Zum Inhalt springen Zur Navigation springen
BEM nach der DSGVO – was gibt es Neues?

BEM nach der DSGVO – was gibt es Neues?

Im Rahmen der Umstellung von BDSG-alt auf DSGVO müssen nahezu alle Prozesse und hierzu bestehende Dokumente auf das neue Datenschutzrecht angepasst werden. Das betrifft auch das betriebliche Eingliederungsmanagement (BEM). Eine Überarbeitung der BEM-Unterlagen bietet sich ebenfalls an, um bisherige Fehlerquellen zu beseitigen.

BEM und Datenschutz

War ein Mitarbeiter in einem Kalenderjahr länger als 6 Wochen krankheitsbedingt abwesend, so soll ihm über das BEM-Verfahren der Wiedereinstieg in das Arbeitsleben ermöglicht werden. Notwendiger Bestandteil des BEM-Verfahrens sind damit Informationen über die Gesundheit des Mitarbeiters. Damit geht das BEM-Verfahren immer mit der Verarbeitung von Gesundheitsdaten einher. Die BEM-Daten gehören damit zu den sensibelsten Daten, die in einem Unternehmen vorhanden sind. Eine datenschutzrechtliche Prüfung des Verfahrens ist damit essentiell. Über Praxistipps zum BEM haben wir bereits berichtet.

Auswirkungen des Datenschutzrechts auf das BEM

Das BEM ist in erster Linie eine Vorgabe aus dem Arbeits- und Sozialrecht. Eine fehlerhafte Durchführung hat für den Arbeitgeber daher vordergründig arbeitsrechtliche Konsequenzen. Wegen der Schnittstelle zum Datenschutz ist die Beachtung der datenschutzrechtlichen Vorgaben aber entscheidend für die Frage, ob der Arbeitgeber das BEM ordnungsgemäß angeboten hat. Damit kann die Missachtung des Datenschutzes bei der Gestaltung des BEM die Erfolgschancen einer Kündigung erheblich mindern. Hinzu kommen die allgemeinen Risiken aus dem Datenschutzrecht. Eine fehlerhafte Datenverarbeitung kann für den Arbeitgeber bußgeldbewährt sein.

Rechtsgrundlagen nach DSGVO

Eine erste Änderung zum BEM folgt nicht aus der DSGVO, sondern aus dem SGB. War das BEM früher in § 84 Abs. 2 SGB IX geregelt, so ist es nun 167 Abs. 2 SGB IX. Nach dem BDSG hat man die Durchführung des BEM überwiegend auf die Einwilligung des Mitarbeiters gestützt. Mit der DSGVO stellt sich nun die Frage, ob eine Einwilligung überhaupt weiter erforderlich ist. Grundsätzlich kommen mehrere Rechtsgrundlagen in Betracht:

  • Die Betriebsvereinbarung
  • Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung
  • Einwilligung

Betriebsvereinbarung

Auch weiterhin kann eine Betriebsvereinbarung eine taugliche Rechtsgrundlage sein. Betriebsvereinbarung müssen sich allerdings am Schutzniveau der DSGVO, insbesondere an Art. 5 DSGVO, messen können. Grundsätzlich können daher auch Betriebsvereinbarungen, die vor der DSGVO erlassen sind, fortgelten. Voraussetzung wäre aber dann, dass die BV den Datenschutz ausreichend berücksichtigt.

Gesetzliche Verpflichtung

Eine Datenverarbeitung ist datenschutzrechtlich zulässig, wenn diese für die Erfüllung einer gesetzlichen Verpflichtung erforderlich ist, die der Verantwortliche unterliegt (Art. 6 Abs.1 lit c, Abs. 2 S. 1 lit. b DSGVO, Art. 9 Abs. 2 DSGVO). Der Gesetzgeber hat das BEM in § 167 Abs. 2 SGB IX ausdrücklich geregelt und der Arbeitgeber ist damit zur Durchführung verpflichtet. Demnach dürfen unter Berufung auf Art. 6 Abs. 1 lit. c DSGVO aber nur die Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind. Welche Datenverarbeitung für das BEM tatsächlich erforderlich ist, ist einzelfallbezogen zu entscheiden. Die Abgrenzungskriterien sind sehr unscharf. Grundsätzlich muss sich das Kriterium der Erforderlichkeit am Zweck der Datenverarbeitung messen. Es darf nicht zum Anlass genommen werden, überschießende personenbezogene Daten zu verarbeiten.

Einwilligung

Ferner können Datenverarbeitungen auch weiter auf eine Einwilligung gestützt werden. Im Beschäftigungsverhältnis ist hier ausdrücklich die Schriftform vorgesehen (§ 26 Abs. 2 BDSG).

Fazit

Für die Durchführung des BEM kommen also mehrere Rechtsgrundlagen in Betracht. Betriebsvereinbarungen eigenen sich nur dann, wenn sie das Datenschutzrecht im ausreichenden Maße berücksichtigen. Nach Art. 6 Abs. 1 lit c DSGVO sind jedenfalls Datenverarbeitungen zulässig, die für die Durchführung des BEM tatsächlich erforderlich sind. Dies ist zumindest bei der Auswertung der Fehlzeiten und der Verarbeitung der Kontaktdaten zur Einleitung des BEM der Fall. Einzelfallabhängig ist, welche Daten im Verlauf des BEM weiterhin zwingend erforderlich sind. Um hier Abgrenzungsschwierigkeiten zu vermeiden ist es sinnvoll, auch weiterhin eine datenschutzrechtliche Einwilligung einzuholen. Eine Einwilligung steigert auch die Transparenz für den Mitarbeiter, da ihm durch das Unterschriftenerfordernis nochmals die Tragweite seiner Entscheidung nahegelegt wird.

Häufige Fehler beim BEM

Trotz jahrelanger Praxis und beständiger Rechtsprechung zeigen sich bei BEM häufig ähnliche Fehler:

  1. Datenschutzrechtliche Einwilligung und Einwilligung nach dem SGB werden miteinander vermischt: Im Einladungsschreiben werden Datenschutz und Vorgaben aus dem SGB miteinander vermischt. Eine saubere Trennung zwischen datenschutzrechtlicher Einwilligung in die Datenverarbeitung beim BEM-Gespräch, eine (zusätzliche) datenschutzrechtliche Einwilligung in die Datenübermittlung an Dritte, und der schlichten Zustimmung zur Teilnahme am BEM, ist daher angebracht.
  2. Die Mitarbeiter werden nicht hinreichend konkret über die Verarbeitung von Gesundheitsdaten informiert: In Einwilligungserklärung findet sich häufig nur ein schlichter Hinweis auf die Verarbeitung von Gesundheitsdaten. Dies alleine ist aber nicht ausreichend. Nach stetiger Rechtsprechung müssen die Gesundheitsdaten konkret benannt werden:

„Daneben ist ein Hinweis zur Datenerhebung und Datenverwendung erforderlich, der klarstellt, dass nur solche Daten erhoben werden, deren Kenntnis erforderlich ist, um ein zielführendes, der Gesundung und Gesunderhaltung des Betroffenen dienendes BEM durchführen zu können. Dem Arbeitnehmer muss mitgeteilt werden, welche Krankheitsdaten als sensible Daten im Sinne von § 3 Abs. 9 BDSG erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden. Nur bei entsprechender Unterrichtung kann vom Versuch der ordnungsgemäßen Durchführung eines BEM die Rede sein (LAG Schleswig-Holstein, Urteil vom 22.09.2015 – 1 Sa 48 a/15)“

  1. Der Mitarbeiter kann nicht frei über die Teilnahme von Betriebsrat und Schwerbehindertenvertretung entscheiden: Ein schlichter Hinweis auf die Beteiligung des Betriebsrates und der Schwerbehindertenvertretung ist nicht ausreichend. Der Mitarbeiter muss aktiv auswählen können, ob er mit der Teilnahme einverstanden ist (so auch BVerwG, Beschluss vom 23.06.2010 – 6 P 8.09). Beispiele dazu finden Sie auch bei der Datenschutzbeauftragten Niedersachen.

Mit der DSGVO ändert sich …

… nicht so viel. Sie ist aber ein guter Anlass, die eigenen Prozesse zu hinterfragen und auf Fehlerquellen zu überprüfen. Die Informationspflichten und geänderten Rechtsgrundlagen machen eine Anpassung der Unterlagen so oder so erforderlich. Löschfristen und ein ausreichend Berechtigungskonzept können dabei mitgeprüft werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sehr schön und verständlich, Für das Buch „BEM Wiedereingliederung in Klein und Mittelbetrieben“ ist eine Neuauflage geplant. Ich würde gerne das über den Datenschutz übernehmen mit Nennung der Quelle. ist das OK

  • Hat denn der Mitarbeiter gegenüber anderen auch eine Schweigepflicht? Oder darf er anderen Mitarbeitern über sein noch laufendes BEM berichten?

    • Aus datenschutzrechtlicher Sicht kann der betroffene Mitarbeiter frei entscheiden, wen er wann und in welchem Umfang über das laufende BEM informieren möchte. Da es sich dabei um „seine“ personenbezogenen Daten handelt, braucht es dafür keine gesetzliche Erlaubnis. Das Datenschutzrecht schützt den Mitarbeiter vor einer ungewollten Preisgabe seiner personenbezogenen Daten durch Dritte. Der am BEM-Verfahren teilnehmende Vorgesetzte, der Betriebsrat oder Betriebsarzt dürfen personenbezogene Informationen aus dem BEM daher nicht, bzw. nur nach ausdrücklicher und freiwilliger Einwilligung, an Dritte weitergeben.

  • Was geschieht in dem Fall, in dem der BEM-Beauftragte seitens des Arbeitsgebers aufgrund längerer Krankheit ausfällt? Dürfen die Informationen des BEM’s dann an die Geschäftsleitung (Arbeitgeber) weitergegeben werden?

    • Die im Rahmen des BEM-Verfahrens verarbeiteten Daten dürfen nur für die dafür festgelegten Zwecke durch das BEM-Team bzw. einen BEM-Beauftragten verarbeitet werden. Sollte die Weitergabe der Daten zwingend erforderlich sein, weil die für das BEM-Verfahren zuständige Person langfristig ausfällt, müssen diese Grundsätze weiterhin gewahrt bleiben. So könnte bspw. eine Vertretungsperson eingesetzt werden um die Datennutzung ausschließlich für das BEM-Verfahren sicherzustellen. Eine Verarbeitung dieser Daten unmittelbar durch die Geschäftsleitung birgt die große Gefahr, dass diese sensiblen Gesundheitsdaten zu anderen Zwecken verwendet werden könnten, was strikt zu unterlassen ist.

      Eine Weitergabe der BEM-Daten bzw. Veränderung des BEM-Verfahrens muss jedenfalls immer durch eine informierte Einwilligung des betroffenen Arbeitnehmers unter Berücksichtigung der genannten Voraussetzungen genehmigt werden.

  • Wie lange werden die BEM-Daten nach Abschluss der Maßnahme aufbewahrt? Wie sind die Löschfristen dafür?

    • Für BEM-Daten gibt es keinen starren gesetzlichen Fristen, diese sind vielmehr bei der Erstellung eines Löschkonzepten zu ermitteln. Dabei muss sich die Frage gestellt werden, wie lange ein Rückgriff auf die BEM-Akte noch legitim und erforderlich ist. Das könnte z.B. der Fall sein, wenn das BEM-Verfahren wieder aufgegriffen wird, oder wenn der Nachweis darüber erbracht werden muss, dass das BEM überhaupt ordnungsgemäß durchgeführt wurde. In der Literatur werden Zeiträume zwischen „sofort nach Abschluss“ und fünf Jahren diskutiert. Im Ergebnis dürfte es auf eine plausible Begründung für die Aufbewahrungszeit ankommen.

  • Ein Punkt fehlt noch – Muss man denn für das betriebliche Eingliederungsmanagement eine Datenschutzfolgenabschätzung vornehmen? Vielen Dank im Voraus und weiter so!

    • Es sind gemäß Art. 32 stets angemessene Schutzmaßnahmen zu treffen, wobei Art und Umfang wegen der hohen Schutzbedürftigkeit der Daten beim BEM sehr hoch sind.
      Im Falle einer umfangreichen Verarbeitung von Gesundheitsdaten muss auch regelmäßig eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35 Abs. 3 lit. b DSGVO).

  • Ich lese immer wieder, dass beim betrieblichen Eingliederungsmanagement ‚medizinisch-diagnostische Daten‘ verarbeitet werden. Was genau bedeutet das denn? Vielen Dank schon mal.

    • Habe gerade die Einladung zum BEM erhalten. Mich verwirrt der Begriff auch. Was bedeutet das denn? Vielen Dank

    • Eine Definition für diesen Begriff ist mir nicht bekannt. Letzten Endes kann man darunter aber wohl alle (personenbezogenen) Daten fassen, die im Rahmen von körperlichen Untersuchungen und der folgenden Diagnose anfallen. Das werden im Regelfall dann besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO in Form von Gesundheitsdaten sein. Für diese gilt ein höherer gesetzlicher Schutz als für „gewöhnliche“ personenbezogene Daten.

  • Hallo, Ich soll das Amt eine BEM Beauftragte übernehmen. Da das Amt ja ehrenamtlich ist habe ich eine Frage zur Haftbarkeit als BEM Beauftragter. Bin ich sobald ich das Amt ausübe persönlich Haftbar (z.B. mit pers. Eigentum etc) bei Problemen oder gibt es eine Gesetzesvorlage das dem Arbeitgeber erlaubt die Haftung zu übernehmen da er mich ja für das Amt ernannt hat?

    • Verantwortlicher in einem Unternehmen ist in der Regel die juristische Person und nicht der einzelne Mitarbeiter. Der Verantwortliche hat dafür zu sorgen, dass die Pflichten der DSGVO umgesetzt und eingehalten werden. Ihm gegenüber können die Aufsichtsbehörde und Betroffene Rechte geltend machen.
      Die Frage der persönlichen Haftung eines BEM-Beauftragten ist hingegen datenschutzrechtlich nicht relevant, sodass wir diesbezüglich keine Aussage treffen können.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.