Verarbeitung sensibler Gesundheitsdaten im Arbeitsverhältnis vor dem Hintergrund der DSGVO
Die Erhebung und Nutzung von Gesundheitsdaten im Arbeitsumfeld zählt zu den datenschutzrechtlich sensibelsten Vorgängen. Arbeitsvertragsparteien sehen sich zunehmend komplexen Fragestellungen ausgesetzt, insbesondere seitdem die Datenschutz-Grundverordnung (DSGVO) europaweit einheitliche Vorgaben geschaffen hat. Die aktuelle Rechtsprechung, insbesondere das Urteil des Bundesarbeitsgerichts (BAG, Beschluss vom 31.01.2023 – 8 ARZ 25/20), konkretisiert die Anforderungen an die datenschutzkonforme Verarbeitung medizinischer Informationen im Beschäftigtenverhältnis.
Im Folgenden werden die prozessualen und materiellen Anforderungen beleuchtet, die bei der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber zu beachten sind. Dabei wird besonderes Augenmerk auf den aktuellen Entscheidungsstand und die praktischen Implikationen für Unternehmen gelegt.
Gesundheitsdaten als besondere Kategorie personenbezogener Daten
Definition und rechtlicher Schutzbereich
Gesundheitsdaten sind gemäß Art. 9 Abs. 1 DSGVO besonders geschützt, da sie Rückschlüsse auf den körperlichen oder psychischen Zustand zulassen und einen hohen Grad an Sensibilität besitzen. Ein unzulässiger Umgang kann erhebliche Risiken für die betroffene Person nach sich ziehen, weshalb der Gesetzgeber und die Rechtsprechung strenge Schutzmechanismen vorsehen.
Zulässigkeit der Verarbeitung im Arbeitsverhältnis
Die Verarbeitung dieser Informationen bedarf eines besonderen Rechtfertigungsgrundes. Erlaubt ist dies nur, wenn eine spezielle Rechtsgrundlage erfüllt ist – beispielsweise Einwilligung der betroffenen Person, eine gesetzliche Verpflichtung oder eine Notwendigkeit im Zusammenhang mit der Ausübung von arbeitsrechtlichen Rechten und Pflichten, vgl. Art. 9 Abs. 2 DSGVO i.V.m. § 26 Abs. 3 BDSG.
BAG-Entscheidung: Maßstäbe für die Datenverarbeitung im arbeitsgerichtlichen Verfahren
Anlass der Entscheidung
Dem Beschluss des Bundesarbeitsgerichts lag die Frage zugrunde, ob und unter welchen Voraussetzungen das Gericht die Offenlegung oder Übermittlung von Gesundheitsdaten der Parteien anordnen darf. Hierdurch sollten unter anderem die Abwägung zwischen Aufklärungspflicht des Gerichts und dem Bedürfnis nach Vertraulichkeit weiter präzisiert werden.
Anforderungen an die Weitergabe von Gesundheitsdaten
Das BAG stellt klar, dass eine gerichtliche Anordnung zur Offenlegung personenbezogener Gesundheitsinformationen nur dann in Betracht kommt, wenn dies zwingend zur rechtlichen Klärung erforderlich ist. Zudem ist sicherzustellen, dass die Offenlegung dem Grundsatz der Datenminimierung entspricht und nicht mehr Informationen preisgegeben werden, als für die Entscheidungsfindung notwendig sind. Wesentlich ist auch die sichere Aufbewahrung und Beschränkung der Verarbeitung auf die unmittelbar an dem Verfahren beteiligten Personen.
Verhältnis von Datenschutz und prozessualer Wahrheitsermittlung
Eine wesentliche Erkenntnis der Entscheidung besteht darin, dass Datenschutzinteressen der Partei grundsätzlich vorrangig sind, sofern nicht zwingende prozessuale Gründe eine Offenlegung rechtfertigen. Die betroffenen Personen müssen zudem grundsätzlich Gelegenheit erhalten, sich zum Umfang und Zweck der geplanten Datenverarbeitung zu äußern, um ihr Recht auf informationelle Selbstbestimmung wirksam wahrnehmen zu können.
Praktische Auswirkungen für Unternehmen und Beschäftigte
Dokumentations- und Informationspflichten des Arbeitgebers
Unternehmen sind gehalten, die Erhebung, Speicherung und Verwendung sensibler Mitarbeiterdaten detailliert zu dokumentieren und transparent zu gestalten. Dies umfasst die Pflicht, Beschäftigte über den Umgang mit Gesundheitsdaten klar und verständlich zu informieren sowie deren Zustimmung in gesetzlich erforderlichen Fällen einzuholen.
Grenzen der Einwilligung und Verhältnismäßigkeit
Besondere Aufmerksamkeit ist der Frage zu widmen, inwieweit die Einwilligung der Angestellten tatsächlich freiwillig erfolgen kann. Das Machtgefälle im Arbeitsverhältnis kann die Wirksamkeit einer Einwilligung beeinträchtigen. Unternehmen müssen daher stets prüfen, ob andere, taugliche Rechtsgrundlagen für die Datenverarbeitung bestehen.
Löschung und Schutzmaßnahmen
Eine weitere Folge der aktuellen Rechtsprechung ist die Verpflichtung zum Schutz der erhobenen Daten durch geeignete technische und organisatorische Maßnahmen. Die Pflicht zur unverzüglichen Löschung entfällt nur, sofern dem zwingende Aufbewahrungspflichten entgegenstehen. Auch die Begrenzung des Zugriffs auf einen engen Personenkreis ist sicherzustellen.
Rechtliche Einordnung und Ausblick
Die Entscheidung des Bundesarbeitsgerichts verdeutlicht, dass Gerichte die besonderen Anforderungen der DSGVO auch im Rahmen arbeitsgerichtlicher Verfahren streng beachten und etwaige Anordnungen zur Offenlegung sensibler Daten nur unter Einhaltung hoher Hürden erlassen. Unternehmen und Beschäftigte sollten die sich daraus ergebenden prozessualen Rechte und Pflichten kennen.
Soweit arbeitsvertragliche oder gerichtliche Sachverhalte mit Fragen des Datenschutzes, insbesondere rund um Gesundheitsdaten, berührt sind, empfiehlt es sich, die aktuellen rechtlichen Entwicklungen aufmerksam zu beobachten. Die genaue Abwägung zwischen Datenschutz und berechtigten Interessen spielt gerade im Spannungsfeld zwischen Arbeitgeber- und Arbeitnehmerinteressen eine zentrale Rolle.
Sollten vertiefte Fragestellungen im Zusammenhang mit der Verarbeitung sensibler Daten im Beschäftigungsverhältnis auftreten, stehen die Rechtsanwälte von MTR Legal Rechtsanwälte bundesweit und international als Ansprechpartner zur Verfügung.
