Datenschutz bei Gesundheitsdaten der Beschäftigten

Dienstleister von Gesundheitsportalen und Gesundheits-Apps analysieren das Bewegungsverhalten, das Konsumverhalten und das subjektive Wohlbefinden ihrer Nutzer. Bereits dieses Angebot wird von Datenschutzbehörden kritisch gesehen, weil es die Preisgabe sehr sensibler personenbezogener Daten darstellt. Neuerdings treten solche Dienstleister mit webbasierten Gesundheitsportalen an Arbeitgeber heran, um Consulting-Dienstleistungen zum betrieblichen Gesundheits-Management anzubieten.

Im Rahmen der webbasierten Datenverarbeitung durch den Dienstleister wird hierzu eine Vielzahl von personenbezogenen (häufig auch gesundheitsbezogenen und damit “sensiblen”) Daten der Beschäftigten erhoben. Die Beschäftigten werden aufgefordert, alle Fragen im Gesundheitsportal wahrheitsgemäß zu beantworten. Auf Basis der erhobenen Daten erhalten die Beschäftigen zum Beispiel E-Mails oder Textnachrichten des Dienstleisters, die sie zu sportlichen Aktivitäten und zur Änderung ihres Konsumverhaltens animieren sollen.

Bei der Consulting-Dienstleistung wird dem Arbeitsgeber zusätzlich die Erstellung einer psychischen Gefährdungsbeurteilung auf Basis der von dem Beschäftigen im webbasierten Gesundheitsportal eingegebenen Daten angeboten.

Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses

• Das Bundesdatenschutzgesetz (BDSG) regelt die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses. So schreibt § 32 Abs. 1 S. 1 BDSG vor, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Da Gesundheitsdaten regelmäßig unter die “sensiblen” (sprich besonderen Arten personenbezogener) Daten gemäß § 3 Abs. 9 BDSG fallen, gelten besondere Bestimmungen hinsichtlich der Zulässigkeit ihrer Erhebung und Verarbeitung im Rahmen des Beschäftigungsverhältnisses gemäß § 32 BDSG. So führt auch Simitis in seinem BDSG-Kommentar aus, dass Fragen nach dem Gesundheitszustand eines Bewerbers durch “spezifische, arbeitsplatzbedingte Anforderungen und Gefahren” gerechtfertigt sein müssen.

Die Frage nach dem allgemeinen Gesundheitszustand oder nach Vorerkrankungen durch den Arbeitgeber ist somit grundsätzlich unzulässig und dem besonderen gesetzlichen Regelungskreis des Betriebsarztes überlassen. Über diesen ist insbesondere in Anbetracht der ärztlichen Schweigepflicht nach § 203 StGB sichergestellt, dass die dem Arbeitgeber preiszugebenden Daten auf das erforderliche Minimum beschränkt bleiben und beispielsweise keine Informationen über die Art einer Erkrankung weitergegeben werden.

Auch ist beispielsweise die generelle Frage des Arbeitgebers ob ein Bewerber raucht, nicht zulässig. Dies gilt in gleicher Weise für Fragen im Rahmen eines bestehenden Beschäftigungsverhältnisses.

Auch Daten über die Privatsphäre eines Beschäftigten dürfen ausweislich von § 32 Abs. 1 S. 1 BSDG grundsätzlich nicht erhoben werden. Als der Privatsphäre eines Beschäftigten zurechenbare Daten sind beispielsweise Daten über Hobbys, persönlichen Interessen, sportliche Aktivitäten, Ernährungsgewohnheiten und Konsumverhalten oder ähnliches anzusehen.

Vertragsverhältnis der Beteiligten und Datennutzung für Zwecke des Unternehmens

Soweit eine Datenverarbeitung durch den Arbeitgeber nicht auf § 32 BDSG gestützt werden kann (und auch keine sonstigen datenschutzrechtlichen gesetzlichen Erlaubnistatbestände oder Datenerhebungsverpflichtungen ersichtlich sind) ist ausweislich von § 4 Abs. 1 BDSG die (für den Beschäftigten verpflichtende) Erhebung der Daten durch den Arbeitgeber datenschutzrechtlich unzulässig. Entsprechend kann der Gesundheitsdienstleister auch nicht als weisungsgebundener Auftragsdatenverarbeitungsnehmer nach § 11 BDSG für den Arbeitgeber zur Erhebung der Daten eingesetzt werden.

Auch eine Einwilligung durch die Beschäftigten gegenüber dem Arbeitgeber scheidet für eine Erhebung der Daten durch den Arbeitgeber aus, da diese zum einen im Beschäftigungsverhältnis vorliegend aufgrund der Abhängigkeitssituation nicht freiwillig abgegeben werden kann und ferner angesichts des vom Arbeitgebers verfolgten Datenerhebungszweckes (Maßnahmen bezüglich Mitarbeiterbeurteilung/-auswahl in Abhängigkeit von Gesundheitszustand und Konsumgewohnheiten) auch im Hinblick auf die AGG-Vorgaben rechtlich unzulässig wäre.

Damit bildet der Dritt-Dienstleister eine eigene datenschutzrechtlich verantwortliche Stelle, welcher der Beschäftigte seine Daten auf freiwilliger Basis anvertraut. Der Arbeitgeber ist in diesem Verhältnis datenschutzrechtlich als völlig unbeteiligter Dritter gemäß § 3 Abs. 8 BDSG zu qualifizieren.

Informationspflicht gegenüber den Beschäftigten

Bei der Erhebung der Daten durch den Gesundheitsdienstleister hat dieser den Beschäftigten vollständig über Art und Umfang der geplanten Nutzung ihrer personenbezogenen Daten zu informieren.

Eine Nutzung der Daten für eine psychische Gefährdungsbeurteilung gemäß § 5 Abs. 2 Arbeitsschutzgesetz für Zwecke des Arbeitgebers und eine damit einhergehende Datenweitergabe ist unzulässig und aus den geschilderten Gründen auch nicht durch eine Einwilligung zu rechtfertigen.

Auch eine (versuchte) Anonymisierung oder Pseudonymisierung der Daten durch den Gesundheitsdienstleister vor Weitergabe an den Arbeitgeber zu Zwecken des Arbeitsschutzes scheidet aus, da sich diese Daten gerade auf einen Arbeitsplatz oder auf eine konkrete Tätigkeit beziehen und somit die Möglichkeit der Rückführung auf eine natürliche Person oder eine Gruppe von natürlichen Personen eröffnen.

Anmeldung mit privater E-Mail-Adresse

In Folge dieser privaten Veranlassung stellt sich zudem die Frage, ob es zulässig ist, dass sich die Beschäftigten bei einem webbasierten Gesundheitsportal mit ihrer geschäftlichen E-Mail-Adresse registrieren und dann E-Mails vom webbasierten Gesundheitsportal mit Hinweisen zu ihrem Gesundheitszustand erhalten.

Dies vor allem vor dem Hintergrund, dass viele Unternehmen die private Nutzung der geschäftlichen E-Mail-Adresse aus rechtlichen Gründen (vgl. vertiefend die Diskussion um die Reichweite des Fernmeldegeheimnisses bei erlaubter Privatnutzung) verboten haben und gleichzeitig auf die E-Mails der Beschäftigten während deren Abwesenheit gegebenenfalls Zugriff nehmen können. Hier würde die Nutzung der geschäftlichen E-Mail-Adresse für private Zwecke der Gesundheitsverbesserung mit den betriebsinternen Vorgaben kollidieren.

Zusammenfassung

Die zu bevorzugende Methode eines Unternehmens, die Gesundheit seiner Beschäftigten zu fördern sollte weiterhin darin bestehen, diese zu einer Betätigung in einem Sportverein zu ermuntern und sie dafür womöglich zu unterstützen. Größere Firmen unterhalten dafür eigene Betriebssportvereine.

Zudem ermöglicht diese Art der sportlichen Betätigung zusätzlich das wichtige gemeinschaftliche Erlebnis, welches bei einer webbasierten individuellen Aufforderung zu kurz kommen dürfte.

Nach unserer Rechtsauffassung ist die Nutzung eines webbasierten Gesundheitsportals durch den Arbeitgeber datenschutzrechtlich unzulässig.

Wird dennoch auf das Gesundheitsportal eines externen Dienstleisters hingewiesen, so sind folgende Rahmenbedingungen zu beachten:

1. Das Gesundheitsportal des externen Anbieters muss rechtlich und technisch vollständig vom Arbeitgeber getrennt sein.
2. Der Arbeitgeber informiert die Beschäftigten, dass es sich bei dem Angebot des webbasierten Gesundheitsportals um eine freiwillige Leistung handelt, die vollständig der Privatsphäre der Beschäftigten zuzuordnen ist.
3. Die Beschäftigten müssen frei entscheiden können, ob Sie das webbasierte Gesundheitsportal für ihre privaten Zwecke nutzen möchten oder nicht.
4. Die Beschäftigten melden sich ausschließlich mit ihren privaten Daten (bei Verbot der privaten Nutzung des betrieblichen E-Mail-Postfaches auch nur mit der privaten E-Mail-Adresse) an dem webbasierten Gesundheitsportal an, wenn per E-Mail gesundheitsbezogene Daten (Bewegungstipps, Ernährungsempfehlungen etc.) an den Betroffenen übermittelt werden.
5. Bei der Nutzung von Apps des webbasierten Gesundheitsportals insb. auf betrieblichen Endgeräten muss sichergestellt sein, dass der Arbeitgeber keine Informationen aus dem Gesundheitsportal erhält.
6. Die im webbasierten Gesundheitsportal des Dienstleisters generierten Daten dürfen nicht für Zwecke des Arbeitgebers verwendet werden und auch nicht an diesen weitergegeben werden.

Ralf Zlama ist externer Datenschutzbeauftragter des Institut für IT-Recht (iitr), einem Beratungsunternehmen für datenschutzrechtlicher Anforderungen.