Zum Hauptinhalt springen

DSGVO: Dieser Datenschutz gilt für BEM-Akte und Durchführung

von Katja Uhde – 20. November 2025

Als arbeitgebendes Unternehmen verarbeiten Sie sensible personenbezogene Daten Ihrer Mitarbeitenden. Dafür gelten ohnehin schon strenge Vorschriften. Noch sensibler wird es, wenn es um gesundheitsbezogene Daten geht – und daran führt spätestens beim Betrieblichen Eingliederungsmanagement (BEM) kaum ein Weg vorbei. Wie Sie Ihr BEM datenschutzkonform gestalten und worauf Sie beim Datenschutz der BEM-Akte achten müssen, erfahren Sie in diesem Artikel.

Inhaltsverzeichnis:

  1. Rechtliche Grundlagen
  2. So machen Sie beim BEM-Datenschutz alles richtig
  3. Muster: BEM-Datenschutzerklärung
  4. Digitale BEM-Akte
  5. Fehler beim BEM-Datenschutz
  6. Häufige Fragen

Rechtliche Grundlagen für BEM, Datenschutz & DSGVO

Beim BEM kommen gleich mehrere Gesetze zum Einsatz:

  • Sozialgesetzbuch: Ihre Pflicht zum BEM als arbeitgebendes Unternehmen ist in § 167 Abs. 2 SGB IX definiert.
  • Betriebsverfassungsgesetz: Das Mitbestimmungsrecht des Betriebsrats ist in § 87 Abs. 1 Nr. 6 BetrVG definiert und betrifft verschiedene Bereiche des BEM – auch die Verarbeitung der Daten.
  • Datenschutzgrundverordnung: Gesundheitsbezogene Daten gehören gemäß Art. 9 DSGVO zu einer „besonderen Kategorie personenbezogener Daten“ und sind demnach besonders schützenswert.
  • Bundesdatenschutzgesetz: § 26 BDSG enthält Vorschriften für die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Die Verarbeitung von Gesundheitsdaten ist demnach nur zulässig, wenn sie dazu dienen, Ihren rechtlichen Pflichten nachzukommen – was sie beim BEM gemäß § 167 Abs. 2 SGB IX tun.

So machen Sie beim BEM-Datenschutz alles richtig

Datenschutz ist die Grundlage für jedes erfolgreiche BEM. Nur wenn Beschäftigte sicher sein können, dass ihre sensiblen Gesundheitsdaten vertraulich behandelt werden, entsteht das nötige Vertrauen für eine offene Zusammenarbeit.

Für Unternehmen bedeutet das: klare Regeln beachten, sorgfältig dokumentieren und technische wie organisatorische Maßnahmen umsetzen. Die folgenden Punkte zeigen, worauf es dabei in der Praxis ankommt.

1. Aufklären

In der Einladung zum BEM müssen Beschäftigte genau informiert werden worum es geht: Welche Ziele verfolgt das Verfahren, welche Rechte hat der Arbeitnehmer, welche Schritte sind geplant, wer ist beteiligt und welche Daten werden verarbeitet? Diese Transparenzpflicht ergibt sich aus Art. 13 DSGVO und sorgt dafür, dass Mitarbeitende eine fundierte Entscheidung treffen können, ob sie am BEM teilnehmen möchten.

2. Einverständnis einholen

Gesundheitsdaten zählen zu den besonders sensiblen Daten. Damit sie im Rahmen des BEM verarbeitet werden dürfen, braucht es eine ausdrückliche und freiwillige Einwilligung der betroffenen Person.

Wichtig: Die Zustimmung darf nicht erzwungen werden und kann jederzeit widerrufen werden. Ohne Einwilligung dürfen Sie nur die unbedingt erforderlichen organisatorischen Informationen verarbeiten, beispielsweise das BEM-Angebot mit Datum.

Aber Achtung:
Verweigert die betroffene Person das Einverständnis zur Datenverarbeitung, heißt das nicht, dass kein BEM stattfindet. Das hat das Bundesarbeitsgericht im Urteil 2 AZR 162/22 vom 15.12.2022 festgelegt. Hat die betroffene Person das BEM nicht ausdrücklich abgelehnt, gilt es, gemeinsam Lösungen zu finden, wie es trotzdem erfolgen kann.

3. Zweckbindung sicherstellen

Alle Daten, die im BEM erhoben werden, dürfen ausschließlich für dieses Verfahren genutzt werden. Sie dürfen nicht in die allgemeine Personalakte übernommen und auch nicht für andere Zwecke – etwa Leistungsbeurteilungen oder spätere Kündigungsentscheidungen – verwendet werden. Das schützt die Vertraulichkeit und schafft Vertrauen bei den Mitarbeitenden.

4. Daten minimieren

Wie in allen Bereichen der Datenverarbeitung gilt auch im BEM der Grundsatz: So viel wie nötig, so wenig wie möglich. Arbeitgebende Unternehmen dürfen nur die Informationen erheben, speichern und verarbeiten, die für die Wiedereingliederung und die Entwicklung passender Maßnahmen erforderlich sind. Details zu Krankheitsdiagnosen oder private Zusatzinformationen gehören nicht in die BEM-Akte.

Welche Daten Ihre Beschäftigten mitteilen, entscheiden diese selbst. Weder dürfen Sie Ihre Mitarbeitenden nach konkreten Diagnosen fragen, noch müssen diese Ihnen die Erkrankung mitteilen. Das gilt auch dann, wenn die betroffene Person sich dazu entschließt, am BEM-Prozess teilzunehmen. In diesem Fall müssen Ihre BEM-Beauftragten die Beschwerden thematisieren, ohne auf die Krankheit einzugehen. Dabei können auch Betriebsärztinnen und -ärzte helfen.

5. Daten richtig speichern  

BEM-Unterlagen müssen streng vertraulich und getrennt von der Personalakte aufbewahrt werden. Nur die am Verfahren direkt beteiligten Personen dürfen darauf zugreifen und auch nur insoweit, wie es für die Erfüllung ihrer Aufgabe notwendig ist. In der Personalakte reichen kurze Vermerke wie „BEM angeboten am …“ oder „BEM durchgeführt im Zeitraum …“.

Werden die Akten digital verarbeitet, sollten die Daten durch sichere Zugriffsrechte, Verschlüsselung und eine klare Rollenverteilung geschützt sein. Werden die Akten analog geführt, sollten sie in getrennten Ordnern und getrennten Räumen aufbewahrt werden.

Wichtig: Das heißt auch, dass die BEM-verantwortliche Person im Idealfall nicht gleichzeitig für andere Personalaufgaben wie Kündigungen oder Beurteilungen zuständig sein sollte.

Müssen Sie Daten an Dritte weitergeben, zum Beispiel an Betriebsärztinnen und -ärzte, benötigen Sie dafür das Einverständnis der betroffenen Person.

Die BEM-Akte und die Personalakte sind zwei unterschiedliche Dinge: Sie dürfen nicht miteinander vermischt oder gemeinsam aufbewahrt werden.

6. Aufbewahrungsfrist der BEM-Akte beachten & Daten löschen

Grundsätzlich gilt: Ist das BEM-Verfahren beendet, müssen Sie Daten gemäß DSGVO löschen. In der Praxis hat sich eine Aufbewahrung von bis zu drei Jahren etabliert. Schließlich können die BEM-Maßnahmen auch ohne Erfolg enden, so dass nach dem BEM die krankheitsbedingte Kündigung das mildeste Mittel darstellt. Um dies gegebenenfalls juristisch nachweisen zu können, bedarf es der Informationen aus der Akte. Rechtlich gilt jedoch stets: Daten sind zu löschen, sobald sie nicht mehr für den ursprünglichen Zweck erforderlich sind.

Anders ist es, wenn die betroffene Person der Datenspeicherung widerspricht. In diesem Fall müssen Sie die Daten unverzüglich löschen.

Muster für Ihre BEM-Datenschutzerklärung

Damit der BEM-Prozess datenschutzkonform, rechtssicher und zugleich effizient abläuft, lohnt es sich, mit Vorlagen zu arbeiten. Nutzen Sie dafür am besten eine anwaltlich geprüfte Vorlage für die Datenschutzerklärung, die Sie durch Ihre Mitarbeitenden unterschreiben lassen. Dadurch haben Sie nur einmal Aufwand und können jedes BEM-Verfahren schnell und sicher starten.

BEM-Datenschutzerklärung Muster
Ein Musterschreiben für Ihre BEM-Datenschutzerklärung laden Sie hier kostenlos herunter.

Jetzt herunterladen

Wichtig: Egal, ob Sie ein Muster aus dem Internet oder eine individuell von Ihrem Anwalt erstellte Vorlage verwenden: Ihre BEM-Beauftragten müssen den Inhalt kennen. Denn im BEM-Prozess kommt es früher oder später zu Rückfragen durch Mitarbeitende – reagieren Sie darauf mit Unwissen, kann das das Vertrauen gefährden.

Datenschutz und die digitale BEM-Akte – wie passt das zusammen?

Die Digitalisierung erleichtert das Gesundheitsmanagement und bringt auch im BEM viele Vorteile. Aber passt es zusammen, hochsensible Daten in einer Software – womöglich sogar in einer Cloud – zu speichern?

Ja – wenn Sie bei der Auswahl und Nutzung der BEM-Software auf Datenschutz achten. Eine digitale BEM-Akte ist zulässig, wenn sie durch klare Zugriffsrechte, Verschlüsselung und Protokollierung geschützt wird. Nur die am Verfahren beteiligten Personen dürfen Zugriff erhalten, und auch nur in dem Umfang, der für ihre Aufgabe notwendig ist.

Als arbeitgebendes Unternehmen müssen Sie dabei genau dokumentieren, welche technischen und organisatorischen Maßnahmen Sie zum Schutz der Daten einsetzen. Dabei hilft es, auf einen Software-Anbieter zu setzen, der die Datenschutzanforderungen in Deutschland kennt und deren Anforderung vollständig bei der Entwicklung der Software berücksichtigt. Als deutsches Unternehmen haben wir bei Saneware alle Elemente unserer BEM-Software entsprechend der geltenden Vorschriften umgesetzt, damit Sie zu jeder Zeit alles im Griff haben.

BEM-Akte digital oder analog?
Alles über die digitale BEM-Akte und deren Vorteile erfahren Sie hier.

Jetzt lesen

Was kann passieren, wenn Sie beim BEM-Datenschutz Fehler machen?

Kurz gesagt: Fehler beim Datenschutz können gravierende Folgen haben. Dazu zählen insbesondere diese:

  • Bußgelder: Verstöße gegen die DSGVO – etwa durch unzulässige Speicherung, fehlende Einwilligung oder unzureichende Datensicherheit – können hohe Geldstrafen von bis zu 20 Millionen Euro oder 4 % des erzielten Jahresumsatzes nach sich ziehen.
  • Ungültige Kündigung: Wird ein BEM nicht datenschutzkonform durchgeführt, kann eine krankheitsbedingte Kündigung vor Gericht scheitern und als unwirksam eingestuft werden.
  • Reputationsverlust: Datenschutzpannen können das Image des Unternehmens schädigen – sowohl intern als auch gegenüber Kund:innen und der Öffentlichkeit.

Häufige Fragen zum Thema BEM-Datenschutz

  • Sie müssen dennoch ein BEM anbieten. Gemäß Urteil 2 AZR 162/22 vom 15.12.2022 des Bundesarbeitsgerichts ist ein Widerspruch gegen die Datenschutzerklärung kein Grund, das BEM-Verfahren zu stoppen. In diesem Fall müssen Sie gemeinsam Lösungen, wie die Datenverarbeitung angepasst werden muss, damit die betroffene Person einwilligt. Stoppen Sie das BEM-Verfahren, kann eine später erfolgte krankheitsbedingte Kündigung vor Gericht scheitern.

  • Im BEM gilt der Grundsatz der Datenminimierung: Erhoben werden dürfen nur die Informationen, die für die Planung und Durchführung des Verfahrens unbedingt erforderlich sind. Dazu gehören beispielsweise die Dauer und Häufigkeit der Arbeitsunfähigkeiten, Angaben zu möglichen Einschränkungen im Arbeitsalltag sowie Vorschläge für geeignete Maßnahmen.

    Nicht erforderlich sind detaillierte Diagnosen oder ärztliche Befunde – diese gehören nicht in die BEM-Akte.

  • BEM-Unterlagen müssen streng vertraulich und separat aufbewahrt werden, also nicht in der Personalakte. In der Personalakte reicht ein kurzer Vermerk wie „BEM angeboten am …“ oder „BEM durchgeführt im Zeitraum …“.

    Die eigentlichen Dokumente (z.B. Protokolle und Maßnahmenpläne) kommen in eine gesonderte BEM-Akte, die nur für die am Verfahren beteiligten Personen zugänglich ist.

  • Ja, eine BEM-Akte darf auch digital geführt werden. Voraussetzung ist, dass sie mit hohen technischen und organisatorischen Sicherheitsmaßnahmen geschützt ist. Dazu zählen etwa verschlüsselte Speicherung, klare Zugriffsrechte, Protokollierung von Zugriffen und eine strikte Rollenverteilung. Das ist beispielsweise mit der BEM-Software von Saneware möglich. Wichtig ist außerdem, dass Beschäftigte im Vorfeld über die digitale Verarbeitung informiert werden.

Teilen

Beliebte Beiträge

Magazin – 7. März 2024

BEM-Einladung Muster: Was in Ihrer Einladung zum Betrieblichen Eingliederungsmanagement stehen muss
Magazin – 16. September 2024

Hamburger Modell-Stufenplan: Wie Sie einen zielführenden Wiedereingliederungsplan erstellen (Muster)
Magazin – 15. August 2021

Tipps zum BEM-Gespräch: Darauf sollten Sie als Arbeitnehmer:in achten
Nach oben