Datenschutz im Personalwesen / 4.2.1 Gesundheitsdaten & Wearables

Eine Entwicklung, die eine Herausforderung für die Personalabteilung darstellt, ist die betriebliche Gesundheitsvorsorge mittels Apps und Wearables. Immer mehr Unternehmen beginnen damit, Mitarbeiter mit Smartwatches oder Fitnessarmbändern auszustatten, die sie beruflich und privat nutzen, um einen gesunden Lebensstil zu etablieren. Für das Unternehmen soll das nicht zuletzt auch eventuelle Folgekosten durch einen ungesunden Lebensstil und Erkrankungen reduzieren. Zu beachten ist dabei aber, dass das Unternehmen damit zur verantwortlichen Stelle für die Verarbeitung von Gesundheitsdaten wird. Gesundheitsdaten sind als besondere Arten personenbezogener Daten sehr sensibel. An eine Verarbeitung von solch sensiblen Daten werden erhöhte Anforderungen gestellt, insbesondere im Hinblick auf deren technischen Schutz und die Weitergabe an Dritte.

Was ist zu beachten?

Die Personalabteilung – oder die für den Beschäftigtendatenschutz bzw. für die Ausgabe und Verwaltung von mobilen Endgeräten zuständige Stelle im Unternehmen – sollten einige Punkte beachten, um rechtswidrige Datenverarbeitungen zu vermeiden. Soweit es dabei um die Verarbeitung von Gesundheitsdaten bei Betriebsärzten geht, finden sich gesonderte Regelungen. Speziell im Bereich der betrieblichen Gesundheitsvorsorge und -versorgung gehen entsprechende bereichsspezifische Normen den Regelungen des Bundesdatenschutzgesetzes vor. Zu nennen ist an dieser Stelle z. B. das Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (ASiG).

Für die Personalabteilung sollten grundsätzlich beim Einsatz von Wearables im Unternehmen 2 Fälle – in Anbetracht des momentanen Standes der Technik – unterschieden werden. Sollen Gesundheitsdaten durch Wearables erfasst werden oder nicht? Diese grundlegende Entscheidung ist notwendig, da die auf dem Markt erhältlichen Smart Watches oder Fitnessarmbänder oder sogar Smartphones über bestimmte Apps grundsätzlich über die technische Möglichkeit verfügen, solche sensiblen Daten zu erfassen.

1. Entscheidung: Gesundheitsdaten sollen nicht verarbeitet werden

Sollen Gesundheitsdaten nicht verarbeitet werden, so muss die zuständige Abteilung (IT, Personal) dafür Sorge tragen, dass dies auch technisch verhindert wird. Eine rein organisatorische Regelung (Anweisung) reicht hier meist nicht aus. Werden Wearables vom Unternehmen gestellt, sollten die entsprechenden Funktionen zur Speicherung von Daten im Unternehmen von vornherein nicht nutzbar sein – sofern sich dies einrichten lässt. Findet sich keine andere Möglichkeit, die Datenerfassung zu unterbinden, ist eine Richtlinie zu erlassen und bekannt zu machen, die es den Mitarbeitern untersagt, die entsprechenden Funktionen zu nutzen und ggf. im Unternehmen anfallende Daten sofort zu löschen. Werden private Wearables in das Unternehmensnetzwerk eingebracht, so bleibt dem Unternehmen nur die Möglichkeit einer Richtlinie.

2. Entscheidung: Gesundheitsdaten sollen erfasst werden

Möchte das Unternehmen tatsächlich Gesundheitsdaten seiner Mitarbeiter verwenden, muss eine rechtliche Grundlage dafür vorhanden sein. Da hier die Erfassung der Gesundheitsdaten nicht als "erforderlich" i. S. d. § 26 BDSG anzusehen sein wird, scheidet eine gesetzliche Rechtsgrundlage für die Verarbeitung aus. Eine Verarbeitung ist nur mit wirksamer Einwilligung der Beschäftigten möglich.

Eine Einwilligung setzt voraus, dass der Mitarbeiter sie unter Zusicherung echter Freiwilligkeit gegeben hat. Dem Beschäftigten muss deutlich gemacht werden, dass die Verweigerung der Datenübermittlung keinerlei rechtliche Konsequenzen haben würde. Unabhängig davon müsste er genau über Datenumfang und Zweck der Datenverarbeitung aufgeklärt werden. Die Einschaltung Dritter als Subunternehmer in diesem Umfeld ist nicht möglich.

Um in diesem sehr engen und rechtlich schwierigen Umfeld Möglichkeiten der Nutzung der Daten aus Wearables zu schaffen, müssten diese wohl auf dem Umweg über einen (Betriebs-)Arzt zum Arbeitgeber gelangen: In den Fällen, wo das Gesetz für bestimmte Berufe einen regelmäßigen Gesundheitscheck vorsieht, könnten die über Wearables gewonnenen Gesundheitsdaten beim Betriebsarzt erfasst und von diesem ausgewertet werden. Das Ergebnis über eine Eignung oder Einschränkung kann dann von diesem an den Arbeitgeber weitergegeben werden.

Eine andere Möglichkeit, die Daten zu nutzen, wäre eine eingeschränkte Übermittlung der Daten vom Gerät an den Arbeitgeber zum Zwecke einer Provisionierung: Wenn der Arbeitgeber fitnessbewusste Mitarbeiter belohnen möchte, könnte die Information, dass diese täglich eine bestimmte Schrittzahl schaffen, an den Arbeitgeber übermittelt werden. Für diese Einwilligung wäre das oben eingangs Gesagte zu beachten. Außerdem sollte die Datenübermittlung so sparsam wie möglich ausgestaltet sein: Hier könnte es ausreichen, wenn der Arbeitgeber z. B. nur die Information erhält, dass ein Beschäftigter die Schrittzahlen geschafft hat, aber nicht, wie viele Schritte er tatsächlich gema...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge