Die hohen Hürden des Datenschutzes

Umgang mit Gesundheitsdaten

Diese Einwilligung unterliegt besonders strengen Voraussetzungen. Sie muss nicht nur gemäß § 4a Abs. 1 BDSG auf einer freien Entscheidung des Betroffenen beruhen, der zuvor auf den Zweck der Verarbeitung et cetera hinzuweisen ist. Sie muss sich gemäß § 4a Abs. 3 BDSG auch ausdrücklich auf die zu verarbeitenden Gesundheitsdaten beziehen. Der Anbieter selbst hat den Anforderungen des § 9 BDSG zu genügen, also insbesondere für die entsprechende Datensicherheit zu sorgen. Aus Sicht des Beschäftigtendatenschutzes birgt die Übermittlung der Auswertungen zum Gesundheitszustand besondere Herausforderungen. Datenschutzrechtlich unproblematisch ist noch die Auswertung gegenüber den Arbeitnehmern selbst, solange nur der jeweilige Arbeitnehmer davon erfährt. Es erfolgt gerade keine Übermittlung „an einen Dritten“ (§ 3 Abs. 4 Nr. 3 BDSG). Die Auswertung gegenüber dem Arbeitgeber indes steht auf einem anderen Blatt.

Freiwilligkeit der Teilnahme

Theoretisch muss man zwar überlegen, ob der Arbeitnehmer in die Übermittlung beispielweise „seines“ Stresslevels an den Arbeitgeber gemäß § 4 BDSG einwilligen kann. Dies kann aus der Perspektive der Gesundheitsprävention zunächst durchaus sinnvoll erscheinen, und tatsächlich wird der Einwilligung in die Weitergabe von Gesundheitsdaten mitunter ein weiterer Spielraum zugestanden als in anderen Konstellationen der Weitergabe besonderer Datenarten (vgl. Gola/Schomerus § 28 BDSG Rn. 76). Gleichwohl stellt sich die Frage, ob es angesichts der für das Arbeitsverhältnis unterstellten Vertragsimparität nicht gegen grundrechtliche Schutzpflichten verstieße, solche Einwilligungen zu akzeptieren. In jeden Fall dürfte aus Sicht des Arbeitgebers kaum nachzuweisen sein, dass derlei Einwilligungen gemäß § 4 Abs. 1 BDSG „auf der freien Entscheidung des Betroffenen“ beruhen.

Von daher verwundert es nicht, wenn derlei Auswertungen gegenüber dem Arbeitgeber nur in anonymisierter Form erfolgen sollen. Mangels Personenbezogenheit kommt es dann auf die Wirksamkeit der Einwilligung des Arbeitnehmers nicht an. Allerdings muss hierfür gewährleistet sein, dass die Daten nicht mehr oder nur unter einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder einer Person zugeordnet werden könnten (§ 3 Abs. 6 BDSG). Hierfür sollten Arbeitgeber und Anbieter letztlich etwa durch vertragliche Abreden die Voraussetzungen schaffen. Beispielsweise sollte geregelt sein, dass im Rahmen der Auswertung gebildete Gruppen etwa aufgrund ihrer zu geringen Größe nicht wieder aufgebrochen werden können. Insbesondere sollte sichergestellt sein, dass die Teilnahme freiwillig erfolgt und jedem Gruppendruck vorgebeugt wird. Ansonsten wäre schon die Einwilligung in die Erhebung der Gesundheitsdaten unwirksam.

Den Betriebsrat einbinden

Damit stellt sich für den Arbeitgeber im Ergebnis eine anspruchsvolle Gestaltungsaufgabe, will er Gesundheits-Apps et cetera in den Arbeits- und Gesundheitsschutz integrieren. Wesentlich wird hierbei auch sein, einen Anbieter präsentieren zu können, der seinerseits mit einem schlüssigen Konzept zum Schutz der Gesundheitsdaten vor unberechtigtem Zugriff – einschließlich dem des Arbeitgebers – aufwarten kann. Ansonsten dürfte ein noch so gut gemeintes Programm kaum auf die Akzeptanz der Arbeitnehmer stoßen. Häufig dürfte es Sinn machen, den Betriebsrat – sofern vorhanden – in die Maßnahmen einzubinden.