Gut gemeint, aber tückisch: So schnell kann betriebliches Gesundheitsmanagement zur Datenschutzfalle werden

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Mitarbeiter beim Betriebssport im Rahmen von Gesundheitsmanagement, welche für Sensibilität im Bezug auf Datenschutz stehen

Seit der Corona-Pandemie gehört das Arbeiten von Zuhause schon fast zum Alltag. Jedoch kann es für manche Menschen auch belastend sein, isoliert und ohne persönlichen Kontakt zu anderen Menschen, zu arbeiten. Um daraus resultierenden psychischen Krankheiten wie etwa Depressionen zu begegnen, ist das betriebliche Gesundheitsmanagement (BGM) in Unternehmen sehr wichtig. Darunter fallen nicht nur die Obstschale im Büro oder die Rückenübungen für Zuhause, sondern auch digitale Angebote wie Gesundheitsportale mit Informationen zum Thema Ernährung, Gesundheit und Wellness, Fitnesskurse und sogenannte Wearables inklusive dazugehöriger Apps.


Betriebliches Gesundheitsmanagement und Digital Health – Was ist was?

Das betriebliche Gesundheitsmanagement beginnt mit der Förderung der sportlichen Tätigkeit, beispielsweise durch das Bereitstellen von Räumen, Plätzen oder Geräten, bis hin zur Gründung von Betriebssportvereinen bzw. -gruppen zum Austragen von Wettkämpfen und der gemeinsamen Teilnahme an Turnieren. Ziel dabei ist die Förderung der Gesundheit, des Betriebsklimas und der Leistungsfähigkeit. Ob Dart, Tennis oder Fußball, den Sportarten selbst sind dabei keine Grenzen gesetzt und jede Art ist möglich. In größeren Unternehmen werden die Aktivitäten häufig von einem Gesundheitsmanager organisiert.

Die sehr weite Definition von Digital Health umfasst sämtliche Aspekte der Gesundheit unter Verwendung digitaler Technologien, also dem Einsatz von Hard- und Software. Konkret bedeutet das die Behandlung, Förderung und Vorsorge der Gesundheit mithilfe von Apps, Wearables oder Gesundheitsportalen. Den Mitarbeitern wird es so ermöglicht, ortsungebunden jederzeit an Angeboten des Arbeitgebers wie etwa Online-Fitnesskursen teilzunehmen und etwas für die Gesundheit zu tun. Vor allem für Unternehmen mit Arbeitsplätzen auf der ganzen Welt sind diese Sportangebote eine gute Möglichkeit, um für den Bewegungsausgleich ihrer Belegschaft und Prävention für klassische Berufskrankheiten zu sorgen.


Was hat das mit Datenschutz zu tun?

Eine ganze Menge sogar. Überall fallen personenbezogene Daten an. Bei sportlichen Aktivitäten in Unternehmen werden Ansprechpartner und Teilnehmer genannt, Turnierlisten beim Wettbewerbssport erstellt und deren Ergebnisse über das schwarze Brett oder im Internet veröffentlicht, teilweise sogar mit Bildern.

Auch sind die Teilnehmer unter gewissen Voraussetzungen bei Unfällen über die gesetzliche Unfallversicherung mitversichert. Sollte es zu einem Unfall kommen, werden auch hier personenbezogene Daten an eine dritte Partei übermittelt.

Da es sich hierbei um die Verarbeitung von personenbezogenen Daten handelt, die nicht zur Erfüllung des Arbeitsvertrags notwendig sind, kommt hier regelmäßig als einzige Rechtsgrundlage die Einwilligung der jeweiligen Mitarbeiter in Betracht. Hierbei muss der Beschäftigte entsprechend vorher ausführlich über die Verarbeitung aufgeklärt werden.


Personenbezogene Daten aus Digital Health Angeboten

Eine Aufklärung über die Verarbeitung ist insbesondere bei Angeboten im Bereich Digital Health als aktueller Trend aus dem betrieblichen Gesundheitsmanagement wichtig. Hier gibt es etwa Gesundheitsportale und E-Learning-Systeme, welche die Mitarbeiter selbständig nutzen können, um sich Wissenswertes anzueignen, an Kursen, Veranstaltungen und Workshops teilzunehmen oder günstige Angebote vor Ort wahrzunehmen. Dahinter steht in der Regel ein Dienstleister, sodass hier bereits bei der Auswahl des Dienstleisters dieser datenschutzrechtlich bewertet werden sollte. Das heißt, wo sitzt der Dienstleister, welche personenbezogenen Daten werden verarbeitet, welche Schutzmaßnahmen wurden ergriffen und ob der Abschluss eines AVVs (Auftragsverarbeitungsvertrags) notwendig ist.

Weiterhin kann der Einsatz von Wearables und Apps dazu dienen, die Mitarbeiter zu motivieren. Insbesondere Wearables erfreuen sich großer Beliebtheit. Doch gerade Smartwatch, Fitness-Tracker und Co. sammeln besondere personenbezogene Daten wie Herzschlag, Körpertemperatur, Schrittzahl, Schlafrhythmus oder GPS-Daten. Ein AVV ist hier nur notwendig, sofern die Nutzung der Gadgets an Gesundheitsportale und eLearning Systeme geknüpft ist. Falls die Geräte zur freien Verfügung gestellt werden, entfällt der AVV.

All diese Daten dürfen laut DSGVO (Datenschutz-Grundverordnung) nur mit Einwilligung der Betroffenen verarbeitet werden. Es muss bekannt sein, welche Daten wann zu welchem Zweck erhoben werden und an wen sie ggf. weitergegeben werden. Die betroffene Person muss darüber ausführlich aufgeklärt werden, bevor sie ihre Einwilligung abgeben kann. Eine andere Rechtsgrundlage wie etwa Vertragserfüllung aus dem Arbeitsvertrag des Arbeitnehmers kommt grundsätzlich nicht in Betracht.

Weiterhin muss vorab eine Datenschutzfolgenabschätzung durchgeführt werden, da besondere personenbezogene Daten verarbeitet werden. Eine solche Vorabprüfung ist in diesem Fall zwingend vorzunehmen. Ist ein Betriebsrat vorhanden, muss dieser ebenfalls beteiligt werden.


Fazit

So tappen Sie nicht in die Datenschutzfalle

Damit sportliche Wettbewerbe und die Berichte darüber keine negativen Folgen für Sie als Unternehmen haben, ist es zwingend notwendig

  • Arbeitnehmer datenschutzrechtlich zu belehren und
  • ihre Einwilligungen in die jeweiligen Datenverarbeitungen einzuholen.

Setzen Sie dazu interne Prozesse auf und klären Ihre Mitarbeiter darüber auf, ob das betriebliche Gesundheitsmanagement zur Arbeitszeit gehört und in welchem Rahmen sie versichert sind.

Wenn Sie sich unsicher sind, wie Sie in Ihrem Fall mit dem Datenschutz umgehen sollen, ist eine professionelle Beratung empfehlenswert.

 


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte addieren Sie 9 und 2.