Datenschutz beim BEM

Das betriebliche Eingliederungsmanagement (BEM) hat einerseits das Ziel der Wiedereingliederung des/der Betroffenen, dient andererseits aber auch der Gesundheitsprävention mit dem Zweck, das Arbeitsverhältnis dauerhaft zu sichern. Um ein erfolgreiches BEM-Verfahren zu gewährleisten, müssen einige Wahrheiten – zumeist Daten – auf den Tisch. Das ist für Beschäftigte problematisch, da sie nie wissen, wie mit diesen sehr sensiblen Gesundheitsdaten in der Praxis umgegangen wird.

Welche Anforderungen stellen die Datenschutz-Grundverordnung und das neue Datenschutzgesetz bei der Verarbeitung dieser Daten an den Arbeitgeber?

Stefan Brink:

Die Datenschutz-Grundverordnung (DSGVO) hat es verpasst, den Beschäftigtendatenschutz abschließend zu regeln. Das ist angesichts eines fehlenden eigenständigen Beschäftigtendatenschutzgesetzes in einem der wohl erfahrensten Mitgliedsstaaten der Europäischen Union in Sachen Datenschutz, nämlich Deutschland, nicht unbedingt verwunderlich. Selbst der deutsche Gesetzgeber konnte sich bisher nicht dazu durchringen, ein eigenständiges Beschäftigtendatenschutzgesetz zu verabschieden. Dabei hätte er beim Erlass des neuen Bundesdatenschutzgesetzes (BDSG) erneut die Chance dazu gehabt und die Öffnungsklausel aus Art. 88 Abs. 1 der DSGVO hierfür nutzen können. Stattdessen hat er sich weiterhin für eine Minimallösung entschieden und die bislang bestehende Regelung zum Beschäftigtendatenschutz, § 32 BDSG alter Fassung, mit wenigen – nicht gerade innovativen – Zusätzen in den neuen § 26 BDSG überführt. Hiernach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn die Verarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Gerade im BEM-Verfahren werden sehr sensible personenbezogene Daten – hauptsächlich Gesundheitsdaten, also besonders geschützte Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO – verarbeitet. Nimmt ein Arbeitnehmer das Angebot seines Arbeitgebers, ein BEM durchzuführen, an, erteilt er damit seine Einwilligung in die im BEM-Verfahren durchgeführte Verarbeitung seiner personenbezogenen Daten. Zwar begegnet die im Beschäftigungsverhältnis abgegebene Einwilligung in der Regel Bedenken hinsichtlich der Freiwilligkeit der Einwilligung. Bei der Durchführung eines BEM kann aber davon ausgegangen werden, dass Beschäftigter und Arbeitgeber in der Regel die gleichen Interessen verfolgen, nämlich das Ziel der Wiedereingliederung des Betroffenen und die dauerhafte Sicherung des Arbeitsverhältnisses. Also ist die Einwilligung grundsätzlich wirksam.

Wie kann das BEM-Verfahren erfolgreich und im Rahmen des Datenschutzes gestaltet werden?

Stefan Brink:

Entscheidende Grundlage einer wirksamen Einwilligung ist die Kenntnis der Sachlage des Betroffenen über das Verfahren, wodurch gleichzeitig auch die Erfolgsaussichten eines jeden BEM-Verfahrens ursächlich mitbestimmt werden. Im BEM-Verfahren vertrauen die Betroffenen in besonderem Maße darauf, dass die von ihnen offenbarten Informationen streng vertraulich behandelt werden. Dieses Vertrauen kann jedoch nur aufgebaut werden und Bestand haben, wenn das Offenbarte einer strengen – nicht nachträglich erweiterbaren – Zweckbindung unterliegt, wenn klar geregelt ist, wo und wie lange die Daten aufbewahrt werden und wer auf sie zugreifen darf. Diese und noch weitere zu treffende technische und organisatorische Maßnahmen führen zur Sicherheit der Verarbeitung (vgl. Art. 32 DSGVO). Der für das BEM-Verfahren angelegte Aktenvorgang ist strikt von den übrigen Personalaktenvorgängen zu trennen. Zugriff auf die BEM-Akte dürfen nur die am Verfahren Beteiligten haben.

Wie können Betriebsräte sicherstellen, dass die Gesundheitsdaten auch datenschutzkonform verarbeitet werden?

Stefan Brink:

Bei all diesen Fragen hat der Betriebsrat zum Glück ein Wörtchen mitzureden. Nicht selten sitzt ein Betriebsratsmitglied als Teil des BEM-Teams mit am Tisch. Hier sollte die Rolle des Beschützers eingenommen und die Einhaltung der Verfahrensspielregeln kontrolliert werden. Aber bereits im Vorfeld eines BEM-Verfahrens kommt dem Betriebsrat eine wesentliche Rolle zu: Als starker Verhandlungspartner beim Abschluss einer Betriebsvereinbarung zur Durchführung eines BEM-Verfahrens sollte der Betriebsrat auf die Wahrung des Grundrechts auf informationelle Selbstbestimmung der Beschäftigten pochen und geplanten unzulässigen Zweckfestsetzungen des Arbeitgebers klar entgegentreten. Sinnvolle Inhalte solcher Betriebsvereinbarungen können folgende Punkte sein:

• Art und Umfang der Daten, die erhoben werden
• Zweck der Datenerhebung
• Einwilligung der Betroffenen zur Erhebung von Daten im Rahmen des BEM
• Schweigepflicht aller Beteiligten
• Zugangsrechte zu den sensiblen Daten
• Aufbewahrungsdauer
• Aufbewahrungsort (Trennung von BEM-Akte und Personalakte)

Solche Regelungen sind notwendig, um die Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, zu gewährleisten (vgl. Art. 88 Abs. 2 DSGVO). Werden diese Aspekte eingehalten, sichert die Betriebsvereinbarung die Voraussetzungen einer wirksamen Einwilligung des Betroffenen als Rechtsgrundlage der Datenverarbeitung im konkreten BEM.