Kristin Bost, Sarah Staut
Es ist einleuchtend, dass ein Beschäftigungsverhältnis ohne die Angabe personenbezogener Daten der Mitarbeiter nicht möglich ist. Ohne eine Reihe personenbezogener Angaben wie Name, Anschrift, Bankverbindung etc., kann bereits eine Lohnabrechnung oder eine Meldung an die Sozialversicherungen nicht erfolgen. Der Arbeitgeber ist schlichtweg gezwungen, personenbezogene Daten von Beschäftigten zu erheben, wobei sich hier die Frage stellt, welche Daten er für welchen Zweck verarbeiten kann und vor allem auch darf.
Eine hohe Bedeutung kommt in Unternehmen vor allem der Verarbeitung von besonderen Kategorien personenbezogener Daten zu. Gemäß § 46 Nr. 14 BDSG zählen dazu Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische sowie biometrische Daten, das Sexualleben oder auch die Gesundheit.
Da mit Bekanntwerden und Missbrauch solch sensibler Daten hohe Risiken für das informationelle Selbstbestimmungsrecht der Betroffenen verbunden sind, sind für deren Verarbeitung schließlich strengere Vorgaben bis hin zur Datenvermeidung zu beachten. Speziell die Verarbeitung von Gesundheitsdaten ist darüber hinaus laut Art. 9 Abs. 2 Buchstabe h DSGVO nur zulässig, wenn sie
- zum Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
- für die Beurteilung der Arbeitsfähigkeit des Beschäftigten,
- für die medizinische Diagnostik,
- die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder
- für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder
- aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs
erforderlich ist. Diese genannten personenbezogenen Daten dürfen verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden. Dieses Fachpersonal muss nach dem Unionsrecht oder dem Recht eines Mitgliedstaates oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegen. Die Verarbeitung darf ebenfalls erfolgen, wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaates oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt (Art. 9 Abs. 3 DSGVO); hierzu zählt u. a. der Betriebsarzt.
Arbeitnehmerdatenschutz
Die Ausführungen machen deutlich, dass der Datenschutz am Arbeitsplatz und insbesondere der Umgang mit Gesundheitsdaten von Beschäftigten ein heikles Thema darstellt. Doch trotz seiner enormen praktischen Bedeutung war der Arbeitnehmerdatenschutz in Deutschland lange Zeit gesetzlich nicht explizit geregelt. Erst seit dem Jahr 2009 findet sich mit § 32 BDSG (alt) erstmals eine ausdrückliche Vorgabe bezüglich des Umgangs mit Beschäftigtendaten, die heute unter § 26 BDSG aufgeführt sind. Demnach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies
- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
- nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten
erforderlich ist.