Einführung
Nicht erst seit Beginn der Corona-Pandemie (z.B. über Testergebnisse) ist es erforderlich, dass Unternehmen auch Gesundheitsdaten ihrer Mitarbeitenden verarbeiten (z.B. BEM-Verfahren oder Maßnahmen des betrieblichen Gesundheitsmanagements/BGM). Dies ist datenschutzrechtlich von besonderer Bedeutung, da es sich bei Gesundheitsdaten um Daten nach Art. 9 DS-GVO (besondere Kategorien personenbezogener Daten) handelt, welche einem höheren Schutz unterliegen als „normale“ personenbezogene Daten. Zu beachten ist, dass dieses höhere Schutzerfordernis auch gilt, wenn Unternehmen z.B. aufgrund der arbeitsrechtlichen Fürsorgepflicht zu Arbeitsschutzmaßnahmen verpflichtet sind und deswegen diese Daten verarbeiten müssen.
Was sind Gesundheitsdaten?
Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Erwägungsgrund 35 der DS-GVO verdeutlicht, dass solche Daten zu den Gesundheitsdaten zählen, „die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.“ Gesundheitsdatenumfassen demnach Informationen, die von der Untersuchung eines Körperteils oder aus genetischen Daten abgeleitet wurden. Die Informationen können sich auf Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder den biomedizinischen Zustand der betroffenen Person beziehen. Zu den Gesundheitsdaten zählen auch Vermutungen zu bestimmten Veranlagungen des Betroffenen aufgrund familiärer Vorbelastungen, die Messung von Gesundheitsdaten in Fitnessstudios sowie Daten, die von Fitness- und Health-Apps sowie Smart Watches erfasst werden. Im Ergebnis kann auch das Foto einer Person ein Gesundheitsdatum sein, z.B. wenn daraus hervorgeht, dass die betroffene Person eine Brille trägt. Auch mittelbare Rückschlüsse sind Gesundheitsdaten. Das ist z.B. der Fall, wenn Informationen zum Aufenthalt in einer Klink oder gesundheitsrelevanten Einrichtung, zur Teilnahme an Patienten- oder Selbsthilfegruppen oder zu einem Kuraufenthalt verarbeitet werden. Immer dann, wenn Rückschlüsse auf den gesundheitlichen Zustand des Betroffenen möglich sind, liegen grundsätzlich Gesundheitsdaten vor. Der Begriff der Gesundheitsdaten ist also weit auszulegen.
Rechtsgrundlagen
Personenbezogene Daten dürfen grundsätzlich nur dann verarbeitet werden, wenn eine sog. Rechtsgrundlage oder ein Erlaubnistatbestand die Datenverarbeitung erlaubt. Mögliche Rechtsgrundlagen, die die Verarbeitung von Mitarbeiterdaten erlauben können, sind zum Beispiel die Durchführung des Arbeitsverhältnisses oder die Erfüllung gesetzlicher Pflichten des Unternehmens z.B. aus dem Arbeitsrecht oder Sozialrecht. Weitere Erlaubnistatbestände können die Einwilligung oder Betriebsvereinbarungen sein. Neben der allgemeinen Rechtsgrundlage für die Verarbeitung aus Art. 6 DS-GVO muss zusätzlich ein Ausnahmetatbestand gerade für die Verarbeitung von Gesundheitsdaten bestehen. Ohne eine derartige „doppelte“ Rechtfertigung ist die Verarbeitung von Gesundheitsdaten rechtswidrig.
Um sicherzustellen, dass die gesetzlichen Voraussetzungen erfüllt sind, bietet es sich an, zunächst die strengeren Regeln speziell für Gesundheitsdaten und dann die allgemeinen Regeln zu prüfen.
Schritt 1: Kann ich meine geplante Verarbeitung von Gesundheitsdaten auf einen der Ausnahmetatbestände in Artikel 9 Abs. 2–4 DS-GVO stützen? Wenn nein, ist die geplante Datenverarbeitung verboten.
Schritt 2: Sind zusätzlich die Voraussetzungen einer Rechtsgrundlage für die Datenverarbeitung nach Art. 6 DS-GVO erfüllt? Wenn nein, ist die geplante Datenverarbeitung verboten. Wenn ja, ist die Datenverarbeitung erlaubt.
Weiterhin ist zu beachten, dass die einzelnen Ausnahmen unterschiedlich strukturiert sind. Teilweise sind die Voraussetzungen für eine Ausnahme einstufig und unmittelbar aus dem Text der DS-GVO ableitbar. Eine solche Ausnahme besteht etwa bei Gesundheitsdaten, deren Verarbeitung zur Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist. Andere Ausnahmen sind dagegen mehrstufig aufgebaut. Sie verweisen auf andere Spezialgesetze, die die Verarbeitung von Gesundheitsdaten erlauben können. Nur wenn auch die jeweiligen Voraussetzungen eines solchen Spezialgesetzes erfüllt sind, besteht ein Erlaubnistatbestand.
Beispiel: Ein Unternehmen darf Gesundheitsdaten für statistische Zwecke verarbeiten, wenn ein Spezialgesetz dies erlaubt (Artikel 9 Abs. 2 lit. j DS-GVO). Ein solches Spezialgesetz findet sich z.B. in § 27 Abs. 1 BDSG. Nur wenn auch die Voraussetzungen des § 27 Abs. 1 BDSG erfüllt sind, ist das Verbot der Verarbeitung aufgehoben und die Verarbeitung somit erlaubt.
Praxis
Wie bereits dargestellt, ist insbesondere bei der Verarbeitung von Gesundheitsdaten die Datensicherheit essentiell. Unternehmen müssen technische und organisatorische Maßnahmen (TOM) umsetzen, um die Daten z.B. vor Zugriffen Unbefugter oder vor Verlust zu schützen. Aus diesem Grund sollten Personen, die Gesundheitsdaten verarbeiten, besonders sensibilisiert und geschult werden. Des Weiteren sollten die Daten, insbesondere im Falle der Weitergabe, verschlüsselt werden. Externe Dienstleister (sog. Auftragsverarbeiter), die (auch) Gesundheitsdaten verarbeiten, müssen mit besonderer Sorgfalt ausgewählt werden. Vereinfacht könnte man sagen, für die Verarbeitung von Gesundheitsdaten sollte der Schutz immer einen Schritt weitergehen, als der Schutz „normaler“ personenbezogener Daten.
Möchte ein Unternehmen Gesundheitsapps z.B. für das BGM einsetzen, muss die Nutzung dieser Apps für die Mitarbeitenden stets freiwillig sein und die Verwendung darf nicht zur Überwachung der Mitarbeitenden führen. Die App und der anbietende Dienstleister müssen insbesondere eine hinreichende Datensicherheit gewähren und Daten so sparsam wie möglich verarbeiten. Eine Verarbeitung zu eigenen Zwecken sollte kategorisch ausgeschlossen werden.
Verzeichnis von Verarbeitungstätigkeiten
Die jeweilige Verarbeitung von Gesundheitsdaten muss in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Wichtig ist, insbesondere die Überlegungen zur Erforderlichkeit und zur Rechtsgrundlage zu dokumentieren, da diese je nach Fallkonstellation variieren können.
Fazit:
Gesundheitsdaten sind sensible, besonders schützenswerte Daten und werden im Gesetz als „besondere Kategorie“ personenbezogener Daten behandelt. Für Gesundheitsdaten gelten daher strengere Regeln als bei einfachen personenbezogenen Daten. Grundsätzlich ist es untersagt, Gesundheitsdaten zu verarbeiten. Dieses Verbot gilt nur dann nicht, wenn einer der gesetzlich geregelten Ausnahmefälle gegeben ist (Artikel 9 Abs. 2–4 DS-GVO). Die Rechtsgrundlage der Verarbeitung und die Schutzmaßnahmen im Einzelfall sollten gewissenhaft ausgewählt bzw. überprüft werden.