Gem. § 167 Abs. 2 SGB IX müssen Arbeitgeber:innen ihren erkrankten Beschäftigten einen Prozess anbieten, der sie schrittweise wieder an das Arbeitsleben heranführt. Voraussetzung ist, dass der/die betroffene Arbeitnehmer:in für einen Zeitraum von über 6 Wochen pro Jahr (auch wiederholt) arbeitsunfähig war. Das betriebliche (Wieder)Eingliederungsmanagement (BEM) ist dabei als ein ergebnisoffener, gemeinsamer Suchprozess zu gestalten, dessen Zweck es ist, Ursachen von Arbeitsunfähigkeit nachzugehen und nach Möglichkeiten zu suchen, diese zukünftig zu vermeiden oder zu verringern. Aufgrund längerer Krankheit abwesende Beschäftigte sollen behutsam und stufenweise wieder in Arbeitsprozesse eingebunden werden, sodass Arbeitsplätze auch für erkrankte Arbeitnehmer:innen langfristig erhalten bleiben können.

Arbeitgeber:innen sollten sich hier bewusst machen, dass es bei der Durchführung von BEM-Verfahren zu umfangreichen Datenverarbeitungen kommen kann. Neben Personenstammdaten (wie Vorname, Nachname, Namenszusätze, Geschlecht, Geburtsdatum) und Sozialdaten werden typischerweise auch bestimmte Gesundheits- bzw. Krankheitsdaten erhoben und verarbeitet. Insbesondere folgende Datenarten sind regelmäßig Gegenstand des BEM:

• Fehlzeiten
• Gründe für Abwesenheiten
• Medizinische Diagnosen, Befunde und Berichte
• Therapieempfehlungen
• Einschätzung und Dokumentation des Gesundheitszustands
• Gesprächsprotokolle
• Dokumentation von Fortschritten, Integrationsversuchen und ergriffener Maßnahmen (z. B. Änderungen der Arbeitszeit oder des Aufgabenspektrums)

Bei der Verarbeitung dieser besondere Datenkategorien gibt es aus datenschutzrechtlicher Sicht einiges zu beachten.

1. Eintragung in das Verzeichnis der Verarbeitungstätigkeiten

Im Rahmen des BEM werden eine Vielzahl personenbezogener (Gesundheits-)Daten verarbeitet, die in einer gesonderten BEM-Akte aufbewahrt werden. Neben der Führung der BEM-Akte, werden Berichte zum Gesundheitszustand angefertigt und ggf. an in den Prozess eingebundene Personen übermittelt, Maßnahmen und Verläufe werden dokumentiert und gemeinsame Zielsetzungen festgehalten. Diese Handlungen können alle als zu einem einheitlichen Zweck gehörende Verarbeitungen zusammengefasst und als eine Verarbeitungstätigkeit im Sinne des Art. 30 in das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden. Denn schlussendlich dient das VVT dazu, einen Überblick über die stattfindenden Datenverarbeitungen zu schaffen, sodass die Verarbeitung derart sensibler Gesundheitsdaten hier nicht fehlen sollte.

2. Rechtsgrundlage

Wird die Verarbeitungstätigkeit im VVT dokumentiert stellt sich rasch die Frage nach der richtigen Rechtsgrundlage. Aus § 167 Abs. 2 S. 1 SGB IX geht hervor, dass bereits die Durchführung des BEM-Verfahrens nur mit Zustimmung der betroffenen Person stattfinden kann. Gleiches gilt für die Datenverarbeitung, insb. aber die Datenübermittlung an in den Prozess einbezogene Dritte (z. B. Arbeitsmediziner:in, Rehabilitationsträger etc.).

Um jedoch seiner rechtlichen Verpflichtung aus § 167 Abs. 2 SGB nachzukommen und der/dem betroffenen/m Arbeitnehmer:in die Durchführung des BEM-Verfahrens überhaupt anbieten zu können, muss der/die Arbeitgeber:in die für ein BEM-Angebot erforderlichen Fehlzeiten (6 Wochen/Jahr) auswerten. Dies geschieht noch vor der Erteilung einer Einwilligungserklärung. Rechtsgrundlage für diesen Verarbeitungsschritt ist somit Art. 9 Abs. 2 lit. b) DSGVO i. V. m. Art. 6 Abs. 1 lit. c)DSGVO i. V. m. § 167 Abs. 2 SGB IX.

3. Bereitstellung von Pflichtinformationen

Gem. § 167 Abs. 2 S. 4 SGB IX ist der/die betroffene Arbeitnehmer:in vor Beginn des BEM-Verfahrens auf Art und Umfang der erhobenen und verwendeten Daten hinzuweisen. Mit Blick auf die Sensibilität der verarbeiteten Daten sollten Arbeitgeber:innen schon aus Transparenzgründen dabei die inhaltlichen Anforderungen des Art. 13 DSGVO erfüllen und die betroffenen Personen über sämtliche Hintergründe der Datenverarbeitung informieren. Neben der Speicherdauer, möglichen Empfängern und dem Zweck der Datenverarbeitung sollten betroffene Personen u. a. auch über ihre (datenschutzrechtlichen) Rechte belehrt und darauf hingewiesen werden, inwiefern eine Bereitstellung der Daten für sie verpflichtend sind. Entscheidet sich der/die Arbeit:nehmer:in gegen die Teilnahme oder Mitwirkung am BEM und somit gegen die Bereitstellung der Daten, kann sich dieser Umstand ggf. negativ im Rahmen eines krankheitsbedingten Kündigungsverfahrens auswirken.

4. Technische und organisatorische Maßnahmen

Gesundheitsdaten gehören zu den besonderen Datenkategorien gem. Art. 9 Abs. 1 DSGVO. Bei ihrer Verarbeitung müssen Sicherheitsvorkehrungen und -maßnahmen getroffen werden, die dem mit der Verarbeitung einhergehenden Risiko für die Rechte und Freiheiten der betroffenen Personen angemessen ist.

Hierzu gehört, dass die das BEM betreffenden Dokumente in einer gesonderten BEM-Akte aufbewahrt werden, die kein Teil der Personalakte und von dieser räumlich getrennt unter Verschluss aufbewahrt wird. Der Zugriff auf diese Akte und sonstige mit dem BEM zusammenhängenden Daten sollte auf den absolut notwendigen Personenkreis beschränkt sein. Bei digitaler Speicherung sollte je nach Umständen des Einzelfalls und mit Blick auf die Sensibilität der Daten der Einsatz von Verschlüsselungstechnologie erwogen werden.

5. Fazit

Bei der Implementierung und Durchführung eines BEM sind nicht nur die Vorgaben der Sozialgesetzbücher zu beachten, auch der Datenschutz spielt eine wichtige Rolle. Arbeitgeber:innen sollten sich hier an einen kompetenten Ansprechpartner wenden.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.