Gesundheits-Apps im Job

Datenschutz für den "Patienten" Arbeitnehmer

Dr. Sebastian Kraska gründete das Institut für IT-Recht IITR, das auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und gemeinsam mit Regionalpartnern Unternehmen bundesweit bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt. Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden.
Apps für Gesundheit und Fitness sind hipp. Diesen Trend machen sich Provider von Gesundheitsportalen im Web zunutze. Sie bieten Unternehmen die Erfassung und Verarbeitung von Gesundheitsdaten ihrer Beschäftigten an. Ihr Verkaufsargument: Verbesserung der Gesundheit und Mitarbeiterzufriedenheit. Der Beitrag untersucht die geltenden datenschutzrechtlichen Rahmenbedingungen des Bundesdatenschutzgesetzes und zeigt die Grenzen dieser Angebote auf.

Dienstleister von Gesundheitsportalen und Gesundheits-Apps analysieren, wie ihre Nutzer sich bewegen und konsumieren und wie wohl sie sich fühlen . Bereits dieses Angebot wird von Datenschutzbehörden oder dem IITR Institut für IT-Recht (IITR) kritisch gesehen, weil es die Preisgabe sehr sensibler personenbezogener Daten voraussetzt. Neuerdings treten solche Dienstleister mit Web-basierenden Gesundheitsportalen an Arbeitgeber heran, um Consulting-Dienstleistungen zum betrieblichen Gesundheitsmanagement anzubieten.

Gesundheitsdaten des Beschäftigten sind für Unternehmen rechtlich weitgehend ein Tabuthema.
Gesundheitsdaten des Beschäftigten sind für Unternehmen rechtlich weitgehend ein Tabuthema.
Foto: everything possible - shutterstock.com

Im Rahmen der Internet-basierenden Datenverarbeitung durch den Provider wird hierzu viele personenbezogene, häufig auch gesundheitsbezogene und damit sensiblen Daten der Beschäftigten erhoben. Die Angestellten werden aufgefordert, alle Fragen im Gesundheitsportal wahrheitsgemäß zu beantworten. Auf Basis der erhobenen Daten erhalten sie zum Beispiel E-Mails oder Textnachrichten des Dienstleisters, die sie zu sportlichen Aktivitäten und zur Änderung ihres Konsumverhaltens animieren sollen. Noch extremer: Bei der Consulting-Dienstleistung wird dem Arbeitgeber zusätzlich auf Basis der von dem Beschäftigen im Gesundheitsportal eingegebenen Daten eine Beurteilung seiner psychischen Gefährdung angeboten.

Nutzung personenbezogener Daten im Job

Paragraf 32 Bundesdatenschutzgesetz (BDSG) regelt die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses. Er besagt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen. Voraussetzung dafür ist, dass dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Quiz zum Arbeitsplatz der Zukunft

Da Gesundheitsdaten regelmäßig unter die "sensiblen", also besonderen Arten personenbezogener Daten gemäß Paragraf 3 Abs. 9 BDSG fallen, gelten spezielle rechtliche Bestimmungen hinsichtlich der Zulässigkeit ihrer Erhebung und Verarbeitung im Rahmen des Beschäftigungsverhältnisses gemäß Paragraf 32 BDSG. So führt auch Simitis in seinem BDSG-Kommentar aus, dass nach dem Gesundheitszustand eines Bewerbers nur dann gefragt werden darf, wenn dies durch "spezifische, arbeitsplatzbedingte Anforderungen und Gefahren" gerechtfertigt ist.

Frage nach Gesundheitszustand ist tabu

Die Frage nach dem allgemeinen Gesundheitszustand oder nach Vorerkrankungen durch den Arbeitgeber ist somit grundsätzlich unzulässig und dem besonderen gesetzlichen Regelungskreis des Betriebsarztes überlassen. Hier stellt die ärztliche Schweigepflicht nach Paragraf 203 StGB sicher, dass die dem Arbeitgeber preiszugebenden Daten auf das erforderliche Minimum beschränkt bleiben. Beispielsweise dürfen keine Informationen über die Art einer Erkrankung weitergegeben werden.

Die Frage eines Arbeitgebers, ob ein Bewerber raucht, ist zum Beispiel ebenfalls nicht zulässig. Dies gilt in gleicher Weise für Fragen im Rahmen eines bestehenden Beschäftigungsverhältnisses.

Auch Daten über die Privatsphäre eines Beschäftigten dürfen nach Paragraf 32 Abs. 1 S. 1 BSDG grundsätzlich nicht erhoben werden. Das betrifft beispielsweise Hobbys, persönliche Interessen, sportliche Aktivitäten, Ernährungsgewohnheiten und Konsumverhalten.

Datennutzung für Zwecke des Unternehmens

Wenn eine Datenverarbeitung durch den Arbeitgeber nicht auf Paragraf 32 BDSG gestützt werden kann und auch keine sonstigen datenschutzrechtlichen, gesetzlichen Erlaubnistatbestände oder Datenerhebungsverpflichtungen ersichtlich sind, gilt: Die Erhebung der Daten durch den Arbeitgeber ist gemäß Paragraf 4 Abs. 1 BDSG datenschutzrechtlich unzulässig. Entsprechend kann der Gesundheitsdienstleister auch nicht als weisungsgebundener Verarbeiter der Auftragsdaten nach Paragraf 11 BDSG für den Arbeitgeber zur Erhebung der Daten eingesetzt werden.

Auch eine Einwilligung durch die Beschäftigten gegenüber dem Arbeitgeber scheidet für eine Erhebung der Daten durch den Arbeitgeber aus. Der Grund: Der Dienstleister verkörpert eine eigene, datenschutzrechtlich verantwortliche Stelle, welcher der Beschäftigte seine Daten freiwillig anvertraut. Der Arbeitgeber ist in diesem Verhältnis datenschutzrechtlich als völlig unbeteiligter Dritter gemäß Paragraf 3 Abs. 8 BDSG zu betrachten.

Informationspflicht gegenüber den Beschäftigten

Bei der Erhebung der Daten durch den Gesundheitsdienstleister hat dieser den Beschäftigten vollständig darüber zu informieren, wie und in welchem seine personenbezogenen Daten genutzt werden sollen. Für eine psychische Gefährdungsbeurteilung dürfen die Daten gemäß Paragraf 5 Abs. 2 Arbeitsschutzgesetz nicht verwendet und nicht weitergegeben werden. Sie ist aus den geschilderten Gründen auch nicht durch eine Einwilligung zu rechtfertigen.

Auch eine Weitergabe der Daten an den Arbeitgeber zu Zwecken des Arbeitsschutzes, nachdem der Dienstleister sie anonymisiert hat, scheidet aus. Weil sich diese Daten auf einen Arbeitsplatz oder auf eine konkrete Tätigkeit beziehen, lassen sie Rückschlüsse auf eine Person oder eine Gruppe zu.

Anmeldung mit privater E-Mail-Adresse

Infolge dieser privaten Veranlassung stellt sich zudem die Frage: Ist es zulässig, dass sich die Beschäftigten bei einem Web-basierenden Gesundheitsportal mit ihrer geschäftlichen E-Mail-Adresse registrieren und E-Mails mit Hinweisen zu ihrem Gesundheitszustand erhalten? Dies vor allem, weil viele Unternehmen die private Nutzung der geschäftlichen E-Mail-Adresse aus rechtlichen Gründen verbieten und auf die E-Mails der Beschäftigten während deren Abwesenheit gegebenenfalls zugreifen können. In diesem Falle würde die Nutzung der geschäftlichen E-Mail-Adresse für private Zwecke der Gesundheitsverbesserung mit den betriebsinternen Vorgaben kollidieren.

Fazit

Unternehmen sollten die Gesundheit ihrer Beschäftigten fördern, indem sie sie zur Betätigung in einem Sportverein ermuntern und sie dabei unterstützen. Diese Art der sportlichen Ertüchtigung sorgt zusätzlich für ein gemeinschaftliches Erlebnis, das bei auf Mails beruhenden, individuellen Aufforderungen kaum gegeben sein dürfte.

Nach unserer Rechtsauffassung ist die Nutzung eines Web-gestützten Gesundheitsportals durch den Arbeitgeber datenschutzrechtlich unzulässig. Wird dennoch auf das Gesundheitsportal eines externen Dienstleisters hingewiesen, so sind folgende Rahmenbedingungen zu beachten:

1. Das Gesundheitsportal des externen Anbieters muss rechtlich und technisch vollständig vom Arbeitgeber getrennt sein.

2. Der Arbeitgeber informiert die Beschäftigten, dass es sich bei dem Angebot des Web-basierenden Gesundheitsportals um eine freiwillige Leistung handelt, die vollständig der Privatsphäre der Beschäftigten zuzuordnen ist.

3. Die Beschäftigten müssen frei entscheiden können, ob sie das Gesundheitsportal für ihre privaten Zwecke nutzen möchten oder nicht.

4. Die Beschäftigten melden sich ausschließlich mit ihren privaten Daten (bei Verbot der privaten Nutzung des betrieblichen E-Mail-Postfaches auch nur mit der privaten E-Mail-Adresse) bei dem Gesundheitsportal an, wenn per E-Mail gesundheitsbezogene Daten (Bewegungstipps, Ernährungsempfehlungen etc.) an den Betroffenen übermittelt werden.

5. Bei der Nutzung von Apps des Gesundheitsportals auf betrieblichen Endgeräten muss sichergestellt sein, dass der Arbeitgeber keine Informationen aus dem Gesundheitsportal erhält.

6. Die im Gesundheitsportal des Dienstleisters generierten Daten dürfen nicht für Zwecke des Arbeitgebers verwendet werden und auch nicht an diesen weitergegeben werden. (pg)

Das Institut für IT-Recht berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt. Auf www.iitr.de finden Sie regelmäßig neue Beiträge zu Fragen des Datenschutzrechts.