Möchte das Unternehmen tatsächlich Gesundheitsdaten seiner Mitarbeiter verwenden, muss eine rechtliche Grundlage dafür vorhanden sein. Da hier die Erfassung der Gesundheitsdaten nicht als "erforderlich" i. S. d. § 26 BDSG anzusehen sein wird, scheidet eine gesetzliche Rechtsgrundlage für die Verarbeitung aus. Eine Verarbeitung ist nur mit wirksamer Einwilligung der Beschäftigten möglich.
Eine Einwilligung setzt voraus, dass der Mitarbeiter sie unter Zusicherung echter Freiwilligkeit gegeben hat. Dem Beschäftigten muss deutlich gemacht werden, dass die Verweigerung der Datenübermittlung keinerlei rechtliche Konsequenzen haben würde. Unabhängig davon müsste er genau über Datenumfang und Zweck der Datenverarbeitung aufgeklärt werden. Die Einschaltung Dritter als Subunternehmer in diesem Umfeld ist nicht möglich.
Um in diesem sehr engen und rechtlich schwierigen Umfeld Möglichkeiten der Nutzung der Daten aus Wearables zu schaffen, müssten diese wohl auf dem Umweg über einen (Betriebs-)Arzt zum Arbeitgeber gelangen: In den Fällen, wo das Gesetz für bestimmte Berufe einen regelmäßigen Gesundheitscheck vorsieht, könnten die über Wearables gewonnenen Gesundheitsdaten beim Betriebsarzt erfasst und von diesem ausgewertet werden. Das Ergebnis über eine Eignung oder Einschränkung kann dann von diesem an den Arbeitgeber weitergegeben werden.
Eine andere Möglichkeit, die Daten zu nutzen, wäre eine eingeschränkte Übermittlung der Daten vom Gerät an den Arbeitgeber zum Zwecke einer Provisionierung: Wenn der Arbeitgeber fitnessbewusste Mitarbeiter belohnen möchte, könnte die Information, dass diese täglich eine bestimmte Schrittzahl schaffen, an den Arbeitgeber übermittelt werden. Für diese Einwilligung wäre das oben Gesagte zu beachten. Außerdem sollte die Datenübermittlung so sparsam wie möglich ausgestaltet sein: Hier könnte es ausreichen, wenn der Arbeitgeber z. B. nur die Information erhält, dass ein Beschäftigter die Schrittzahlen geschafft hat, aber nicht, wie viele Schritte er tatsächlich gemacht hat.
Nutzung von Gesundheitsdaten nur in Ausnahmefällen und nach Klärung durch Datenschutzbeauftragten
Die Nutzung von Gesundheitsdaten ist im Unternehmen auf wenige Möglichkeiten beschränkt und muss zuvor immer durch den Datenschutzbeauftragten im Rahmen einer Vorabkontrolle freigegeben werden. Nur dadurch kann eine datenschutzkonforme Verarbeitung sichergestellt werden. Der DSB sollte dabei bereits in der Planungsphase solcher Vorhaben involviert werden. So können etwaige Bedenken frühzeitig geklärt und das Vorhaben unter Umständen schneller umgesetzt werden. Wird der DSB nicht rechtzeitig einbezogen, besteht die Gefahr, dass ein Projekt im Anschluss aufgrund einer datenschutzrechtlichen Unzulässigkeit nicht freigegeben werden kann.