D: Automobilkonzern erhält Rüge von der baden-württembergische Aufsichtbehörde für den Datenschutz

Ein baden-württembergische r Automobilkonzern erhält eine Rüge von der Aufsichtbehörde für den Datenschutz wegen des Umgangs mit Gesundheitsdaten der Mitarbeiter.

Der Konzern hat bei Langzeiterkrankungen die konkreten Diagnosen und Krankheitsursachen in dem "Gesundheits- und Fehlzeitenmanagement" erfasst.  Dieses Verfahren wurde von Betriebsrat und Werksleitung 2003 installiert und dazu genutzt, Langzeitkranke wieder besser in das Unternehmen einzugliedern, um die Krankheitsrückfälle zu minimieren. Mit den Mitarbeitern wurden „Rückkehrgespräche wegen auffälliger Fehlzeiten“ geführt. Der Gesprächsinhalt wurde anhand eines Formulars vom Vorgesetzten dokumentiert und an den „Runden  Tisch“ weitergeleitet an dem der Fall besprochen wurde. An diesem „Runden Tisch“ sollten Kommunikationen und Abstimmungen aller Gesundheitsthemen stattfinden. Führungskräfte sollten Mitarbeiter für dieses Gremium anmelden, für deren Situation sie keine Lösung fänden.  Die Gespräche über den Gesundheitszustand der Mitarbeiter fanden am gesamten „Runden Tisch“ statt und wurden mit aus dem Rückkehrgespräch erhobenen Informationen inklusive Diagnose diskutiert. Erschwerend kam im obigen Fall hinzu, dass die Mitarbeiter nicht wussten, dass ihre Daten an ein solches Gremium weitergegeben wurden.   

Gesundheitsdaten sind besondere personenbezogene Daten im Sinne des § 3 Abs. 9 BDSG. Besondere personenbezogene Daten unterliegen einem erhöhten Schutz. Gerade bei Gesundheitsdaten wird dieser Schutz auch durch Strafvorschriften deutlich, die es z. B. einem Arzt verbieten, diese Informationen weiter zu geben. Nichts anderes gilt für Unternehmen. Gesundheitsdaten dürfen nur verarbeitet werden, wenn die Verarbeitung für den Unternehmenszweck notwendig sind. So machen es Unfallverhütungsvorschriften notwendig Gesundheitsdaten zu verarbeiten. Eine gesetzliche Erlaubnis war für das Unternehmen, hier im Fall „Runder Tisch“ allerdings nicht gegeben, womit die Regelungen des BDSG anwendbar sind. Als mögliche Erlaubnisnormen kommen nur das überwiegende berechtigte Interesse des Datenverarbeiters nach § 28 Abs. 1 Nr. 2 BDSG  oder eine Einwilligung nach § 4 BDSG in Frage. Beides war nicht gegeben, womit die Verarbeitung dieser Daten unzulässig ist.    

Grundsätzliche ist jedem Unternehmen zu raten, mit besonderen personenbezogenen Daten, zu denen auch die Gesundheit zählen, sehr sorgsam umzugehen. Es sollten nur diejenigen Daten erfragt und erfasst werden, die auch tatsächlich für das Unternehmen notwendig sind. Der Personenkreis, der von diese notwendigen besonderen personenbezogenen Daten Kenntnis erlangt, sollte möglichst klein gehalten werden. So ist z. B. in einer Fehlzeitenübersicht, die dem gesamten Unternehmen zugänglich ist, die Information dass ein Mitarbeiter krankheitsbedingt fehlt, nicht aufzunehmen.