Wie Sie DS-GVO auch mit personenbezogenen Daten der besonderen Kategorien sicher umsetzen
In vielen Fällen verarbeiten Arbeitgeber personenbezogene Daten Ihrer Beschäftigten. Das ist meist notwendig, damit beispielsweise ein Arbeitsverhältnis überhaupt zu Stande kommen kann.
Zum Thema Personalakte haben wir Ihnen bereits einen Blog mit den entsprechenden Informationen zusammengestellt, möchten Ihnen aber in diesem Blog noch einmal an ein paar konkreten Beispielen zeigen, worauf bei der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) im Bezug auf Mitarbeiterdaten zu achten ist.
Rechtsgrundlagen im Datenschutz
Um personenbezogene Daten verarbeiten zu können, bedarf es auch gegenüber Mitarbeitern immer eine Rechtsgrundlage. Ganz besonders wichtig ist dies bei personenbezogenen Daten besonderer Kategorien, zu denen Gesundheitsdaten gehören.
Diese dürfen nur in Ausnahmefällen verarbeitet werden, die gesetzlich geregelt werden. Dazu gehören u.a.:
- eine Einwilligung der beschäftigten Person liegt vor
- Verarbeitung ist erforderlich, damit Rechtliche Grundlagen erfüllt werden können
- Verarbeitung ist erforderlich, um Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin oder die Beurteilung der Arbeitsfähigkeit zu beurteilen
Die Verarbeitung der Daten darf dabei aber nur durch Fachpersonal wie z.B. Betriebsärzte und deren Fachpersonal erfolgen.
Darüber hinaus darf nach Bundesdatenschutzgesetz (BDSG) eine Verarbeitung von Gesundheitsdaten nur dann erfolgen, wenn sie dem Zweck des Beschäftigungsverhältnisses dienen. Außerdem muss die Datenverarbeitung für die Ausübung der rechtlichen Vorgaben notwendig sein und eine Interessenabwägung erfolgen. Die Einwilligung des Betroffenen, also in diesem Fall des Beschäftigten, muss ausdrücklich für die Verarbeitung der Gesundheitsdaten vorliegen.
Auch Bewerber gelten als Beschäftigte
Wer einen potentiellen Mitarbeiter zu einem Vorstellungsgespräch einlädt, der muss dessen Daten behandeln, wie die eines Beschäftigten. Gerade, wenn es beim Vorstellungsgespräch um personenbezogene Daten der besonderen Kategorien geht, muss dabei vorsichtig vorgegangen werden. Die gesetzlichen Vorgaben müssen auch hier erfüllt werden.
Beachten Sie hierbei auch immer die Betroffenenrechte für Bewerber.
Betriebsarzt und Datenschutz
Wenn der Betriebsarzt angestellt ist, ist das Unternehmen selbst als Verantwortlicher im Datenschutz anzusehen. Ist der Betriebsarzt extern, sollte die Situation des Datenschutzes immer durch einen Fachmann abgeklärt werden. Der (externe) Datenschutzbeauftragte kann allerdings aufgrund der Schweigepflicht nur eingeschränkt tätig werden, dabei darf er zum Beispiel keinen Blick in Personalakten oder ähnliches werfen.
Betriebsärzte müssen dabei darauf achten, den Datenschutz und weitere gesetzliche Vorgaben wie zum Beispiel die Schweigepflicht entsprechend einzuhalten.
Personalabteilung und Datenschutz
In der Personalabteilung werden diverse personenbezogene Daten von Mitarbeitern und Bewerbern verarbeitet. Dabei müssen vor allem Daten wie Gesundheitsdaten besonders geschützt werden. Worauf Personalabteilungen im Umgang mit Personalakten im Datenschutz besonders achten müssen, haben wir Ihnen bereits in einem Blog zusammengefasst.
Bei Gesundheitsdaten muss der Datenschutz besondere Ansprüche erfüllen. Datensicherheit und Zugriffsrechte müssen dabei besonders beachtet, Aufbewahrungen egal ob digital oder analog, extra abgesichert werden.
Geht es zum Beispiel um die Vorsorgeuntersuchungen eines Mitarbeiters, so ist die Personalabteilung beispielsweise darüber informiert, wann die Termine stattfinden und ob eine Eignung mit oder auch ohne Einschränkungen des Mitarbeiters möglich ist. Diagnosen dürfen dabei nicht an die Personalabteilung weitergegeben werden.
Auch Angaben zu Krankmeldungen (nur über Zeitraum ohne Diagnose) gelten als Gesundheitsdaten und dürfen nicht an Unbefugte weitergegeben werden. Angaben zu Betriebsunfällen oder Reha-Maßnahmen, Schwerbehinderungen und Eingliederungsmanagements müssen ebenfalls entsprechend abgesichert werden.
Ebenso ist hierbei der notwendige Austausch mit Behörden oder Dritten zu beurteilen und entsprechend dem Datenschutz zu bewerten.
Betriebliches Gesundheitsmanagement (BGM) und Datenschutz
Alles was im Zusammenhang mit dem BMG erfasst oder beurteilt wird, muss dem Datenschutz unterliegen. Dabei müssen bestimmte Auswertungen zum Beispiel anonymisiert werden. Berechtigtes Interesse ist bei Gesundheitsdaten nicht als Rechtsgrundlage zu sehen und auch eine Einwilligung ist in der Regel eher kritisch zu bewerten. Ausnahmeregelungen wird man in der Regel nicht erreichen können.
Rechtsgrundlagen und Zweckbindung stellen in der Verarbeitung von personenbezogenen Daten eine besonders wichtige Rolle dar und sollten, soweit möglich durch einen (externen) Datenschutzberater beurteilt werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.