Die hohen Hürden des Datenschutzes
Gesundheits-Apps und Wearables sind die nächste Herausforderung, bei der die „Moderne“ des technisch Möglichen mit dem Beschäftigtendatenschutz zu kollidieren droht.
Ein Grund mehr, sich auf den Zweck des Beschäftigtendatenschutzes zu besinnen, der sich auf den grundrechtlichen Schutz der informationellen Selbstbestimmung sowie Art. 8 der Charta der Grundrechte der Europäischen Union stützt und dort nach wie vor und umso mehr seine Berechtigung findet. Gesundheits-Apps, Wearables und Sensor-Monitoring zielen auf den Kern der informationellen Selbstbestimmung, nämlich auf sensitive, besonders geschützte Gesundheitsdaten i.S.d. § 3 Abs. 9 Bundesdatenschutzgesetz.
Geht es nach Art. 29, Datenschutzgruppe, sollen sämtliche Daten, die in ihrem Verwendungszusammenhang auf den Gesundheitszustand schließen lassen, Gesundheitsdaten sein. Selbst belanglose Daten wie die tägliche Schrittanzahl können auf dieser Grundlage zu Gesundheitsdaten werden, von Daten wie dem Body-Mass-Index, dem Puls, Blutdruck oder dem Blutzuckerspiegel ganz zu schweigen. Das schafft einen engen datenschutzrechtlichen Rahmen für Gesundheits-Apps. Zwar erfolgt die Erhebung der Daten regelmäßig nicht durch den Arbeitgeber, sondern den externen Anbieter. Das ändert jedoch im Grundsatz nichts: Die Datenerhebung unterliegt den § 4a Abs. 3,28 Abs. 6,7 BDSG und ist regelmäßig mangels Eingreifen eines der Tatbestände des § 28 Abs. 6,7 BDSG nur mit Einwilligung des Betroffenen möglich.
Umgang mit Gesundheitsdaten
Diese Einwilligung unterliegt besonders strengen Voraussetzungen. Sie muss nicht nur gemäß § 4a Abs. 1 BDSG auf einer freien Entscheidung des Betroffenen beruhen, der zuvor auf den Zweck der Verarbeitung et cetera hinzuweisen ist. Sie muss sich gemäß § 4a Abs. 3 BDSG auch ausdrücklich auf die zu verarbeitenden Gesundheitsdaten beziehen. Der Anbieter selbst hat den Anforderungen des § 9 BDSG zu genügen, also insbesondere für die entsprechende Datensicherheit zu sorgen. Aus Sicht des Beschäftigtendatenschutzes birgt die Übermittlung der Auswertungen zum Gesundheitszustand besondere Herausforderungen. Datenschutzrechtlich unproblematisch ist noch die Auswertung gegenüber den Arbeitnehmern selbst, solange nur der jeweilige Arbeitnehmer davon erfährt. Es erfolgt gerade keine Übermittlung „an einen Dritten“ (§ 3 Abs. 4 Nr. 3 BDSG). Die Auswertung gegenüber dem Arbeitgeber indes steht auf einem anderen Blatt.
Freiwilligkeit der Teilnahme
Theoretisch muss man zwar überlegen, ob der Arbeitnehmer in die Übermittlung beispielweise „seines“ Stresslevels an den Arbeitgeber gemäß § 4 BDSG einwilligen kann. Dies kann aus der Perspektive der Gesundheitsprävention zunächst durchaus sinnvoll erscheinen, und tatsächlich wird der Einwilligung in die Weitergabe von Gesundheitsdaten mitunter ein weiterer Spielraum zugestanden als in anderen Konstellationen der Weitergabe besonderer Datenarten (vgl. Gola/Schomerus § 28 BDSG Rn. 76). Gleichwohl stellt sich die Frage, ob es angesichts der für das Arbeitsverhältnis unterstellten Vertragsimparität nicht gegen grundrechtliche Schutzpflichten verstieße, solche Einwilligungen zu akzeptieren. In jeden Fall dürfte aus Sicht des Arbeitgebers kaum nachzuweisen sein, dass derlei Einwilligungen gemäß § 4 Abs. 1 BDSG „auf der freien Entscheidung des Betroffenen“ beruhen.
Von daher verwundert es nicht, wenn derlei Auswertungen gegenüber dem Arbeitgeber nur in anonymisierter Form erfolgen sollen. Mangels Personenbezogenheit kommt es dann auf die Wirksamkeit der Einwilligung des Arbeitnehmers nicht an. Allerdings muss hierfür gewährleistet sein, dass die Daten nicht mehr oder nur unter einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder einer Person zugeordnet werden könnten (§ 3 Abs. 6 BDSG). Hierfür sollten Arbeitgeber und Anbieter letztlich etwa durch vertragliche Abreden die Voraussetzungen schaffen. Beispielsweise sollte geregelt sein, dass im Rahmen der Auswertung gebildete Gruppen etwa aufgrund ihrer zu geringen Größe nicht wieder aufgebrochen werden können. Insbesondere sollte sichergestellt sein, dass die Teilnahme freiwillig erfolgt und jedem Gruppendruck vorgebeugt wird. Ansonsten wäre schon die Einwilligung in die Erhebung der Gesundheitsdaten unwirksam.
Den Betriebsrat einbinden
Damit stellt sich für den Arbeitgeber im Ergebnis eine anspruchsvolle Gestaltungsaufgabe, will er Gesundheits-Apps et cetera in den Arbeits- und Gesundheitsschutz integrieren. Wesentlich wird hierbei auch sein, einen Anbieter präsentieren zu können, der seinerseits mit einem schlüssigen Konzept zum Schutz der Gesundheitsdaten vor unberechtigtem Zugriff – einschließlich dem des Arbeitgebers – aufwarten kann. Ansonsten dürfte ein noch so gut gemeintes Programm kaum auf die Akzeptanz der Arbeitnehmer stoßen. Häufig dürfte es Sinn machen, den Betriebsrat – sofern vorhanden – in die Maßnahmen einzubinden.
Autor
Dr. Thilo Mahnhold,
Rechtsanwalt und Fachanwalt für Arbeitsrecht, Justem Rechtsanwälte, Frankfurt/Main,
t.mahnhold@justem.de
- Bewegende Ergebnisse
- Die neuen Regeln für HR
- Talentstrategie auf dem Prüfstand
- Wearables, Apps und Co. auf dem Vormarsch
- „Digitale Technologien müssen in die strategischen Gesundheitsziele eingebunden ...
- Die hohen Hürden des Datenschutzes
- Fitness-Tools mit Spaßfaktor
- Muße für Manager
- Ein offenes und neutrales Ohr
- Im Tandem fährt es sich leichter
- Erstaunlich konservativ
- „Die Betriebe müssen einiges tun“
- Erfolgsfaktoren einer zukunftsfähigen Ausbildung
- Unternehmen ziehen die Notbremse
- Führungskräfte in der Pflicht
- Pferdestärken statt Euro
- Musik kennt keine Grenzen
- Ein Trommelwirbel für das Wirgefühl
- HR Governance auf Indisch
- Volle Kostenkontrolle statt Blindflug
- Die neue Familienpflegezeit