BEM nach der DSGVO – was gibt es Neues?

Fachbeitrag

Im Rahmen der Umstellung von BDSG-alt auf DSGVO müssen nahezu alle Prozesse und hierzu bestehende Dokumente auf das neue Datenschutzrecht angepasst werden. Das betrifft auch das betriebliche Eingliederungsmanagement (BEM). Eine Überarbeitung der BEM-Unterlagen bietet sich ebenfalls an, um bisherige Fehlerquellen zu beseitigen.

BEM und Datenschutz

War ein Mitarbeiter in einem Kalenderjahr länger als 6 Wochen krankheitsbedingt abwesend, so soll ihm über das BEM-Verfahren der Wiedereinstieg in das Arbeitsleben ermöglicht werden. Notwendiger Bestandteil des BEM-Verfahrens sind damit Informationen über die Gesundheit des Mitarbeiters. Damit geht das BEM-Verfahren immer mit der Verarbeitung von Gesundheitsdaten einher. Die BEM-Daten gehören damit zu den sensibelsten Daten, die in einem Unternehmen vorhanden sind. Eine datenschutzrechtliche Prüfung des Verfahrens ist damit essentiell. Über Praxistipps zum BEM haben wir bereits berichtet.

Auswirkungen des Datenschutzrechts auf das BEM

Das BEM ist in erster Linie eine Vorgabe aus dem Arbeits- und Sozialrecht. Eine fehlerhafte Durchführung hat für den Arbeitgeber daher vordergründig arbeitsrechtliche Konsequenzen. Wegen der Schnittstelle zum Datenschutz ist die Beachtung der datenschutzrechtlichen Vorgaben aber entscheidend für die Frage, ob der Arbeitgeber das BEM ordnungsgemäß angeboten hat. Damit kann die Missachtung des Datenschutzes bei der Gestaltung des BEM die Erfolgschancen einer Kündigung erheblich mindern. Hinzu kommen die allgemeinen Risiken aus dem Datenschutzrecht. Eine fehlerhafte Datenverarbeitung kann für den Arbeitgeber bußgeldbewährt sein.

Rechtsgrundlagen nach DSGVO

Eine erste Änderung zum BEM folgt nicht aus der DSGVO, sondern aus dem SGB. War das BEM früher in § 84 Abs. 2 SGB IX geregelt, so ist es nun 167 Abs. 2 SGB IX. Nach dem BDSG hat man die Durchführung des BEM überwiegend auf die Einwilligung des Mitarbeiters gestützt. Mit der DSGVO stellt sich nun die Frage, ob eine Einwilligung überhaupt weiter erforderlich ist. Grundsätzlich kommen mehrere Rechtsgrundlagen in Betracht:

  • Die Betriebsvereinbarung
  • Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung
  • Einwilligung

Betriebsvereinbarung

Auch weiterhin kann eine Betriebsvereinbarung eine taugliche Rechtsgrundlage sein. Betriebsvereinbarung müssen sich allerdings am Schutzniveau der DSGVO, insbesondere an Art. 5 DSGVO, messen können. Grundsätzlich können daher auch Betriebsvereinbarungen, die vor der DSGVO erlassen sind, fortgelten. Voraussetzung wäre aber dann, dass die BV den Datenschutz ausreichend berücksichtigt.

Gesetzliche Verpflichtung

Eine Datenverarbeitung ist datenschutzrechtlich zulässig, wenn diese für die Erfüllung einer gesetzlichen Verpflichtung erforderlich ist, die der Verantwortliche unterliegt (Art. 6 Abs.1 lit c, Abs. 2 S. 1 lit. b DSGVO, Art. 9 Abs. 2 DSGVO). Der Gesetzgeber hat das BEM in § 167 Abs. 2 SGB IX ausdrücklich geregelt und der Arbeitgeber ist damit zur Durchführung verpflichtet. Demnach dürfen unter Berufung auf Art. 6 Abs. 1 lit. c DSGVO aber nur die Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind. Welche Datenverarbeitung für das BEM tatsächlich erforderlich ist, ist einzelfallbezogen zu entscheiden. Die Abgrenzungskriterien sind sehr unscharf. Grundsätzlich muss sich das Kriterium der Erforderlichkeit am Zweck der Datenverarbeitung messen. Es darf nicht zum Anlass genommen werden, überschießende personenbezogene Daten zu verarbeiten.

Einwilligung

Ferner können Datenverarbeitungen auch weiter auf eine Einwilligung gestützt werden. Im Beschäftigungsverhältnis ist hier ausdrücklich die Schriftform vorgesehen (§ 26 Abs. 2 BDSG).

Fazit

Für die Durchführung des BEM kommen also mehrere Rechtsgrundlagen in Betracht. Betriebsvereinbarungen eigenen sich nur dann, wenn sie das Datenschutzrecht im ausreichenden Maße berücksichtigen. Nach Art. 6 Abs. 1 lit c DSGVO sind jedenfalls Datenverarbeitungen zulässig, die für die Durchführung des BEM tatsächlich erforderlich sind. Dies ist zumindest bei der Auswertung der Fehlzeiten und der Verarbeitung der Kontaktdaten zur Einleitung des BEM der Fall. Einzelfallabhängig ist, welche Daten im Verlauf des BEM weiterhin zwingend erforderlich sind. Um hier Abgrenzungsschwierigkeiten zu vermeiden ist es sinnvoll, auch weiterhin eine datenschutzrechtliche Einwilligung einzuholen. Eine Einwilligung steigert auch die Transparenz für den Mitarbeiter, da ihm durch das Unterschriftenerfordernis nochmals die Tragweite seiner Entscheidung nahegelegt wird.

Häufige Fehler beim BEM

Trotz jahrelanger Praxis und beständiger Rechtsprechung zeigen sich bei BEM häufig ähnliche Fehler:

  1. Datenschutzrechtliche Einwilligung und Einwilligung nach dem SGB werden miteinander vermischt: Im Einladungsschreiben werden Datenschutz und Vorgaben aus dem SGB miteinander vermischt. Eine saubere Trennung zwischen datenschutzrechtlicher Einwilligung in die Datenverarbeitung beim BEM-Gespräch, eine (zusätzliche) datenschutzrechtliche Einwilligung in die Datenübermittlung an Dritte, und der schlichten Zustimmung zur Teilnahme am BEM, ist daher angebracht.
  2. Die Mitarbeiter werden nicht hinreichend konkret über die Verarbeitung von Gesundheitsdaten informiert: In Einwilligungserklärung findet sich häufig nur ein schlichter Hinweis auf die Verarbeitung von Gesundheitsdaten. Dies alleine ist aber nicht ausreichend. Nach stetiger Rechtsprechung müssen die Gesundheitsdaten konkret benannt werden:

„Daneben ist ein Hinweis zur Datenerhebung und Datenverwendung erforderlich, der klarstellt, dass nur solche Daten erhoben werden, deren Kenntnis erforderlich ist, um ein zielführendes, der Gesundung und Gesunderhaltung des Betroffenen dienendes BEM durchführen zu können. Dem Arbeitnehmer muss mitgeteilt werden, welche Krankheitsdaten als sensible Daten im Sinne von § 3 Abs. 9 BDSG erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden. Nur bei entsprechender Unterrichtung kann vom Versuch der ordnungsgemäßen Durchführung eines BEM die Rede sein (LAG Schleswig-Holstein, Urteil vom 22.09.2015 – 1 Sa 48 a/15)“

  1. Der Mitarbeiter kann nicht frei über die Teilnahme von Betriebsrat und Schwerbehindertenvertretung entscheiden: Ein schlichter Hinweis auf die Beteiligung des Betriebsrates und der Schwerbehindertenvertretung ist nicht ausreichend. Der Mitarbeiter muss aktiv auswählen können, ob er mit der Teilnahme einverstanden ist (so auch BVerwG, Beschluss vom 23.06.2010 – 6 P 8.09). Beispiele dazu finden Sie auch bei der Datenschutzbeauftragten Niedersachen.

Mit der DSGVO ändert sich …

… nicht so viel. Sie ist aber ein guter Anlass, die eigenen Prozesse zu hinterfragen und auf Fehlerquellen zu überprüfen. Die Informationspflichten und geänderten Rechtsgrundlagen machen eine Anpassung der Unterlagen so oder so erforderlich. Löschfristen und ein ausreichend Berechtigungskonzept können dabei mitgeprüft werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.