Kristin Bost, Sarah Staut
Im vorangegangenen Kapitel wurde bereits dargestellt, dass die Erhebung und Erfassung gesundheitsbezogener Mitarbeiterdaten zu den Grundlagen eines BGM gehören. Nur mithilfe dieser Informationen kann ein Unternehmen seiner Pflicht zur Erhaltung und Förderung der Gesundheit und Sicherheit der Mitarbeiter am Arbeitsplatz gerecht werden. Bei der Erfassung, Verarbeitung und Speicherung solcher Angaben im Rahmen eines BGM haben Unternehmen vor allem datenschutzrechtliche Bestimmungen zu beachten.
So handelt es sich laut Art. 9 Abs. 1 DSGVO sowie § 46 Nr. 14 BDSG bei Gesundheitsdaten von Mitarbeitern um besondere Kategorien personenbezogener Daten. Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt (Art. 9 DSGVO). Jedoch ist die Verarbeitung besonderer Kategorien personenbezogener Daten laut Art. 9 Abs. 2 DSGVO sowie § 22 Abs. 1 Nr. 1b BDSG beispielsweise zur Beurteilung der Arbeitsfähigkeit der Beschäftigten oder zum Zweck der Gesundheitsvorsorge zulässig.
Werden jedoch im Rahmen des BGM Gesundheitsdaten erhoben, die nicht zur Beurteilung der Arbeitsfähigkeit dienen, sondern sich darüber hinaus beispielsweise auf die Beurteilung von Bewegungs-/Ernährungsmaßnahmen der Mitarbeiter oder weiterer Themen beziehen, bei der eine Verarbeitung von Gesundheitsdaten unabdingbar ist, so ist eine Einwilligung zur Verarbeitung dieser Daten notwendig!
Die Beachtung des Datenschutzes im Rahmen eines BGM erfordert Sensibilität und Absicherung, da es zum Teil schwierig ist, die Balance zwischen den Anforderungen der einzelnen Gesetze zu halten. So müssen einerseits die Vorgaben der Datenschutzgesetze beachtet sowie gleichzeitig die gesetzlichen Anforderungen des Gesundheits- und Arbeitsschutzes eingehalten werden. Die Schwierigkeit, die sich dadurch in der Praxis ergibt, wird nachfolgend aufgezeigt.
Fürsorgepflicht des Arbeitgebers
In Deutschland müssen aufgrund der Gesetze zum Arbeitsschutz (ArbSchG, ASiG) und zur Unfallversicherung (SGB VII) alle erforderlichen Maßnahmen ergriffen werden, damit die Gesundheit und Sicherheit der Mitarbeiter nicht durch die Tätigkeit beeinträchtigt wird. Dies verpflichtet Unternehmen u. a. dazu, die Arbeitsbedingungen regelmäßig zu überprüfen sowie, bei entsprechendem Handlungsbedarf, geeignete Gegenmaßnahmen zu ergreifen.
Um dieser Fürsorgepflicht gerecht zu werden, muss ein Unternehmen die Belastungen am Arbeitsplatz bewerten und deren Auswirkungen auf die Gesundheit und Sicherheit der Mitarbeiter überprüfen. Dafür ist es notwendig, die vorherrschenden Arbeitsbedingungen zu beurteilen sowie gesundheitsbezogene Mitarbeiterdaten wie Fehlzeiten, Unfälle und weitere weiche Faktoren zu erheben. Und genau hier steckt das Dilemma zwischen den Anforderungen des Arbeitsschutzes und den Vorgaben der Datenschutzgesetze.
So ergeben sich durch die Analyse und Beurteilung der Arbeitsbedingungen oftmals vielfältige Rückschlüsse auf mögliche Erkrankungen der Beschäftigten. Diese Erkrankungen zu kennen, ist für das Unternehmen in vielen Fällen wichtig. Denn nur so kann ein Arbeitgeber gemäß § 3 ArbSchG dafür sorgen, dass keine Einflüsse durch den Arbeitsplatz und die berufliche Tätigkeit die Sicherheit und Gesundheit der Beschäftigten beeinträchtigen.
Allerdings ist das direkte Hinterfragen von Beschwerden und Erkrankungen durch den Arbeitgeber aus datenschutzrechtlicher Sicht nicht erlaubt. Ausschließlich der Betriebsarzt oder sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen (Art. 9 Abs. 3 DSGVO), sind dazu berechtigt.
Ein praktisches Beispiel für die Schwierigkeit des korrekten Umgangs mit Gesundheitsdaten von Beschäftigten im Rahmen eines BGM ist die Durchführung von (Kranken-)Rückkehrgesprächen nach einer krankheitsbedingten Arbeitsunfähigkeit. Vorgesetzte erkundigen sich dabei häufig nach den Krankheitsgründen. Die erfassten Daten werden oftmals schriftlich festgehalten, an die Personalabteilung weitergeleitet und schließlich in der Personalakte gespeichert.
Den meisten Führungskräften ist dabei allerdings nicht bewusst, dass nach dem Grund der Erkrankung nur in wenigen Ausnahmefällen gefragt werden darf. Das ist z. B. der Fall, wenn
- der Arbeitgeber den Grund wirklich kennen muss, um zu beurteilen, ob von dem Mitarbeiter eine Ansteckungsgefahr ausgeht,
- es gilt, Gefahren zu beseitigen, die zu Erkrankungen von Mitarbeitern geführt haben.
Auch um festzustellen, ob ein Arbeitnehmer noch den Anforderungen seines Arbeitsplatzes gewachsen ist bzw. um ihm einen sog. leidensgerechten Arbeitsplatz zuweisen oder um ihm gesundheitliche Wiedereingliederungsmaßnahmen anbieten zu können, müsste der Arbeitnehmer den Grund für die Erkrankung kennen.
Solche Gründe liegen bei der Durchführung von Krankenrückkehrgesprächen jedoch nur selten vor. Folglich ist die Datenerhebung, d. h. die Erfragung der Gründe für eine Krankschreibung, im Rahmen solcher Rückkehrgespräche aus datenschutzrechtlicher Sicht nicht erlaubt und damit rechtswidrig.