureden. Nicht selten sitzt ein Betriebsratsmitglied als Teil des BEM-Teams mit am Tisch. Hier sollte die Rolle des Beschützers eingenommen und die Einhaltung der Verfahrensspielregeln kontrolliert werden. Aber bereits im Vorfeld eines BEM-Verfahrens kommt dem Betriebsrat eine wesentliche Rolle zu: Als starker Verhandlungspartner beim Abschluss einer Betriebsvereinbarung zur Durchführung eines BEM-Verfahrens sollte der Betriebsrat auf die Wahrung des Grundrechts auf informationelle Selbstbestimmung der Beschäftigten pochen und geplanten unzulässigen Zweckfestsetzungen des Arbeitgebers klar entgegentreten. Sinnvolle Inhalte solcher Betriebsvereinbarungen können folgende Punkte sein:

  • Art und Umfang der Daten, die erhoben werden
  • Zweck der Datenerhebung
  • Einwilligung der Betroffenen zur Erhebung von Daten im Rahmen des BEM
  • Schweigepflicht aller Beteiligten
  • Zugangsrechte zu den sensiblen Daten
  • Aufbewahrungsdauer
  • Aufbewahrungsort (Trennung von BEM-Akte und Personalakte)

Solche Regelungen sind notwendig, um die Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, zu gewährleisten (vgl. Art. 88 Abs. 2 DSGVO). Werden diese Aspekte eingehalten, sichert die Betriebsvereinbarung die Voraussetzungen einer wirksamen Einwilligung des Betroffenen als Rechtsgrundlage der Datenverarbeitung im konkreten BEM.

Was passiert, wenn der Arbeitgeber sich nicht daran hält – die Daten etwa zur Vorbereitung einer krankheitsbedingten Kündigung nutzt?

Stefan Brink:

Machen sich die Betriebsparteien die Mühe und schließen eine Betriebsvereinbarung zur Ausgestaltung eines BEM-Verfahrens ab, sollten darin auch mögliche Verwertungsverbote geregelt werden – auch wenn sich die meisten Arbeitgeber hiermit schwertun. Auf der einen Seite verständlich, da die im BEM-Verfahren gesammelten sensiblen Informationen nicht selten eine krankheitsbedingte Kündigung rechtfertigen könnten. Auf der anderen Seite wäre das aber ein ganz klarer Verstoß gegen den Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DSGVO und ein absoluter Vertrauensbruch gegenüber dem Betroffen. Auch potentiell weitere Betroffenen hätten bei einem solchen Vorgehen sicherlich kein ernsthaftes Interesse mehr an der Durchführung eines BEM-Verfahrens. In jedem Fall winkt einem Arbeitgeber bei einem solchen Verstoß ein abschreckendes Bußgeld durch die Datenschutzaufsichtsbehörde.

Mehr zum Thema BEM lesen Sie im Titelthema der »Arbeitsrecht im Betrieb« 3/2019.

Jetzt 2 Ausgaben gratis testen und sofort online auf alle Ausgaben zugreifen.

Der Interviewpartner:

Dr. Stefan Brink,

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg

 

 

 

 

 

 

 

 

Quelle:

»Arbeitsrecht im Betrieb« 3/2019. S. 22, 23

© bund-verlag.de (EMS)

AiB-Banner Viertel (768px) - Anzeige -
Werner Feldes, u.a.
Strategien und Empfehlungen für Interessenvertretungen
lieferbar 39,90 €
Mehr Infos
Edeltrud Habib
Praxisleitfaden und Beispielsfälle zum betrieblichen Eingliederungsmanagement
lieferbar 19,90 €
Mehr Infos

Das könnte Sie auch interessieren

breakfast Frühstück Orangensaft Ernährung Essen
Lohnsteuer - Rechtsprechung

Frühstück vor Gericht

Tablet_52738413
Softwareergonomie - Aus den Fachzeitschriften

Ein Baustein gesunder Arbeitsbedingungen