Wer länger, bedingt durch Krankheit abwesend war, hat den Anspruch auf die Durchführung eines betrieblichen Eingliederungsmanagements (BEM). Dadurch soll u.a. der Wiedereinstieg erleichtert und krankheitsbedingte Bedürfnisse an den Arbeitsplatz sowie das Arbeitsumfeld angepasst werden. Der folgende Beitrag soll ein Überblick über die datenschutzrechtlichen Anforderungen geben.
Der Inhalt im Überblick
Rechtsgrundlage bestimmen
Der wichtigste Grundsatz im Rahmen eines BEM-Verfahrens ist, die freiwillige Teilnahme eines Beschäftigten an diesem Verfahren, denn das Gesetz spricht in § 167 Abs. 2 S. 1 SGB IX davon, dass das Verfahren „mit Zustimmung und Beteiligung der betroffenen Person“ erfolgen muss.
Da es sich beim BEM auch um eine Datenverarbeitung handelt, ist es erforderlich, dass eine Ermächtigungsgrundlage gegeben ist. In Frage kommen:
- die Betriebsvereinbarung oder
- die schriftliche Einwilligung der betroffenen Person.
Betriebsvereinbarung
Soll die Betriebsvereinbarung als Ermächtigungsgrundlage fungieren, so muss diese die Grundsätze der DSGVO einhalten; insbesondere Art. 5 DSGVO zur Verarbeitung personenbezogener Daten muss hierbei beachtet werden. Allerdings kann die rechtliche Aussagekraft einer solchen Vereinbarung in Bezug auf die Anforderungen der DSGVO in der Praxis nur schwer nachgewiesen werden.
Einwilligung der betroffenen Person
Als gesetzliche Ermächtigungsgrundlage kommt die Einwilligung nach Art. 6 Abs. 1 lit. a) iVm. § 26 Abs. 2 BDSG in Frage.
Eine Einwilligungserklärung muss immer freiwillig sein. Das bedeutet in der Praxis, dass der Arbeitnehmer genau darüber aufgeklärt wird, welche Daten für das BEM und wie diese verarbeitet werden.
Der Zweckbindungsgrundsatz besagt außerdem, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen, Art. 5 Abs. 1 lit. b DSGVO. Gemäß diesem Grundsatz müssen die Zwecke der Datenerhebung im Rahmen eines BEM-Verfahrens genauestens angegeben werden.
Die BEM-Akte
Wenn der betroffene Mitarbeiter in die Durchführung des BEM-Prozesses eingewilligt hat, muss eine von der Personalakte getrennte BEM-Akte angelegt werden.
Grund dafür ist, dass während des BEM-Prozesses sogenannte besonders schutzwürdige (Gesundheits-)Daten erhoben werden. Grundsätzlich ist gemäß Art. 9 Abs. 1 DSGVO die „Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ untersagt.
Allerdings werden unter Art. 9 Abs. 2 DSGVO besondere Umstände definiert, nach denen eine Ausnahme zulässig ist, zu welchen auch die Durchführung eines BEM-Verfahrens gehört.
Wegen der Aufbewahrung und Nutzung dieser sensiblen und besonders schutzwürdigen Daten, gelten für die BEM-Akte hohe Anforderungen. Im Wesentlichen sind folgende Punkte zu beachten:
- Gesundheitsdaten aus der BEM-Akte dürfen nicht in die Personalakte übernommen werden
- BEM-Akte ist räumlich und funktional von der Personalakte getrennt aufzubewahren.
- Daten, die als Nachweis über das ordnungsgemäße BEM-Verfahren gelten, dürfen in die Personalakte übernommen werden: Zeitpunkt des BEM-Angebots sowie dessen Ergebnis; Angabe von konkreten Maßnahmen, die angeboten und umgesetzt wurden.
- Zugriff auf BEM-Akte ausschließlich für fest definierte und limitierte Personenzahl
- BEM-Akte wird in separat zu verschließendem Schrank aufbewahrt, der sich im Sicherheitsbereich eines BEM-Verantwortlichen befindet
- Zugriff auf BEM-Akte wird mit Datum und Unterschrift protokolliert
Kündigung
Die erhobenen Daten des BEM-Verfahrens dürfen nur für die in der Einwilligungserklärung festgelegten Zwecke genutzt werden.
Die erhobenen Gesundheitsdaten dürfen nicht dafür genutzt werden, um eine anschließende Kündigung vorzubereiten. Es darf in Kündigungsbegründung lediglich angeben werden, dass ein BEM-Prozess erfolgt ist, ohne jedoch auf die genauen Inhalte der BEM-Akte zuzugreifen.
Für die Wirksamkeit einer Kündigung ist das BEM keine formelle Voraussetzung. Allerdings muss ein solches vor einer krankheitsbedingten Kündigung erfolgen, weil ein BEM den Verhältnismäßigkeitsgrundsatz konkretisiert. Während der Durchführung eines BEM soll geprüft werden, ob mildere Mittel als eine Kündigung des Arbeitsverhältnisses bestehen.
Aufbewahrungsfrist der BEM-Akte
Die Aufbewahrungsfrist im Sinne der DSGVO entfällt nach dem Zeitpunkt, an dem der Zweck der Datenspeicherung endet. Ist ein BEM-Verfahren beendet, entfällt auch der Zweck für die BEM-Akte.
In der Praxis hat sich jedoch die folgende Handhabung bewährt:
- BEM-Verfahren wurde angenommen und durchgeführt:
Die Akte wird ab der Beendigung des Verfahrens für drei Jahre aufbewahrt. - BEM-Verfahren wird angeboten und abgelehnt bzw. die Einwilligung widerrufen:
Die BEM-Akte wird umgehend gelöscht. In der Personalakte sind lediglich die notwendigen Nachweise über das ordnungsgemäße Anbieten des BEM-Verfahrens gespeichert.
Datenschutzhinweise nicht vergessen
Wie bereits in einem vorherigen Beitrag erläutert ist es wichtig, dass der Arbeitnehmer stets darüber informiert wird, was mit seinen Daten passiert und wie diese verarbeitet werden. Es ist darauf zu achten, dass Datenschutzhinweise vollumfänglich den BEM-Prozess korrekt wiederspiegeln. Gerade für den Arbeitgeber können sich gravierende Folgen ergeben, wenn die Datenschutzhinweise nicht vollständig oder falsch sind. Weil im BEM-Verfahren, äußerst sensible Daten, wie Gesundheitsdaten verarbeitet werden, sind die schützenswerten Interessen des Arbeitnehmers mithilfe der Einwilligung und deren Freiwilligkeit umzusetzen.
Komplexer Prozess, aber notwendig
Der Kündigung als „Ultima Ratio“ soll ein BEM-Prozess vorgehen. Um Risiken zu vermeiden ist es wichtig, dass die DSGVO-Anforderungen ernst genommen und dementsprechend umgesetzt werden. Neben der Einwilligung zur Teilnahme am BEM, ist auch die Einwilligung in die Datenverarbeitung für den BEM-Prozess einzuholen. Weiterhin ist der Arbeitnehmer über die Verarbeitung der Daten zu informieren durch vollständige Datenschutzhinweise.