Dienstleister von Gesundheitsportalen und Gesundheits-Apps analysieren das Bewegungsverhalten, das Konsumverhalten und das subjektive Wohlbefinden ihrer Nutzer. Bereits dieses Angebot wird von Datenschutzbehörden kritisch gesehen, weil es die Preisgabe sehr sensibler personenbezogener Daten darstellt. Neuerdings treten solche Dienstleister mit webbasierten Gesundheitsportalen an Arbeitgeber heran, um Consulting-Dienstleistungen zum betrieblichen Gesundheits-Management anzubieten.
Im Rahmen der webbasierten Datenverarbeitung durch den Dienstleister wird hierzu eine Vielzahl von personenbezogenen (häufig auch gesundheitsbezogenen und damit “sensiblen”) Daten der Beschäftigten erhoben. Die Beschäftigten werden aufgefordert, alle Fragen im Gesundheitsportal wahrheitsgemäß zu beantworten. Auf Basis der erhobenen Daten erhalten die Beschäftigen zum Beispiel E-Mails oder Textnachrichten des Dienstleisters, die sie zu sportlichen Aktivitäten und zur Änderung ihres Konsumverhaltens animieren sollen.
Bei der Consulting-Dienstleistung wird dem Arbeitsgeber zusätzlich die Erstellung einer psychischen Gefährdungsbeurteilung auf Basis der von dem Beschäftigen im webbasierten Gesundheitsportal eingegebenen Daten angeboten.
Da Gesundheitsdaten regelmäßig unter die “sensiblen” (sprich besonderen Arten personenbezogener) Daten gemäß § 3 Abs. 9 BDSG fallen, gelten besondere Bestimmungen hinsichtlich der Zulässigkeit ihrer Erhebung und Verarbeitung im Rahmen des Beschäftigungsverhältnisses gemäß § 32 BDSG. So führt auch Simitis in seinem BDSG-Kommentar aus, dass Fragen nach dem Gesundheitszustand eines Bewerbers durch “spezifische, arbeitsplatzbedingte Anforderungen und Gefahren” gerechtfertigt sein müssen.
Die Frage nach dem allgemeinen Gesundheitszustand oder nach Vorerkrankungen durch den Arbeitgeber ist somit grundsätzlich unzulässig und dem besonderen gesetzlichen Regelungskreis des Betriebsarztes überlassen. Über diesen ist insbesondere in Anbetracht der ärztlichen Schweigepflicht nach § 203 StGB sichergestellt, dass die dem Arbeitgeber preiszugebenden Daten auf das erforderliche Minimum beschränkt bleiben und beispielsweise keine Informationen über die Art einer Erkrankung weitergegeben werden.
Auch ist beispielsweise die generelle Frage des Arbeitgebers ob ein Bewerber raucht, nicht zulässig. Dies gilt in gleicher Weise für Fragen im Rahmen eines bestehenden Beschäftigungsverhältnisses.
Auch Daten über die Privatsphäre eines Beschäftigten dürfen ausweislich von § 32 Abs. 1 S. 1 BSDG grundsätzlich nicht erhoben werden. Als der Privatsphäre eines Beschäftigten zurechenbare Daten sind beispielsweise Daten über Hobbys, persönlichen Interessen, sportliche Aktivitäten, Ernährungsgewohnheiten und Konsumverhalten oder ähnliches anzusehen.
Soweit eine Datenverarbeitung durch den Arbeitgeber nicht auf § 32 BDSG gestützt werden kann (und auch keine sonstigen datenschutzrechtlichen gesetzlichen Erlaubnistatbestände oder Datenerhebungsverpflichtungen ersichtlich sind) ist ausweislich von § 4 Abs. 1 BDSG die (für den Beschäftigten verpflichtende) Erhebung der Daten durch den Arbeitgeber datenschutzrechtlich unzulässig. Entsprechend kann der Gesundheitsdienstleister auch nicht als weisungsgebundener Auftragsdatenverarbeitungsnehmer nach § 11 BDSG für den Arbeitgeber zur Erhebung der Daten eingesetzt werden.
Auch eine Einwilligung durch die Beschäftigten gegenüber dem Arbeitgeber scheidet für eine Erhebung der Daten durch den Arbeitgeber aus, da diese zum einen im Beschäftigungsverhältnis vorliegend aufgrund der Abhängigkeitssituation nicht freiwillig abgegeben werden kann und ferner angesichts des vom Arbeitgebers verfolgten Datenerhebungszweckes (Maßnahmen bezüglich Mitarbeiterbeurteilung/-auswahl in Abhängigkeit von Gesundheitszustand und Konsumgewohnheiten) auch im Hinblick auf die AGG-Vorgaben rechtlich unzulässig wäre.
Damit bildet der Dritt-Dienstleister eine eigene datenschutzrechtlich verantwortliche Stelle, welcher der Beschäftigte seine Daten auf freiwilliger Basis anvertraut. Der Arbeitgeber ist in diesem Verhältnis datenschutzrechtlich als völlig unbeteiligter Dritter gemäß § 3 Abs. 8 BDSG zu qualifizieren.
Bei der Erhebung der Daten durch den Gesundheitsdienstleister hat dieser den Beschäftigten vollständig über Art und Umfang der geplanten Nutzung ihrer personenbezogenen Daten zu informieren.
Eine Nutzung der Daten für eine psychische Gefährdungsbeurteilung gemäß § 5 Abs. 2 Arbeitsschutzgesetz für Zwecke des Arbeitgebers und eine damit einhergehende Datenweitergabe ist unzulässig und aus den geschilderten Gründen auch nicht durch eine Einwilligung zu rechtfertigen.
Auch eine (versuchte) Anonymisierung oder Pseudonymisierung der Daten durch den Gesundheitsdienstleister vor Weitergabe an den Arbeitgeber zu Zwecken des Arbeitsschutzes scheidet aus, da sich diese Daten gerade auf einen Arbeitsplatz oder auf eine konkrete Tätigkeit beziehen und somit die Möglichkeit der Rückführung auf eine natürliche Person oder eine Gruppe von natürlichen Personen eröffnen.
In Folge dieser privaten Veranlassung stellt sich zudem die Frage, ob es zulässig ist, dass sich die Beschäftigten bei einem webbasierten Gesundheitsportal mit ihrer geschäftlichen E-Mail-Adresse registrieren und dann E-Mails vom webbasierten Gesundheitsportal mit Hinweisen zu ihrem Gesundheitszustand erhalten.
Dies vor allem vor dem Hintergrund, dass viele Unternehmen die private Nutzung der geschäftlichen E-Mail-Adresse aus rechtlichen Gründen (vgl. vertiefend die Diskussion um die Reichweite des Fernmeldegeheimnisses bei erlaubter Privatnutzung) verboten haben und gleichzeitig auf die E-Mails der Beschäftigten während deren Abwesenheit gegebenenfalls Zugriff nehmen können. Hier würde die Nutzung der geschäftlichen E-Mail-Adresse für private Zwecke der Gesundheitsverbesserung mit den betriebsinternen Vorgaben kollidieren.
Die zu bevorzugende Methode eines Unternehmens, die Gesundheit seiner Beschäftigten zu fördern sollte weiterhin darin bestehen, diese zu einer Betätigung in einem Sportverein zu ermuntern und sie dafür womöglich zu unterstützen. Größere Firmen unterhalten dafür eigene Betriebssportvereine.
Zudem ermöglicht diese Art der sportlichen Betätigung zusätzlich das wichtige gemeinschaftliche Erlebnis, welches bei einer webbasierten individuellen Aufforderung zu kurz kommen dürfte.
Nach unserer Rechtsauffassung ist die Nutzung eines webbasierten Gesundheitsportals durch den Arbeitgeber datenschutzrechtlich unzulässig.
Wird dennoch auf das Gesundheitsportal eines externen Dienstleisters hingewiesen, so sind folgende Rahmenbedingungen zu beachten:
Ralf Zlama ist externer Datenschutzbeauftragter des Institut für IT-Recht (iitr), einem Beratungsunternehmen für datenschutzrechtlicher Anforderungen.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…