Compliance Officer (TÜV), Datenschutzbeauftragte DSB-TÜV, Master of Laws
Betriebliches Eingliederungsmanagement (BEM) und Datenschutz: Besondere Anforderungen beim Umgang mit Gesundheitsdaten
- Sensible Informationen nur mit ausdrücklicher Einwilligung verarbeiten
- Gesetzliche Schweigepflicht auch für Betriebsarzt
- Rechtssicheres BEM nur mit Sensibilisierung der Mitarbeitenden und datenschutzkonformem Umgang
Das Betriebliche Eingliederungsmanagement (BEM) ist ein wichtiges Instrument, um Beschäftigte bei ihrer Rückkehr in den Arbeitsprozess nach einer längeren Arbeitsunfähigkeit zu unterstützen.
Das BEM dient sowohl der Prävention erneuter Erkrankungen als auch der nachhaltigen Sicherung der Beschäftigungsfähigkeit. Gleichzeitig ist das BEM ein Verfahren, das in besonderem Maße datenschutzrechtliche Anforderungen erfüllen muss, da hierbei zwangsläufig Gesundheitsdaten verarbeitet werden. Diese zählen nach Art. 9 Abs. 1 DSGVO zu den besonders sensiblen personenbezogenen Daten. Das bedeutet, dass höhere Anforderungen sowohl an die Rechtsgrundlagen als auch an das Schutzniveau gestellt werden.
Rechtlicher Rahmen des BEM
Die Verpflichtung des Arbeitgebers, ein BEM anzubieten, ergibt sich aus § 167 Abs. 2 SGB IX. Arbeitgeber müssen allen Beschäftigten ein BEM anbieten, wenn diese innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig waren. Für die Beschäftigten ist die Teilnahme freiwillig, für den Arbeitgeber ist das Angebot hingegen verpflichtend. Ein unterlassenes BEM bzw. das unterlassene Angebot hierfür kann sich im Streitfall, etwa bei Kündigungen, zu Lasten des Arbeitgebers auswirken.
Datenschutzrechtlich ist das BEM besonders sensibel, weil regelmäßig Informationen verarbeitet werden, die Rückschlüsse auf den Gesundheitszustand zulassen. Damit handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Deren Verarbeitung ist nur unter engen Voraussetzungen zulässig, etwa auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person.
In der betrieblichen Praxis wird das BEM nahezu immer mit einer datenschutzrechtlichen Einwilligung verknüpft. Arbeitgeber holen diese Einwilligung ein, weil sie für die Verarbeitung der im BEM anfallenden Gesundheitsdaten eine klare und rechtssichere Grundlage benötigen. Die Einwilligung in die Verarbeitung der Daten muss freiwillig erfolgen, und jederzeit widerrufbar sein. Des Weiteren muss der Beschäftigte vorher vollumfänglich informiert worden sein. Er muss nachvollziehen können, welche Daten im Rahmen des BEM erhoben werden, zu welchem Zweck sie verarbeitet werden, wer Zugriff erhält und wie lange die Daten gespeichert bleiben.
Das Bundesarbeitsgericht hat jedoch mit Urteil vom 15.12.2022 (2 AZR 162/22) klargestellt, dass eine vorherige datenschutzrechtliche Einwilligung nicht Voraussetzung dafür ist, ein BEM anzubieten oder ein Erstgespräch zu führen. Nach der Entscheidung des BAG ist der Arbeitgeber nicht nur berechtigt, sondern auch verpflichtet, das BEM einzuleiten und ein Erstgespräch zu führen, selbst wenn noch keine datenschutzrechtliche Einwilligung vorliegt. Er darf das eigentliche Gesprächsangebot als solches also nicht mit dem Hinweis auf eine fehlende Einwilligung verweigern, da diese zu diesem frühen Zeitpunkt noch keine Rolle spielt.
Sobald der betreffende Arbeitnehmer das Angebot annimmt, werden im weiteren Verlauf jedoch in aller Regel Gesundheitsdaten erhoben und damit verarbeitet. Hierfür ist dann zwingend eine ausdrückliche, informierte und freiwillige Einwilligung der betroffenen Person erforderlich. Sollte der Arbeitnehmer eine Einwilligung weiterhin verweigern, sind weitere Schritte somit ggf. nicht mehr möglich.
Sparring Partner im BEM – wer darf was wissen?
Der Austausch im BEM ist streng begrenzt: Gesundheitsdaten dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person weitergegeben werden. Bspw. dürfen der Betriebsrat oder die Schwerbehindertenvertretung nur beteiligt werden, wenn die betroffene Person dem ausdrücklich zustimmt. Noch weiter geht der Schutz des Beschäftigten, wenn Personen beteiligt werden, die der gesetzlichen Schweigepflicht unterliegen. Der Betriebsarzt kann zwar am BEM teilnehmen, darf aber ohne Entbindung von der Schweigepflicht lediglich arbeitsplatzbezogene Empfehlungen abgeben und ohne Einwilligung des Betroffenen keine medizinischen Details, also Gesundheitsdaten, vom Arbeitgeber erhalten.
Besonders sensibel ist der Austausch mit der Personalabteilung. Ohne Einwilligung dürfen gesundheitsbezogene Informationen weder unternehmensintern noch nach extern weitergegeben werden. Dies greift weitreichend von möglichen funktionalen Einschränkungen über Belastungsgrenzen bis hin zu Prognosen zur zukünftigen Arbeitsfähigkeit. Auch wenn solche Informationen für personalstrategische Überlegungen, etwa im Zusammenhang mit einer Vertretungsplanung, interessant wären, ist ihre Weitergabe ohne Einwilligung der betroffenen Person also rechtswidrig.
Führungskräfte dürfen ebenfalls nur insoweit informiert werden, wie es zur Umsetzung konkreter Maßnahmen durch diese erforderlich ist, nicht jedoch über die gesundheitlichen Ursachen und Hintergründe. Vertraulichkeit, eine sparsame Dokumentation und die zeitnahe Löschung der Daten nach Abschluss des Verfahrens sind dabei immer grundlegende Anforderungen bei der Durchführung des BEM.
Fazit
Das BEM kann nur dann rechtskonform gestaltet sein, wenn Beschäftigte darauf vertrauen können, dass ihre Gesundheitsdaten geschützt sind. Gerade weil im Verfahren verschiedene Stellen eingebunden sein können, ist entscheidend, dass sensible Informationen nur mit ausdrücklicher Einwilligung verarbeitet werden. Ebenso ist die gesetzliche Schweigepflicht, die nicht nur für externe, sondern auch für den Betriebsarzt gilt, zu beachten. Ein konsequent datenschutzkonformer Umgang mit Gesundheitsdaten und eine entsprechende Sensibilisierung der eingebundenen Mitarbeitenden, hier insbesondere der Personalabteilung, schafft damit die Grundlage für ein BEM, das rechtssicher ist und seinen präventiven Zweck tatsächlich erfüllt.