4.1 Wearables: Definition
Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper getragenen Computersystem unterstützt wird. Beispiele hierfür sind Fitnessarmbänder und Smartwatches, die beim Treiben von Sport den Puls und Kalorienverbrauch messen, die Strecke aufzeichnen oder die Schritte zählen. Die Unterstützung der betrieblichen Gesundheitsvorsorge mittels Wearables erlaubt die Erstellung detaillierter Gesundheitsprofile und eine Ansammlung sehr sensibler Daten – im Extremfall rund um die Uhr.
Eine Entwicklung, die eine Herausforderung für die Personalabteilung darstellt, ist die betriebliche Gesundheitsvorsorge mittels Apps und Wearables. Immer mehr Unternehmen beginnen damit, Mitarbeiter mit Smartwatches oder Fitnessarmbändern auszustatten, die sie beruflich und privat nutzen dürfen, um einen gesunden Lebensstil zu etablieren. Für das Unternehmen soll das nicht zuletzt auch eventuelle Folgekosten durch einen ungesunden Lebensstil und Erkrankungen reduzieren. Zu beachten ist dabei aber, dass das Unternehmen damit zur verantwortlichen Stelle für die Verarbeitung von Gesundheitsdaten wird. Gesundheitsdaten sind als besondere Arten personenbezogener Daten sehr sensibel. An eine Verarbeitung von solch sensiblen Daten werden erhöhte Anforderungen gestellt, insbesondere im Hinblick auf deren technischen Schutz und die Weitergabe an Dritte.
Die Personalabteilung – oder die für den Beschäftigtendatenschutz bzw. für die Ausgabe und Verwaltung von mobilen Endgeräten zuständige Stelle im Unternehmen – sollten einige Punkte beachten, um rechtswidrige Datenverarbeitungen zu vermeiden. Soweit es dabei um die Verarbeitung von Gesundheitsdaten bei Betriebsärzten geht, gelten gesonderte Regelungen. Speziell im Bereich der betrieblichen Gesundheitsvorsorge und -versorgung gehen entsprechende bereichsspezifische Normen den Regelungen des Bundesdatenschutzgesetzes vor. Zu nennen ist an dieser Stelle z. B. das Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (ASiG).
Für die Personalabteilung sollte grundsätzlich beim Einsatz von Wearables im Unternehmen geprüft werden, ob Gesundheitsdaten durch Wearables erfasst werden sollen oder nicht. Diese Entscheidung ist notwendig, da die auf dem Markt erhältlichen Smart Watches oder Fitnessarmbänder oder sogar Smartphones über bestimmte Apps grundsätzlich über die technische Möglichkeit verfügen, solche sensiblen Daten zu erfassen.
4.2 Keine Verarbeitung von Gesundheitsdaten
Sollen Gesundheitsdaten nicht verarbeitet werden, so muss die zuständige Abteilung (IT, Personal) dafür Sorge tragen, dass dies auch technisch verhindert wird. Eine rein organisatorische Regelung (Anweisung) reicht hier meist nicht aus. Werden Wearables vom Unternehmen gestellt, sollten die entsprechenden Funktionen zur Speicherung von Daten im Unternehmen von vornherein nicht nutzbar sein – sofern sich dies einrichten lässt. Findet sich keine andere Möglichkeit, die Datenerfassung zu unterbinden, ist eine Richtlinie zu erlassen und bekannt zu machen, die es den Mitarbeitern untersagt, die entsprechenden Funktionen zu nutzen und ggf. im Unternehmen anfallende Daten sofort zu löschen. Werden private Wearables in das Unternehmensnetzwerk eingebracht, so bleibt dem Unternehmen nur die Möglichkeit einer Richtlinie.
4.3 Verarbeitung von Gesundheitsdaten
Möchte das Unternehmen tatsächlich Gesundheitsdaten seiner Mitarbeiter verwenden, muss eine rechtliche Grundlage dafür vorhanden sein. Da hier die Erfassung der Gesundheitsdaten nicht als "erforderlich" i. S. d. § 26 BDSG anzusehen sein wird, scheidet eine gesetzliche Rechtsgrundlage für die Verarbeitung aus. Eine Verarbeitung ist nur mit wirksamer Einwilligung der Beschäftigten möglich.
Eine Einwilligung setzt voraus, dass der Mitarbeiter sie unter Zusicherung echter Freiwilligkeit gegeben hat. Dem Beschäftigten muss deutlich gemacht werden, dass die Verweigerung der Datenübermittlung keinerlei rechtliche Konsequenzen haben würde. Unabhängig davon müsste er genau über Datenumfang und Zweck der Datenverarbeitung aufgeklärt werden. Die Einschaltung Dritter als Subunternehmer in diesem Umfeld ist nicht möglich.
Um in diesem sehr engen und rechtlich schwierigen Umfeld Möglichkeiten der Nutzung der Daten aus Wearables zu schaffen, müssten diese wohl auf dem Umweg über einen (Betriebs-)Arzt zum Arbeitgeber gelangen: In den Fällen, wo das Gesetz für bestimmte Berufe einen regelmäßigen Gesundheitscheck vorsieht, könnten die über Wearables gewonnenen Gesundheitsdaten beim Betriebsarzt erfasst und von diesem ausgewertet werden. Das Ergebnis über eine Eignung oder Einschränkung kann dann von diesem an den Arbeitgeber weitergegeben werden.
Eine andere Möglichkeit, die Daten zu nutzen, wäre eine eingeschränkte...