Datenschutz im BEM-Prozess
Wird ein Betriebliches Eingliederungsmanagement nach § 167 Abs. Sozialgesetzbuch (SGB) IX eingeführt, stellen sich zahlreiche datenschutzrechtlichen Fragen. Insbesondere zum Umgang mit den während des BEM-Prozesses erfassten und ausgewerteten Daten. Dazu sind zahlreiche datenschutzrechtliche Bestimmungen zu beachten. Damit Handlungssicherheit und Transparenz bei allen Beteiligten sichergestellt wird, sollte der komplette BEM-Prozess berücksichtigt und jeder einzelne Schritt unter datenschutzrechtlichen Aspekten betrachtet werden. Ist ein Betriebsrat vorhanden, empfiehlt sich der Abschluss einer einschlägigen Betriebsvereinbarung. Im Folgenden sollen für BEM-Verantwortliche, die wichtigsten Grundlagen zum Datenschutz beim BEM zusammengefasst werden.
Arbeitgeber:innen haben gesetzliche Hinweispflicht
Beim Betrieblichen Eingliederungsmanagement (BEM) werden zwangsläufig Gesundheitsdaten der Mitarbeiter:innen erhoben. Welche datenschutzrechtlichen Anforderungen im BEM-Verfahren zu beachten sind, soll im Folgenden beantwortet werden.
Ziel des BEM ist die Wiederherstellung der Arbeitsfähigkeit des betroffenen Mitarbeitenden zu fördern und zugleich eine wichtige Vorstufe bei krankheitsbedingten Kündigungen.
Um ein BEM-Verfahren durchführen zu können, ist es notwendig, dass sensible und vom Gesetz besonders geschützte Gesundheitsdaten der betroffenen Beschäftigten verarbeitet werden. Denn nur so gelingt es im BEM-Prozess, die gesetzten Ziele auch im Interesse des betroffenen Beschäftigten zu erreichen.
Gemäß § 167 Abs. 2 Satz 3 SGB IX muss die/ der Arbeitgeber:in bei einem BEM-Verfahren, die/ den betroffenen Mitarbeiter:in auf Art und Umfang der in diesem Zusammenhang erhobenen und verwendeten Daten hinweisen. Die/ der Arbeitnehmer:in muss den/ die Arbeitgeber:in also dazu ermächtigen, diese Daten auch zu verwenden. In Betracht kommen hierfür verschiedene allgemeine datenschutzrechtliche Vorschriften wie eine Betriebsvereinbarung, eine gesetzliche Ermächtigungsgrundlage und eine vom Betroffenen erklärte Einwilligung.
Demnach dürfen unter Berufung auf Art. 6 Abs. 1 DSGVO nur die Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.
Für Unternehmer:innen bedeutet dies, dass ein BEM-Verfahren, bei dem die personenbezogenen Daten der betroffenen Mitarbeitenden ohne ihre informierte Einwilligungserklärung gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG verarbeitet werden, rechtswidrig wäre, da eine Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO in diesem Fall nicht vorliegen würde. Gemäß diesem Fall würde die/ der Arbeitgeber:in der Pflicht aus § 167 SGB IX nicht nachkommen und hätte auch ein datenschutzrechtliches Problem, da die Datenverarbeitung ohne entsprechende Rechtsgrundlage durchgeführt würde.
Datenschutz im BEM – Anforderungen an eine Einwilligungserklärung
Wie schon oben erwähnt bedarf es also für die Datenerhebung und die Datenverarbeitung für das BEM einer ausdrücklichen und schriftlichen Einwilligung der/ des Mitarbeitenden. Die Einwilligung muss zudem freiwillig und wirksam erteilt werden. Die/ der Arbeitgebende ist dazu verpflichtet darauf hinzuweisen, für welchen Umfang und legitimierten Zweck die Datenerhebung erfolgt. Für Arbeitgeber:innen empfiehlt es sich daher, immer eine ausdrückliche Einwilligungserklärung zur Datenerhebung im BEM einzuholen und diese ggf. schon dem Einladungsschreiben beizulegen.
Nach § 26 BDSG “dürfen Personenbezogene Daten von Beschäftigten […] für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist”. Der § 26 BDSG ist seit dem 25.5.2018 die einschlägige Spezialregelung für das Arbeitsverhältnis, die Norm basiert auf der entsprechenden Öffnungsklausel des Art. 88 DSGVO.
Sprich, für Daten, die beim BEM erhoben werden, müsste also ebendiese Regelung gelten. Aus den genannten Gründen und des ergebnisoffenen Prozesses beim BEM empfiehlt sich also unbedingt eine gesonderte schriftliche Datenschutzerklärung im Rahmen des BEM.
Einwilligungserklärung der Einladung zum BEM-Gespräch beifügen
Zu empfehlen ist es daher, dass die Einwilligungserklärung in dem BEM-Prozess entsprechend Berücksichtigung findet. Hierbei sollten Arbeitgeber:innen oder entsprechend BEM-Beauftragte darauf achten in dieser detaillierte Aussagen zur Art und Umfang der im Rahmen des BEM-Verfahrens erhobenen und verwendeten Daten zu treffen. So gelingt es rechtssicher, der Hinweispflicht nach § 167 Abs. 2 Satz 3 SGB IX nachzukommen.
Datenschutz im BEM-Prozess mit datenschutzkonformen Vereinbarungen
Für Unternehmen, welche BEM-Verfahren nur gelegentlich durchführen müssen und kein eigenes Expertenwissen in diesem Bereich besitzen oder auch nicht über personelle Kapazitäten verfügen, kann es ratsam sein, die Durchführung des BEM an einen externen Dienstleister auszulagern.
Saneware BEM-Software steht Ihnen im gesamten BEM-Prozess unterstützend zur Seite und stellt so eine enorme Arbeitserleichterung dar. Vom ersten Einladungsschreiben bis hin zur Evaluation und einer digitalen BEM-Akte ist alles von den Saneware-Expert:innen bedacht worden. Datenschutz im BEM-Verfahren wird bei Saneware GmbH groß geschrieben.
Rechte und Pflichten zur Erhebung, Verarbeitung und Speicherung personenbezogener Daten im Allgemeinen und Gesundheitsdaten im Speziellen sind durch die Datenschutz-Grundverordnung geregelt. Natürlich hat die garantierte Beachtung dieses Regelwerkes für Saneware Software GmbH einen besonders hohen Stellenwert. Schon bei der Programmierung hat Saneware Datenschutzbeauftragte im Entwicklungsteam, um bereits beim ersten Coding den Datenschutz uneingeschränkt zu gewährleisten. Ein standardisiertes Rechte & Rollen-Konzept ermöglicht den Nutzer:innen, auch intern Datenschutz lückenlos zu gewährleisten
Es kann also festgehalten werden, dass eine Einwilligungserklärung in jede Phase der Datenverarbeitung als Rechtsgrund für die Datenverarbeitung benötigt wird, um betroffenen Mitarbeitenden zu jeder Zeit ihr Mitspracherecht zu lassen. Die Rechtsgrundlage dürfte also regelmäßig auch der Art. 6 Abs. 1 DSGVO (Einwilligung) i.V.m. Art. 9 Abs. 2 DSGVO im Fall der Verarbeitung von Gesundheitsdaten sein.
Sinnvoll kann es zusätzlich sein eine Betriebsvereinbarung als Ermächtigungsgrundlage für die Erhebung und Verwertung von Daten im BEM heranzuziehen. Diese Betriebsvereinbarung muss dann ebenfalls die oben genannten datenschutzrechtlichen Voraussetzungen gem. DSGVO erfüllen. Ob eine Betriebsvereinbarung diese Anforderungen tatsächlich erfüllt, lässt sich in der Praxis jedoch oft nur schwer feststellen.
Wie lange dürfen die Daten aufbewahrt werden?
Es sollte gerade beim BEM nur ein bestimmter, berechtigter Personenkreis Zugriff auf die BEM-Akte, mit all ihren sensiblen Daten haben, dies ist entweder die/ der BEM-Managerin bzw. Das BEM-Team oder der BEM-Verantwortliche im Unternehmen.
Eine fest definierte Aufbewahrungsdauer gibt es allerdings nicht für die BEM-Akte. Es wird jedoch einerseits die Ansicht vertreten, diese unmittelbar nach Abschluss des BEM-Verfahrens zu vernichten, da zu diesem Zeitpunkt der Zweck der Datenspeicherung entfällt.
Mit dem Hintergrund jedoch, bei etwaigen Folgeerkrankungen nochmals Zugriff auf die BEM-Akte eines Mitarbeitenden zu erlangen, wurde nun eine Aufbewahrungsdauer von drei Jahren als zulässig erachtet. Lehnt der/ die Mitarbeiter:in hingegen die Durchführung des BEM-Verfahrens ab oder widerruft die Einwilligung in die Datenverarbeitung, ist die BEM-Akte unverzüglich zu vernichten. Aufbewahrt werden dürfen in diesem Fall nur noch die Daten, die zum Nachweis des ordnungsgemäßen BEM-Verfahrens in der Personalakte gespeichert sind.
Es muss durch die BEM-Verantwortlichen gewährleistet werden, dass die sensiblen Daten aus dem BEM-Verfahren vor unrechtmäßigem Zugriff geschützt sind, nicht zweckentfremdet verwendet werden und die/ der Beschäftigte so seinem Arbeitgeber bzw. seiner Arbeitgeberin das für ein zielführendes BEM- Verfahren erforderliche Vertrauen entgegenbringen kann.
Bei weiteren Fragen zum BEM-Verfahren und unterstützender BEM-Software kommen Sie gerne auf unsere Expert:innen zu, wir beraten Sie gerne.
