Gesundheitsdaten
Kurzbeschreibung
Gesundheitsdaten sind personenbezogene Daten, die Informationen über den körperlichen oder psychischen Gesundheitszustand einer Person enthalten. Sie gehören nach der Datenschutz-Grundverordnung (DSGVO) zu den besonders schützenswerten personenbezogenen Daten und dürfen nur unter engen gesetzlichen Voraussetzungen verarbeitet werden.
Im Arbeitsverhältnis spielen Gesundheitsdaten beispielsweise bei Arbeitsunfähigkeit, BEM-Verfahren, Gefährdungsbeurteilungen, arbeitsmedizinischen Untersuchungen oder dem betrieblichen Gesundheitsmanagement eine Rolle. Arbeitgeber müssen dabei besonders hohe Anforderungen an Datenschutz, Vertraulichkeit und Datensicherheit erfüllen.
Gesetzliche Grundlagen
Wichtige Vorschriften:
- Art. 4 Nr. 15 DSGVO – Definition Gesundheitsdaten
- Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
- §26 BDSG – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- ArbSchG
- §87 Abs. 1 Nr. 6 BetrVG – Technische Überwachungseinrichtungen
- §87 Abs. 1 Nr. 7 BetrVG – Gesundheitsschutz
- §89 BetrVG – Arbeits- und Gesundheitsschutz
- SGB IX – Betriebliches Eingliederungsmanagement (BEM)
Ziel des Datenschutzes bei Gesundheitsdaten
Der Schutz von Gesundheitsdaten soll:
- die Privatsphäre der Beschäftigten schützen
- Missbrauch verhindern
- Diskriminierung vermeiden
- Vertrauen schaffen
- die Vertraulichkeit medizinischer Informationen gewährleisten
- gesetzliche Datenschutzanforderungen erfüllen
Bedeutung der Gesundheitsdaten
Gesundheitsdaten beantworten beispielsweise die Fragen:
«Welche gesundheitlichen Informationen dürfen verarbeitet werden?»
«Wer darf Gesundheitsdaten einsehen?»
«Welche Rechte haben Beschäftigte?»
Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Informationen überhaupt.
Grundprinzip
Gesundheitsdaten
⬇️
Besonderer Datenschutz
⬇️
Gesetzliche Grundlage
⬇️
Vertrauliche Verarbeitung
⬇️
Schutz der Beschäftigten
Was sind Gesundheitsdaten?
Gesundheitsdaten sind insbesondere Angaben über:
- Krankheiten
- Diagnosen
- Verletzungen
- Behinderungen
- Arbeitsunfähigkeit
- medizinische Untersuchungen
- Impfstatus (nur soweit rechtlich zulässig)
- Rehabilitationsmaßnahmen
- Therapie- und Behandlungsdaten
- psychische Erkrankungen
Keine Gesundheitsdaten sind beispielsweise
Nicht jede Information mit Gesundheitsbezug ist automatisch eine Diagnose.
Beispiele:
- Teilnahme an einer Sicherheitsunterweisung
- allgemeine Arbeitsschutzmaßnahmen
- Schichtpläne
- Urlaubsdaten
- Arbeitszeiten
Erst wenn Rückschlüsse auf den Gesundheitszustand möglich sind, handelt es sich regelmäßig um Gesundheitsdaten.
Verarbeitung von Gesundheitsdaten
Eine Verarbeitung ist nur zulässig,
wenn eine gesetzliche Grundlage besteht.
Beispiele:
- Erfüllung arbeitsrechtlicher Pflichten
- Arbeitsschutz
- Sozialversicherungsrecht
- BEM
- gesetzliche Meldepflichten
- ausdrückliche Einwilligung (nur unter engen Voraussetzungen)
Gesundheitsdaten im Arbeitsverhältnis
Typische Situationen:
- Krankmeldung
- Arbeitsunfähigkeitsbescheinigung
- BEM
- arbeitsmedizinische Vorsorge
- Wiedereingliederung
- Gefährdungsbeurteilung
- Schwerbehindertenverfahren
Der Arbeitgeber darf nur diejenigen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.
Betriebliches Eingliederungsmanagement (BEM)
Im BEM werden regelmäßig Gesundheitsdaten verarbeitet.
Dabei gelten besonders hohe Anforderungen an:
- Freiwilligkeit
- Vertraulichkeit
- Dokumentation
- Zugriffsbeschränkung
- Datensicherheit
Gesundheitsdaten aus dem BEM dürfen grundsätzlich nicht Bestandteil der Personalakte werden, sofern hierfür keine rechtliche Grundlage besteht.
Zugriffsberechtigungen
Gesundheitsdaten dürfen nur von Personen verarbeitet werden,
die sie für ihre Aufgaben benötigen.
Typische Zugriffsberechtigte:
- Personalabteilung (nur soweit erforderlich)
- Betriebsarzt
- BEM-Team
- betroffene Führungskraft (nur im notwendigen Umfang)
Der Betriebsrat erhält Gesundheitsdaten grundsätzlich nicht automatisch, sondern nur im Rahmen der gesetzlichen Befugnisse und unter Beachtung des Datenschutzes.
Datenschutz und Datensicherheit
Der Arbeitgeber muss insbesondere sicherstellen:
- Zugriffsbeschränkungen
- Verschlüsselung
- sichere Speicherung
- Protokollierung
- Löschfristen
- Datensicherung
- Vertraulichkeit
Rechte der Beschäftigten
Beschäftigte haben insbesondere Anspruch auf:
- Auskunft über gespeicherte Gesundheitsdaten
- Berichtigung unrichtiger Daten
- Löschung unzulässig gespeicherter Daten
- Einschränkung der Verarbeitung
- Datenschutz
- Vertraulichkeit
Beteiligungsrechte des Betriebsrats
Der Betriebsrat sollte beteiligt werden bei:
- Einführung digitaler Gesundheitsmanagementsysteme
- Gesundheits-Apps
- elektronischen Personalakten
- technischen Überwachungseinrichtungen
- Maßnahmen des Gesundheitsschutzes
- BEM-Regelungen in Betriebsvereinbarungen
Bedeutung für Beschäftigte
Der Schutz von Gesundheitsdaten gewährleistet:
- Schutz der Privatsphäre
- Vertraulichkeit
- Schutz vor Benachteiligung
- Schutz vor Diskriminierung
- Vertrauen in betriebliche Gesundheitsmaßnahmen
Bedeutung für Betriebsräte
Der Betriebsrat sollte prüfen:
- Welche Gesundheitsdaten werden verarbeitet?
- Gibt es eine Rechtsgrundlage?
- Wer hat Zugriff?
- Sind Löschfristen geregelt?
- Werden Gesundheitsdaten ausreichend geschützt?
- Bestehen Mitbestimmungsrechte?
Bedeutung für Vertrauensleute
Vertrauensleute können:
- auf Datenschutzprobleme aufmerksam machen
- Beschäftigte über ihre Rechte informieren
- an den Betriebsrat oder Datenschutzbeauftragten verweisen
- bei Fragen zum BEM unterstützen
- Vertrauen schaffen
Typische Arbeitgeberfehler
- mehr Gesundheitsdaten speichern als erforderlich
- Diagnosen unnötig dokumentieren
- fehlende Zugriffsbeschränkungen
- Gesundheitsdaten in der allgemeinen Personalakte speichern
- unzureichende Datensicherheit
- fehlende Löschkonzepte
Typische Fehler von Betriebsräten
- Gesundheitsdaten unnötig anfordern
- Datenschutz unterschätzen
- unzureichende Betriebsvereinbarungen abschließen
- Zugriffsrechte nicht hinterfragen
- Beschäftigte unzureichend informieren
Praxisbeispiel
Ein Beschäftigter nimmt an einem Betrieblichen Eingliederungsmanagement (BEM) teil.
Während des Verfahrens werden Angaben zu gesundheitlichen Einschränkungen und möglichen Arbeitsplatzanpassungen erhoben. Diese Informationen werden getrennt von der Personalakte gespeichert und dürfen ausschließlich von den am BEM beteiligten Personen eingesehen werden. Der Betriebsrat achtet darauf, dass eine Betriebsvereinbarung klare Regelungen zu Datenschutz, Zugriffsrechten und Löschfristen enthält.
Ablauf der Verarbeitung von Gesundheitsdaten
Gesundheitsdaten entstehen
⬇️
Rechtsgrundlage prüfen
⬇️
Erforderliche Verarbeitung
⬇️
Sichere Speicherung
⬇️
Zugriff nur für Berechtigte
⬇️
Löschung nach Wegfall des Zwecks
Verhältnis zu anderen Vorschriften
Vorschrift| Inhalt
Art. 4 Nr. 15 DSGVO| Definition Gesundheitsdaten
Art. 9 DSGVO| Besondere Kategorien personenbezogener Daten
§26 BDSG| Beschäftigtendatenschutz
§87 Abs. 1 Nr. 6 BetrVG| Technische Überwachung
§87 Abs. 1 Nr. 7 BetrVG| Gesundheitsschutz
§89 BetrVG| Arbeits- und Gesundheitsschutz
SGB IX| Betriebliches Eingliederungsmanagement
Merksatz
«Gesundheitsdaten gehören zu den besonders schützenswerten personenbezogenen Daten. Ihre Verarbeitung ist nur unter engen gesetzlichen Voraussetzungen zulässig. Arbeitgeber müssen höchste Anforderungen an Datenschutz, Datensicherheit und Vertraulichkeit erfüllen, während Betriebsräte auf die Einhaltung dieser Vorgaben achten und ihre Mitbestimmungsrechte wahrnehmen sollten.»
Bezug zu Knoten
- Datenschutz
- DSGVO
- Art. 4 Nr. 15 DSGVO
- Art. 9 DSGVO
- §26 BDSG
- Betriebliches Eingliederungsmanagement
- BEM
- Betriebliches Gesundheitsmanagement
- Gefährdungsbeurteilung
- Arbeitsmedizinische Vorsorge
- Arbeitsunfähigkeit
- Personalakte
- Digitale Personalakte
- §87 Abs. 1 Nr. 6 BetrVG
- §87 Abs. 1 Nr. 7 BetrVG
- §89 BetrVG
- Betriebsrat
- Vertrauensleute
- Interessenvertretung
Praxisrelevanz
Gesundheitsdaten spielen im Arbeitsverhältnis eine zentrale Rolle – etwa bei Arbeitsunfähigkeit, BEM, arbeitsmedizinischen Untersuchungen oder dem betrieblichen Gesundheitsmanagement. Aufgrund ihrer besonderen Sensibilität unterliegen sie den strengsten Datenschutzanforderungen der DSGVO. Für Betriebsräte und Vertrauensleute ist es wichtig, darauf zu achten, dass Gesundheitsdaten ausschließlich zweckgebunden verarbeitet, wirksam geschützt und nur im gesetzlich zulässigen Umfang erhoben werden. Gleichzeitig müssen Mitbestimmungsrechte bei digitalen Gesundheitslösungen und betrieblichen Gesundheitsmaßnahmen konsequent wahrgenommen werden.