BEM & Datenschutz: Das müssen Sie beachten
Der Datenschutz spielt beim Betrieblichen Eingliederungsmanagement eine herausragende Rolle. Immerhin sind Sie im BEM-Verfahren oft unausweichlich mit den besonders geschützten Gesundheitsdaten Ihrer Beschäftigten konfrontiert. Um den gesetzlichen Schutzanforderungen gerecht zu werden, sind große Anstrengungen notwendig. Wird gegen Datenschutzrecht verstoßen, kann das im schlimmsten Fall negative Auswirkungen auf die Gültigkeit einer krankheitsbedingten Kündigung haben.
Die Daten von Arbeitnehmenden unterliegen ohnehin schon strengen datenschutzrechtlichen Vorschriften, die sich aus der europäischen Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem deutschen Arbeitsrecht ergeben. Da es zur Durchführung des Betrieblichen Eingliederungsmanagements (BEM) notwendig, ist persönliche Gesundheitsdaten von Betroffenen zu verarbeiten, gelten für das BEM nochmals strengere Anforderungen. Denn Gesundheitsdaten gehören nach Artikel 9 der DSGVO zu den sogenannten Daten besonderer Kategorie. Was nichts anderes heißt, als dass diese noch einmal schützenswerter sind, als ohnehin schon alle personenbezogenen Daten.
Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten
Daten besonderer Kategorie, zu denen beispielsweise auch rassische und ethnische Herkunft, politische Meinungen und die Gewerkschaftszugehörigkeit gehören, dürfen nicht verarbeitet werden (Abs. 1). Ausnahmen sind in Absatz 2 geregelt. Für das BEM ist vor allem der Buchstabe h von Relevanz:
„die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich“
Außerdem macht das Bundesdatenschutzgesetz in § 26 Abs. 3 deutlich, dass die Verarbeitung von Gesundheitsdaten zulässig ist, wenn Sie als Arbeitgebender damit Ihren rechtlichen Pflichten – wie eben beim BEM – nachkommen:
„Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.“
Kein BEM ohne Einwilligung zur Datenverarbeitung
Wichtigster gesetzlicher Grundsatz ist, dass jeder Mensch der Verarbeitung seiner persönlichen Daten – insbesondere der Gesundheitsdaten – ausdrücklich zustimmen muss. Das bedeutet konkret, dass der Arbeitnehmende nicht nur in die Teilnahme am BEM einwilligen muss, sondern auch in die Datenverarbeitung mit dem Zweck das BEM durchzuführen. Die Einwilligungspflicht ergibt sich aus Art. 6 Abs. 1 Buchstabe a der DSGVO in Verbindung mit § 26 Abs. 2 BDSG.
Basics: Einwilligungserklärung einholen, transparent informieren
Holen Sie die schriftliche Einwilligung des/der Betroffenen ein, seine persönlichen Daten für das BEM erheben und verarbeiten zu dürfen. Beachten Sie dabei, dass Sie den Mitarbeitenden darüber informieren müssen, zu welchem konkreten Zweck und in welchem Umfang seine Daten erhoben werden. Sie dürfen die Daten immer nur für einen festgelegten, eindeutigen und legitimen Zweck erheben.
Nutzen Sie am besten eine anwaltlich formulierte Vorlage, wie zum Beispiel dieses kostenfreie Musterschreiben.
Beschäftigte müssen Diagnose nicht mitteilen
Welche Daten der Beschäftigte seinem Arbeitgebendem mitteilt, entscheidet er. Weder dürfen Sie ihn nach seiner konkreten Diagnose fragen, noch muss er Ihnen die Erkrankung mitteilen. Das gilt übrigens selbst dann, wenn er sich dazu entschließt, am BEM-Prozess teilzunehmen.
Es mag auf den ersten Blick schwierig sein, konkrete Maßnahmen zur Genesung und Wiedereingliederung zu beraten und zu beschließen, ohne die Ursache für die Arbeitsunfähigkeit zu kennen. In der Praxis ist das oft auch so. Allerdings können im Verfahren durchaus einzelne Beschwerden thematisiert werden, ohne die Krankheit zu benennen. Dabei können beispielweise auch Betriebsärztinnen und -ärzte helfen.
BEM-Akte von der Personalakte trennen
Die im Rahmen des Betrieblichen Eingliederungsmanagements erhobenen Daten dürfen Sie lediglich zu seiner Durchführung verwenden. Um dies sicherzustellen, ist eine gesonderte BEM-Akte anzulegen, die nicht zur Personalakte gehört, sondern getrennt von dieser aufbewahrt wird. Auch müssen Sie sicherstellen, dass nur diejenigen Personen Zugriff zu der BEM-Akte haben, die am BEM-Verfahren beteiligt sind, und deshalb Einblick in die Akte benötigen.
Für die Praxis bedeutet das, dass die BEM-Akte in der Regel nicht in der Personalabteilung aufbewahrt werden sollte. Zumindest dann nicht, wenn diese aus mehr Personen besteht als dem/den BEM-Beauftragten. Das ist nicht zuletzt deshalb wichtig, weil die Daten ausschließlich zweckgebunden eingesetzt werden dürfen. Das heißt, sie dürfen beispielsweise nicht für die Vorbereitung einer krankheitsbedingten Kündigung genutzt werden. Dieser Vorwurf kann Ihnen aber gemacht werden, wenn die Personalabteilung Einsicht hat – auch von Seiten des Gerichts im Rahmen eines Kündigungsschutzprozesses.
Wichtige Grundregeln beim BEM-Datenschutz
Zweckbindung
Die im Rahmen des BEM erhobenen Daten dürfen nur und ausnahmslos im Rahmen des BEM verwendet werden.
Datenminimierung
Es dürfen nur die Daten erfasst und verarbeitet werden, die für die Durchführung des BEM wirklich notwendig sind. Keine Informationen darüber hinaus.
Zugriff
Die BEM-Akte mit den persönlichen Daten darf nur einem limitierten, fest definierten, transparent dargelegten Personenkreis (BEM-Verantwortlichen oder BEM-Team) zugänglich sein, der mit der Durchführung des Verfahrens betraut ist. Die Aufbewahrung der Akte muss so erfolgen, dass kein Unbefugter darauf zugreifen kann. Wenn der Betrieb über einen Betriebsarzt verfügt, der eigene Räume im Unternehmen besitzt, können die Unterlagen beispielsweise dort aufbewahrt werden. Der Arzt unterliegt der ärztlichen Schweigepflicht. Der Zugriff auf die BEM-Akte kann mit Datum und Unterschrift dokumentiert und nachgehalten werden.
Datenlöschung
Die Daten müssen gelöscht werden, sobald der Zweck erfüllt wurde oder als nicht-erfüllbar gilt und deshalb nicht weiter verfolgt wird.
Lediglich die Daten, die einen Nachweis über die ordnungsgemäße Durchführung des BEM-Verfahrens erbringen, dürfen in die Personalakte übernommen werden. Dazu gehören zum Beispiel:
- Zeitpunkt der BEM-Einladung
- Ergebnis der Einladung (angenommen oder abgelehnt)
- Nennung angebotener und/oder umgesetzter BEM-Maßnahmen
Die Weitergabe sämtlicher Daten bedarf stets der schriftlichen Zustimmung des betroffenen Mitarbeitenden.
Aufbewahrungsfristen der BEM-Akte
Prinzipiell müssen alle Daten nach Wegfall des Zwecks, für den sie erhoben wurde, gemäß DSGVO gelöscht werden. In der Praxis ist es jedoch üblich und vertretbar, die Akte maximal drei Jahre aufzubewahren, sofern ein BEM-Verfahren aufgenommen wurde. Schließlich können die BEM-Maßnahmen auch ohne Erfolg enden, so dass nach dem BEM die krankheitsbedingte Kündigung das mildeste Mittel darstellt. Um dies gegebenenfalls juristisch nachweisen zu können, bedarf es der Informationen aus der Akte.
Fazit: Datenschutz hat oberste Priorität
Normalerweise erfährt ein Arbeitgebender in Deutschlands nichts zu der Erkrankung eines Arbeitnehmenden. Selbst die Arbeitsunfähigkeitsbescheinigung lässt keine Rückschlüsse zu. Beim BEM-Verfahren ist eine Beschäftigung mit Symptomen und Diagnosen kaum vermeidbar. Als Arbeitgebender erhalten Sie somit zwangsläufig sehr sensible Gesundheitsdaten, die besonders geschützt werden müssen.
Befassen Sie sich gewissenhaft mit den datenschutzrechtlichen Vorgaben. Dem Datenschutz wird auch vor Gerichte hohe Bedeutung beigemessen. Das gesamte BEM-Verfahren kann für nichtig erklärt werden, wenn Sie eine kleine Regel übersehen haben.
Moderne BEM-Software unterstützt Sie nicht nur bei der Implementierung eines effizienten BEM-Prozesses, sondern auch bei der Einhaltung der Datenschutzvorschriften.