Die Datenschutzgrundverordnung (DSGVO) ist seit 25mai2018 unmittelbar anwendbar [siehe auch HRweb-Artikel zu DSGVO und Datenschutz]. Die Digitalisierung der Arbeitswelt schreitet vom strengeren Datenschutzregime relativ unbeeindruckt stetig voran. Fitness- und Lifestyle-Apps für Mitarbeiter für die Gesundheitsvorsorge und Verbesserung der Mitarbeiterzufriedenheit boomen. Dabei darf jedoch nicht übersehen werden, dass auf diesem Weg sensible Gesundheitsdaten von Mitarbeitern verarbeitet werden (Puls, Herzfrequenz, Schritte, Kalorienverbrauch, Gewicht, sportliche Aktivität, Schlafqualität und viele mehr).
In der Praxis ergeben sich durch die fortschreitende Technologie mehr und mehr spannende Detailfragen, besonders im Zusammenhang mit dem Beschäftigtendatenschutz. Dieser Beitrag soll einen Überblick zu datenschutzrechtlichen und arbeitsrechtlichen Aspekten beim Einsatz von Gesundheits-Apps und Wearables im Betrieb, die Unternehmen beachten müssen. Die Praxis steht in der Umsetzung noch vor Unklarheiten und offenen Fragen, für die es gilt, Lösungsansätze zur Einhaltung der gesetzlichen Vorgaben zu finden.
Autorinnen: Dr. Anna Mertinz und Mag. Anna-Barbara Koland, KWR Rechtsanwälte GmbH
Gesundheits-Apps und Wearables – Worum geht es?
Der Arbeitgeber erlangt im Zuge der fortschreitenden Digitalisierung verstärkt Zugang zu Gesundheitsdaten von Mitarbeitern. In betrieblichen Arbeitsabläufen sind beispielsweise „Wearables“ wie „Smart-Watches“ immer öfter anzutreffen. Diese Maßnahmen können jedoch einen Eingriff in die Privatsphäre, in das Grundrecht auf „informationelle Selbstbestimmung“ und für Mitarbeiter bedeuten. Ihr Einsatz ist daher Arbeitgebern nicht ohne arbeitsrechtliche und datenschutzrechtliche Einschränkungen gestattet.
Gesundheitsdaten im Sinne der DGSVO – welche sind das?
Der Begriff „Gesundheitsdaten“ ist erheblich weiter als jener „medizinischer Daten“. Er umfasst nicht nur Krankheit, sondern bereits die Information, dass jemand gesund ist oder Kontaktlinsen trägt. „Gesundheit“ ist weit zu verstehen. Unter Gesundheitsdaten werden sowohl körperliche, als auch psychische Aspekte umfasst. Dazu zählen alle Daten, aus denen sich Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Zustand einer Person ergeben. Es sind daher Informationen über Verletzungen und Krankheiten, auf denen Krankschreibungen beruhen, Informationen über Behinderungen, Krankheitsrisiken, Informationen über Drogen- und Alkoholmissbrauch, Ergebnisse von ärztlichen Untersuchungen, Vorerkrankungen und Heilungsverlauf umfasst. Ebenfalls zu Gesundheitsdaten zählen Nummern, Symbole und Zahlenkombinationen, die einer Person zu gesundheitlichen Zwecken zugeordnet sind, wie etwa die Sozialversicherungsnummer.
Nach dem Standpunkt des Beratungsgremiums der Europäischen Kommission in Datenschutzfragen ist bereits ein Lichtbild, das einen Brillenträger zeigt, ein Gesundheitsdatum, da es auf die Fehlsichtigkeit der abgebildeten Person hinweist. Auch Informationen über die Erkrankung von Familienmitgliedern im gemeinsamen Haushalt („Ansteckungsgefahr“), die Zugehörigkeit zu Selbsthilfe- oder Fitnessgruppen („Anonyme Alkoholiker“, Weight Watchers“), der IQ einer Person („Rückschluss auf Intelligenz“), die Sozialversicherungsnummer („Rückschluss auf Behandlungen oder Medikamentation“) oder die Information über die tägliche Schrittanzahl des Mitarbeiters sind datenschutzrechtlich geschützt, da sie einen Rückschluss auf den Gesundheitszustand oder potentielle Erkrankungen eines Mitarbeiters zulassen.
Gesundheitsdaten und Mitarbeiter-Apps/Mobile Devices – was ist datenschutzrechtlich zu beachten?
Grundsätzlich verbietet Artikel 9 Absatz 2 DSGVO die Verarbeitung von Gesundheitsdaten. Der Begriff der Verarbeitung ist dabei ebenfalls weit gefasst – darunter ist etwa die Erhebung, Speicherung, Weiterleitung, Veröffentlichen, Verwendung oder Löschung zu verstehen. Von diesem Verbot gibt es Ausnahmen, zu denen aber noch Rechtsprechung und eindeutige Auslegungen fehlen, sodass für Unternehmen ein Risiko besteht.
Ausnahme 1: ausdrückliche und informierte Zustimmungserklärung
Im Fall von Gesundheits-Apps kann die Verarbeitung von Gesundheitsdaten mit einer ausdrücklichen Einwilligung des Mitarbeiters gerechtfertigt werden. Dies setzt eine umfassende und transparente Information des Mitarbeiters über die Form, Zweck und das Ausmaß der Datenverarbeitung voraus. Durch die DSGVO wurden die Informationspflichten gegenüber Nutzern verstärkt. Der Mitarbeiter muss unter anderem über seine gesetzlichen Betroffenenrechte informiert werden, also über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Diese Informationen müssen sich auf die konkrete Datenverarbeitung der Gesundheits-Apps beziehen und dürfen nicht durch einen allgemeinen Verweis auf die Datenschutzerklärung des Unternehmens ersetzt werden. Da Artikel 12 DSGVO die Information der Betroffenen in klarer und einfacher Sprache vorsieht, muss diese auch in deutscher Sprache erfolgen. Englische Datenschutzerklärungen sind nach der DSGVO nach derzeit herrschender Meinung nicht ausreichend.
Die Einwilligung des Mitarbeiters zur Verarbeitung seiner Daten via Apps externer Anbieter muss ausdrücklichen Bezug auf sensible Gesundheitsdaten nehmen, freiwillig sein und aufgrund umfassender Informationen erfolgen. Dem betroffenen Mitarbeiter muss insgesamt die Möglichkeit der gezielten ausdrücklichen Einwilligung der Verarbeitung seiner Fitness-Messdaten gegeben werden. Eine bestimmte Form ist nicht vorgeschrieben, jedoch eine schriftliche Erklärung aus Beweisgründen zu empfehlen. Die Datenschutzerklärung muss insgesamt transparent und für den Nutzer verständlich sein.
Ausnahme 2: Lebenswichtige Interessen
Eine weitere Verbotsausnahme, die für den Einsatz von Gesundheits-Apps herangezogen werden könnte, ist die Sicherung lebenswichtiger Interessen. Dies wird allerdings wohl nur dann relevant sein, wenn der Mitarbeiter beispielsweise nicht mehr in der Lage ist, eine Einwilligung zu erteilen. Das wäre etwa bei einem von einer App angezeigten plötzlichen Herzstillstand relevant, aber nicht beim generellen Einsatz von solchen Apps. Diese Ausnahme ist in der Praxis mit Vorsicht zu genießen.
Ausnahme 3: Freiwillige Veröffentlichung
Hat der Mitarbeiter seine sportlichen Leistungen bereits auf einem sozialen Netzwerk zur Verfügung gestellt (z.B. Verwendung der Lauf-App „Runtatastic“ auf dem Firmen-Smartphone und „Teilen“ auf Facebook), gelten die Daten als öffentlich und sind der Verarbeitung Dritter zugänglich. Diese Gesundheitsdaten könnten daher zur Marktforschung oder wissenschaftlichen Zwecken von Dritten verwendet werden. Auch solche Daten dürfen aber von Arbeitgebern nicht pauschal verwendet werden, da unklar ist, ob die Veröffentlichung auch eine solche Verwendung umfasst.
Prüfen Sie daher vor dem beabsichtigten Einsatz von Mitarbeiter-Apps/Mobile Devices im Zusammenhang mit der Erhebung und Verarbeitung von Gesundheitsdaten, welche datenschutzrechtliche Rechtfertigung hierfür vorliegt und ob alle Grundsätze des Datenschutzes gemäß DSGVO eingehalten werden. In der Regel wird die Einwilligung der Mitarbeiter einzuholen sein. Vorher müssen die Mitarbeiter umfassend informiert werden, da nur eine informierte und freiwillig abgegebene Einwilligung hält.
Gesundheitsdaten und Mitarbeiter-Apps/Mobile Devices – was ist arbeitsrechtlich zu beachten?
Auch aus arbeitsrechtlichen Vorgaben ergibt sich, dass für den Einsatz in der Regel die Zustimmung des Mitarbeiters erforderlich ist. Zudem hat der Betriebsrat Beratungs- und Mitwirkungsrechte, die in der Regel in der Verhandlung einer Betriebsvereinbarung bestehen. Dafür wiederum muss vor Einführung der Maßnahme ausreichend Zeit eingeplant werden.
Auswahl externer App-Anbietern – was ist zu beachten?
Bei der Auswahl von Gesundheits-Apps externer Dienstleister ist es ratsam, vorab zu klären, welche Daten zu welchem Zweck eingehoben, gespeichert und verarbeitet werden. Es muss geprüft werden, ob der Dienstleister die Vorgaben der DSGVO einhält. Mit pauschalen Hinweisen auf die Einhaltung sollte man sich daher sich nicht zufriedengeben. Zu prüfen ist im Einzelfall auch, ob ein Auftragsverarbeiterverhältnis vorliegt und daher eine Auftragsverarbeitervereinbarung abzuschließen ist – dies kann nicht pauschal gesagt werden, sondern muss je nach Funktionalität und Dienstleistung geprüft werden.
Ausblick und Empfehlung
Vor dem Einsatz von Mobile Devices und digitalen Apps im Zusammenhang mit der Erhebung und Verarbeitung von Gesundheitsdaten müssen datenschutzrechtliche und arbeitsrechtliche „Hausaufgaben“ erledigt werden. Andernfalls kann es zu Beschwerden, Verhängung von Strafen und Schadenersatzforderungen kommen. Insbesondere aufgrund des sensiblen Charakters von Gesundheitsdaten muss der Einsatz solcher Devices und Apps besondere vorsichtig geplant und umgesetzt werden.