Zusammenfassung
Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es sich im Arbeitsverhältnis regelmäßig um Daten handelt, die die Gesundheit eines Menschen betreffen. Das Interesse eines Arbeitgebers an Gesundheitsdaten seiner Mitarbeiter ist häufig berechtigt. Es steht teilweise im Einklang mit dem der Mitarbeiter, ist diesem in einigen Fällen aber auch genau entgegengesetzt.
Seit dem 25.5.2018 regelt die Verordnung 2016/679 (Datenschutz-Grundverordnung) der Europäischen Union das Datenschutzrecht in den Mitgliedsstaaten der Union unmittelbar. Die Datenschutz-Grundverordnung sieht jedoch, unter anderem für die Verarbeitung von Daten im Beschäftigungskontext, Möglichkeiten zur Schaffung nationaler Vorschriften vor, sofern diese mit den in der Datenschutz-Grundverordnung verankerten Prinzipien zum Schutz personenbezogener Daten vereinbar sind. Der deutsche Gesetzgeber hat diese Gestaltungsmöglichkeit mit dem Bundesdatenschutzgesetz genutzt. Regelungen zum Beschäftigtendatenschutz finden sich in § 26 BDSG.
1 Rechtsgrundlagen
Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seiner Privatsphäre entgegen, welche ein Ausdruck seines Persönlichkeitsrechts ist. Um dieser teilweise komplexen Interessenlage gerecht zu werden, gibt es verschiedene Informations- und Geheimhaltungspflichten und -rechte. Nachfolgendend werden gesetzliche Grundzüge des Schutzes von personenbezogenen Daten besonderer Kategorien aufgezeigt. Ein eigenes Gesetz zum Umgang mit Gesundheitsdaten oder zum Umgang mit Arbeitnehmer-Gesundheitsdaten existiert nicht. Allerdings bieten die bestehenden Gesetze zum Umgang mit Gesundheitsdaten und anderen Daten besonderer Kategorien von Arbeitnehmern bereits einen ausreichenden Schutz.
Der Begriff der personenbezogenen Daten besonderer Kategorien bzw. der Gesundheitsdaten wird in Art. 9 DSGVO legaldefiniert. Demnach sind personenbezogene Daten besonderer Kategorien "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person". Als Gesundheitsdaten werden alle personenbezogenen Daten angesehen, die sich unmittelbar auf den Gesundheitszustand einer Person beziehen. Wird in einem Kalender erfasst, dass ein bestimmter Mitarbeiter krankheitsbedingt abwesend ist, so handelt es sich hierbei bereits um eine Information über die Gesundheit.
Vorgaben zum Umgang mit Gesundheitsdaten von Mitarbeitern sind auch anderweitig kodifiziert:
- Ärztliche Schweigepflicht: z. B. Patientengeheimnis gemäß § 9 Musterberufsordnung der Ärztekammern (MBO ÄK) und § 203 StGB; ergänzt durch Datenverarbeitungsregeln im medizinischen Standesrecht.
Der Betriebsrat hat ein Mitbestimmungsrecht, soweit es sich um allgemeinverbindliche Regelungen zur Nutzung von Gesundheitsdaten handelt. So z. B. für Datenerhebungen im Bewerbungsverfahren, bei der Gesundheitsvorsorge, bei der Erkundung von Gesundheitsproblemen im Betrieb oder für das Verfahren des betrieblichen Eingliederungsmanagements (BEM). Das Mitbestimmungsrecht ist aber auf kollektivrechtliche Regelungen begrenzt: Bereits mehrfach haben Arbeitsgerichte in vergangenen Jahren Urteile gegen Personalvertretungen gefällt, die daran scheiterten, dass der Arbeitgeber bei der angegriffenen Maßnahme lediglich Einzelfälle klären und keine allgemeinverbindliche Regelung treffen wollte.
Folgende Aspekte sollten dabei in einer Betriebsvereinbarung im Rahmen des § 87 Abs. 1 Nr. 7 BetrVG berücksichtigt werden:
- Anlass der Datenerhebung bzw. Verarbeitung,
- Beteiligte mit Rechten und Pflichten,
- Art und die Verwendung der Daten,
- Umfang der Übermittlungen (Zweckbindung),
- Datensicherheit und Aufbewahrung (Dauer und Löschung),
- Kontrolle durch Betriebsrat und Datenschutzbeauftragten (zwingend).
- §§ 1, 7, 8 Allgemeines Gleichbehandlungsgesetz (AGG): Das Gesetz zielt darauf ab, eine Benachteiligung aus Gründen der Rasse oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität zu verhindern oder zu beseitigen. So ist es dem Arbeitgeber untersagt, einen Beschäftigten aufgrund seine...