Kristin Bost, Sarah Staut
Zusammenfassung
Der Umgang mit gesundheitsbezogenen Mitarbeiterdaten gehört zu den Grundlagen jedes betrieblichen Gesundheitsmanagements (BGM). Nur mithilfe dieser Informationen kann ein Unternehmen seiner Pflicht zur Erhaltung und Förderung der Gesundheit der Mitarbeiter am Arbeitsplatz gerecht werden. Dabei sind es jedoch gerade die Beschäftigten, die häufig Angst haben, sensible Gesundheits- oder vielmehr Krankheitsdaten preiszugeben – aus Ungewissheit, was mit den Daten passiert, wozu diese erhoben werden und welche Konsequenzen sich daraus ergeben. Da es sich bei Gesundheitsdaten von Mitarbeitern laut dem Bundesdatenschutzgesetz (BDSG) um "besondere Kategorien personenbezogener Daten" handelt, haben Unternehmen bei der Erfassung, Speicherung und Verwendung solcher Angaben vor allem datenschutzrechtliche Bestimmungen zu beachten. Der Beitrag zeigt, welche Rolle der Datenschutz im Rahmen eines BGM spielt und worauf Unternehmen und Mitarbeiter achten müssen.
1 Datenschutz in Deutschland
1.1 Relevanz Datenschutz in Deutschland
Das Thema Datenschutz ist heutzutage, in einer Welt der digitalen Vernetzung und vielfältiger Informationskanäle, brisanter denn je. Auch in Deutschland prägen Datenschutzskandale in den letzten Jahren immer häufiger die Nachrichten. Fast wöchentlich tauchen neue Schlagzeilen über vermeintliche Datenmissbräuche auf – nicht zuletzt standen bereits renommierte Unternehmen wie Google, Facebook & Co. öffentlich in der Kritik von Datenschützern. Die zahlreichen Vorfälle von Unternehmen, in denen nicht adäquat mit den Daten der Mitarbeiter umgegangen wurde, machen deutlich, dass in diesem Bereich dringender Aufklärungs- und Handlungsbedarf besteht.
Bereits 1977 wurde der Schutz persönlicher Daten erstmals im Bundesdatenschutzgesetz verankert. Im Jahr 1983 bekräftigte das Bundesverfassungsgericht, auf der Entscheidungsgrundlage eines Volkszählungsurteils, das sog. Recht auf informationelle Selbstbestimmung. Dieses besagt, dass jeder Bürger das Recht besitzt, selbst darüber zu entscheiden, wer welche Daten von ihm zu welchem Zweck erheben und verarbeiten darf. Gesetzliche Vorschriften, welche den Umgang mit personenbezogenen Daten klar regeln, sind also bereits seit Jahrzehnten vorhanden.
Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO), die die Datenschutzrichtlinie 95/46/EG von 1995 ablöst, geht zwar mehr Transparenz und Kontrolle für Mitarbeiter einher, allerdings ist es auch für viele europäische und nicht-europäische Unternehmen eine Herausforderung, sich mit der DSGVO auseinanderzusetzen und diese umzusetzen.
Häufig liegt ein Missbrauch bzw. Verstoß des Datenschutzes weniger an einer bösen Absicht oder gar einer kriminellen Energie, sondern vielmehr an mangelhaftem Wissen der Personen. Den meisten Unternehmen sowie auch Privatpersonen ist schlichtweg nicht bewusst, dass es gesetzliche Datenschutzbestimmungen gibt bzw. was deren Inhalte sind. Auch die schwierige Verständlichkeit der Gesetzestexte, aufgrund ihrer abstrakten Regelungen, stellt ein großes Problem der Datenschutzgesetze dar. Doch gerade diese Unkenntnis kann für die jeweiligen Betroffenen fatale Folgen haben. Eine der grundlegenden Aufgaben des Datenschutzes ist es deshalb, das erforderliche Problem-, Unrechts- und Verantwortungsbewusstsein zu entwickeln und insbesondere den Zugriff auf Daten für Unberechtigte zu verhindern. Folglich muss genau hier angesetzt und eine aufklärende Orientierungshilfe gegeben werden.
1.2 Die gesetzlichen Datenschutzbestimmungen
Deutschland gehörte bis zur Einführung der DSGVO mit seinen zahlreichen Datenschutzgesetzen zu den Ländern mit den strengsten Datenschutzregeln weltweit. Um das Recht auf informationelle Selbstbestimmung eines jeden Bürgers zu schützen und schließlich umzusetzen, wurde in Deutschland eine Vielzahl von Gesetzen erlassen, die für die verschiedensten Bereiche gelten und parallel nebeneinander existieren. Über all diesen Gesetzen und Regelungen stehen die seit Mai 2018 verbindlich einzuhaltende DSGVO sowie das neue Bundesdatenschutzgesetz (BDSG). Das BDSG enthält Spezifizierungen der DSGVO und füllt die Öffnungsklauseln der DSGVO mit Leben. Es gilt für sämtliche öffentliche als auch nicht-öffentliche Stellen. Die DSGVO sowie das Bundesdatenschutzgesetz geben folglich die Norm vor, der alle weiteren Gesetze im Bereich des Datenschutzes folgen. Die Inhalte und Vorgaben zum Umgang mit personenbezogenen Daten durch das BDSG sowie durch die DSGVO werden im Folgenden zusammengefasst und in vereinfachter Form dargestellt.
Das seit Mai 2018 geltende BDSG legt im Vergleich zum alten BDSG vor allem ein besonderes Augenmerk auf das Thema Einwilligung, da diese eine zentrale Grundlage für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Verarbeitung. Demnach ist die Verarbeitung personenbezogener Daten u. a. rechtmäßig, wenn eine Einwilligung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten vorhanden ist oder wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erfor...