Unter den Voraussetzungen von Art. 9 Abs. 1 DSGVO i. V. m. § 26 Abs. 3 BDSG ist die Erhebung und Verarbeitung von Gesundheitsdaten des Arbeitnehmers möglich. Sie ist hiernach insbesondere dann zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Dies gilt auch für die Einwilligung in die Verarbeitung von Gesundheitsdaten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen.
Der Arbeitgeber ist verpflichtet, die Daten in besonderer Weise aufzubewahren. Dies folgt bereits aus der Gewährleistung des allgemeinen Persönlichkeitsrechts (Art. 1 und Art. 2 GG, § 75 Abs. 2 BetrVG), ist aber auch in § 22 Abs. 2 BDSG normiert.
Hiernach müssen eingeführt werden:
- technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung DSGVO erfolgt,
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- Benennung einer oder eines Datenschutzbeauftragten,
- Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
- Pseudonymisierung personenbezogener Daten,
- Verschlüsselung personenbezogener Daten,
- Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
- spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der DSGVO sicherstellen.
Die zur Personalakte genommenen Gesundheitsdaten sind daher vor unbefugter zufälliger Kenntnisnahme durch Einschränkung des Kreises der Informationsberechtigten zu schützen.
Verstößt der Arbeitgeber gegen diese Grundsätze, hat der Arbeitnehmer nach den §§ 12, 862, 1004 BGB einen Anspruch darauf, dass der Arbeitgeber ausreichende Maßnahmen zum Schutz der sensiblen Gesundheitsdaten gegen unbefugte Einsichtnahme, z. B. durch Aufbewahrung in einem verschlossenen Umschlag, ergreift.
Diese Einschränkung des Rechts zur Personalaktenführung steht nicht den berechtigten Interessen des Arbeitgebers an der Vollständigkeit der Personalakte entgegen. Die Personalakte bleibt vollständig. Bei einem berechtigten Anlass kann jede vom Arbeitgeber ermächtigte Person den Umschlag öffnen, den Anlass vermerken und die Daten einsehen.