Beschäftigtendatenschutz und Gesundheitsdaten

Beschäftigtendatenschutz und Gesundheitsdaten
15.04.2020

Beschäftigtendatenschutz und Gesundheitsdaten

Nicht nur in Zeiten der Corona-Krise ein Thema: Wie gehe ich als Arbeitgeber mit Gesundheitsdaten meiner Mitarbeiter um?

Außerhalb von Tendenzbetrieben – bei Hausverwaltungen handelt es sich nicht um solche – spielen die Erhebung und Verarbeitung von sensiblen Daten oder besonderen personenbezogenen Daten im Sinne des Art. 9 DSGVO eine untergeordnete Rolle. Daten zur ethnischen oder rassischen Herkunft, politischen Meinung, Religionszugehörigkeit oder philosophischen Überzeugungen aber auch Gewerkschaftszugehörigkeit sind zur Durchführung des Arbeitsverhältnisses nicht erforderlich. Anders ist dies bei Gesundheitsdaten, diese können und müssen zumindest teilweise verarbeitet werden.

Nach den gesetzlichen Regelungen ist die Verarbeitung solcher Daten nur zulässig, wenn diese Verarbeitung zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass die schutzwürdigen Rechte der betroffenen Personen überwiegen (Art. 9 DSGVO in Verbindung mit § 26 Abs. 3 BDSG). Das bedeutet, dass Daten zur Schwerbehinderung eines Mitarbeiters verarbeitet werden dürfen und müssen, aber auch Daten zu Krankschreibungen und ähnlichem. Bei der Verarbeitung dieser Daten ist aber besondere Sorgfalt geboten.

Wenn ein Mitarbeiter sich krankmeldet und einen Krankenschein vorlegt, erfährt der oder die Arbeitgeber/in bzw. der oder die Personalverantwortliche auch, welcher Arzt die Arbeitsunfähigkeit attestiert hat (Bsp: Die 26-jährige Buchhalterin war beim Gynäkologen).

Es ist bei der Verarbeitung dieser Daten besonders wichtig, dass diese ausschließlich zweckgebunden verarbeitet werden, dass die Daten nur einem beschränkten Personenkreis zugänglich gemacht werden. Sie müssen gegen eine zufällige Kenntnisnahme durch andere Personen geschützt werden (z.B. abgeschlossener Aktenschrank, zu dem der Arbeitgeber und der Personalverantwortliche den Schlüssel hat oder verschlüsselte Ablage in der EDV). Das Bundesarbeitsgericht hat hier entschieden, dass diese getrennt von der allgemeinen Personalakte, etwa in einer separaten (und gesondert gelagerten) Beiakte oder (dann als Teil der allgemeinen Personalakte) in einem verschlossenen Umschlag. Wenn der Arbeitgeber die sensiblen Gesundheitsdaten dagegen ungeschützt bzw. in der allgemeinen Personalakte aufbewahrt, so verletzt er das grundrechtlich geschützte allgemeine Persönlichkeitsrecht des Mitarbeiters.

Die Daten dürfen nicht länger als erforderlich gespeichert werden. Die Speicherung dieser Daten zur krankheitsbedingten Arbeitsunfähigkeit des Arbeitnehmers ist zunächst nur bis zu einer Dauer von 12 Monaten nach Beginn der ersten Arbeitsunfähigkeit erforderlich, denn nur bis dahin ist der Arbeitgeber von der Pflicht befreit, erneut Entgeltfortzahlung bis zu sechs Wochen zu leisten (§  3 Abs. 1 S. 2 Nr. 2 EFZG). Eine längere Speicherung der krankheitsbedingten Fehlzeiten könnte im betrieblichen Eingliederungsmanagement oder wegen der Vorbereitung einer krankheitsbedingten Kündigung des Arbeitnehmers zulässig sein. Die Gründe der längeren Verarbeitung der Daten sind zu dokumentieren (Art. 5 DSGVO).

Der Arbeitgeber hat keinen Anspruch auf Mitteilung des Befundes oder Mitteilung der Art der Krankheit. Etwas Anderes kann gelten, wenn es sich um eine ansteckende Krankheit handelt. Den Arbeitgeber trifft hier eine Fürsorgepflicht für die anderen Arbeitnehmer. Wenn also ein Mitarbeiter unter einer ansteckenden Krankheit leidet, ist er verpflichtet, dies dem Arbeitgeber mitzuteilen, damit er entsprechende innerbetriebliche Vorkehrungen treffen kann.

So teilte der Bundesdatenschutzbeauftragte auf seiner Website Folgendes mit:

„Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.“

Im Fall der Corona-Pandemie können über die Gesundheitsdaten hinaus, auch Daten erhoben werden, wenn ein Mitarbeiter in einem Risikogebiet war oder Kontakt zu einer infizierten Person hatte. Auch die Offenlegung dieser Daten kann rechtmäßig sein – ausnahmsweise, wenn damit andere Personen geschützt werden sollen. Die Rechtsgrundlagen, die hier mit zu dokumentieren sind, kommt Art. 6 Abs. 1 Satz 1 lit. e) DSGVO in Betracht.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay


Services

Aktuelle Beiträge