Mit Smartphones und Wearables bieten sich potentiell neue Möglichkeiten des betrieblichen Gesundheitsmanagements. Werden mit diesen technischen Mitteln aber personenbezogene Daten der Mitarbeiter erhoben, wird der Arbeitgeber verantwortliche Stelle i.S.d. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG). Aber was muss im Rahmen des Datenschutzerechts ganz konkret beachtet werden? Und lohnt sich der Aufwand dann überhaupt noch?

Betriebliches Gesundheitsmanagement – ein Muss?

Im Jahr 2014 war jeder Arbeitnehmer durchschnittlich 9,5 Tage arbeitsunfähig. Häufigste Ursache laut der Techniker Krankenkasse: Rückenleiden. Eine denkbare Gegenmaßnahme ist da der gemeinschaftliche Betriebssport im Großraumbüro. Aber wer lässt sich für so etwas noch begeistern? Abhilfe könnte da die aktuelle Technik verschaffen. Denn Smartphones nutzt inzwischen jeder und Wearables sind auf dem Vormarsch. Letztere können Gesundheitsdaten wie etwa den Puls sowie Schrittzahlen und sogar Schlafverhalten aufzeichnen. Stehen dem Arbeitgeber solche Daten zur Verfügung, können Entscheidungen über gesundheitsfördernde Maßnahmen auf Grundlage von hoch aktuellen Primärdaten gefällt werden.

Denn krankheitsbedingte Ausfalltage sind teuer. Einer Studie des Instituts für Wirtschaftsforschung nach sollen sich die Kosten pro Ausfalltag auf Grund von Krankheit auf etwa 400 EUR belaufen. Diese hohe Summe lässt sich vor allem durch entstandene Produktionsausfälle, Überstunden, Sozialausgaben und Ersatzbeschaffungen, also so genannte „Chaoskosten“ erklären. Dieses Chaos zu minimieren, heißt Ausfalltage reduzieren. Schließlich können Chaoskosten schnell zu einem erheblichen Risiko heranwachsen – die Vorteile eines betrieblichen Gesundheitsmanagements sollten daher unabhängig von der Betriebsgröße ernst genommen werden. Aber bedeutet betriebliches Gesundheitsmanagement nicht Gesundheitstage zu veranstalten, Ergonomieschulungen zu veranlassen und Seminare durchzuführen? Also zu aller erst hohe Investitionen zu tätigen? Oder kommen mit Smartphones und Wearables schlanke Alternativen zu einem breit aufgestelltem Gesundheitsmanagement daher?

Im Lichte des Datenschutzes

Einer solch tiefgreifenden Datenerhebung am Arbeitnehmer als Betroffenen steht aber das vergleichsweise strenge Datenschutzrecht in Deutschland entgegen. Denn Ziel der gesetzlichen Ausgestaltung des BDSG ist grundsätzlich der Schutz des Rechts der Menschen auf „informationelle Selbstbestimmung“, das sich aus den allgemeinen Persönlichkeitsrechten gem. Art. 2 des Grundgesetzes entwickelt hat. Da es sich hierbei um Grundrechte handelt, ist das BDSG überaus restriktiv. Es sieht in § 4 Abs. 1 ein Verbot mit Erlaubnisvorbehalt vor. Diese Vorschrift besagt, dass die Erhebung, Verarbeitung und Nutzung (nachfolgend „Verwendung“) personenbezogener Daten grundsätzlich verboten ist. Erlaubt ist die Verwendung personenbezogener Daten ausnahmsweise nur dann, wenn eine rechtliche Legitimation durch das BDSG oder einer anderen Rechtsvorschrift vorliegt oder der Betroffene eingewilligt hat.

Eine rechtliche Legitimation zur Verwendung von personenbezogen Daten im Rahmen des Beschäftigungsverhältnisses kann sich etwa aus § 32 Abs. 1 S. 1 BDSG ergeben, wenn es für dessen Begründung, Durchführung oder Beendigung erforderlich ist. Erforderlich ist etwa regelmäßig die Verwendung von Gesundheitsdaten des Beschäftigten für die Dokumentation der Fehltage iSd. § 5 Abs. 1 EntgFG. Das betriebliche Gesundheitsmanagement erfüllt die Anforderungen der Erforderlichkeit hingegen nicht, schließlich erfolgt diese Maßnahme freiwillig zum Wohle der Mitarbeiter. Als Rechtsgrundlage der Verwendung von Gesundheitsdaten gem. § 3 Abs. 9 BDSG kommt daher nur die Einwilligung der Beschäftigten gem. § 4a Abs. 1 BDSG in Betracht.

Die Einwilligung des Mitarbeiters

An einer solchen Einwilligung werden datenschutzrechtlich aber hohe Anforderungen gestellt. Denn gem. § 4a Abs. 1 BDSG ist eine Einwilligung zur Verwendung personenbezogener Daten nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Gerade bei Beschäftigten ist diese Freiwilligkeit aber fraglich, da der Arbeitnehmer in einem Abhängigkeitsverhältnis zum Arbeitgeber steht. Freiwillig ist eine Einwilligung etwa dann, wenn diese ohne Zwang abgegeben wird und durch den Arbeitnehmer auch verweigert werden kann, ohne das ihm hieraus ein Nachteil entsteht. Der Arbeitnehmer darf also keinesfalls zur Teilnahme gezwungen werden. Aber nicht nur aus der Androhung von Nachteilen, sondern auch aus dem in Aussicht stellen von Vorteilen kann die Freiwilligkeit angezweifelt werden. Auf individuelle Vergünstigungen oder gar Vergütungen im Zusammenhang mit der Verwendung von Gesundheitsdaten der Mitarbeiter sollte daher verzichtet und ausschließlich auf betriebsübergreifende Gesundheitsmaßnahmen zurückgegriffen werden.

Um den erhöhten Anforderungen der Einwilligung zur Verwendung von Gesundheitsdaten gem. § 4a Abs. 3 BDSG gerecht zu werden, muss die Einwilligungserklärung außerdem so transparent wie möglich formuliert sein und sich ausdrücklich auf jedes einzelne in Betracht kommende Datum, wie auch auf jede Art der geplanten Verwendung, beziehen. Damit eine solche Einwilligungserklärung innerhalb des Arbeitsvertrags nicht „untergeht“ und damit gegen das Transparenzgebot des § 307 Abs. 1 BGB verstößt, ist überdies ein eigenes Dokument einer Klausel im Arbeitsvertrag vorzuziehen. Da der Einwilligungsbegriff des BDSG an die Terminologie des BGB anlehnt, muss diese außerdem gem. § 183 BGB der Verwendung von personenbezogenen Daten vorangehen – der Arbeitgeber darf sich also nicht erst im Nachhinein die Genehmigung des Arbeitnehmers einholen. Eine konkludente Einwilligung durch schlüssiges Verhalten des Mitarbeiters reicht aber in keinem Fall aus.

Schließlich muss die Einwilligung durch den Arbeitnehmer auch widerruflich sein und ihm dieses Recht auch transparent deutlich gemacht werden – der Arbeitnehmer muss sich also mit Abgabe seiner Einwilligung im Klaren darüber sein, dass er diese mit Wirkung für die Zukunft jederzeit und ohne Nachteile befürchten zu müssen widerrufen kann. Macht der Arbeitnehmer von seinem Recht auf Widerruf Gebrauch, ist dieser vom Arbeitgeber zu berücksichtigen und die Erhebung der Gesundheitsdaten dieses Beschäftigten einzustellen. Mit dem Widerruf des Arbeitnehmers entfällt auch der Zweck der Verwendung. Die bisher erhobenen Daten müssen daher gem. § 35 Abs. 2 Nr. 3 BDSG gelöscht werden.

Die Umsetzung

Zunächst gilt es festzuhalten, dass es sich bei der Einführung von Wearables zu Zwecken der Gesundheitsfürsorge um technische Einrichtungen handelt, die objektiv geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Gibt es im Unternehmen einen Betriebsrat, so hat der Arbeitgeber diesen daher nicht nur anzuhören, sondern gem. § 87 Abs. 1 Nr. 6 BetrVG auch in die Entscheidung mit einzubeziehen.

Um dem Grundsatz der Datenvermeidung und -sparsamkeit gem. § 3a BDSG Rechnung zu tragen, sollten die durch Wearables und Smartphones erhobenen personenbezogenen Gesundheitsdaten auf jeden Fall anonymisiert verarbeitet werden. Als Empfänger kommt hierfür ein Bluetooth fähiger Computer in Betracht. Aus Gründen der Datensicherheit muss dieser Rechner dann aber auch durch technische und organisatorische Maßnahmen i.S.d. § 9 BDSG i.V.m. der Anlage zu § 9 geschützt werden. Die Maßnahmen müssen dabei in einem angemessenem Verhältnis zum angestrebten Schutzzweck stehen. Sofern der Bluetooth-Empfänger ausreichend stark ist, kann es daher u.U. ausreichend sein, wenn dieser passwortgeschützte PC aus einem abgesperrten Schrank heraus die Daten der Wearables und Smartphones erhebt.

Als Wearables stehen übrigens eine Vielzahl von Geräten zur Verfügung. Einen umfangreichen Überblick verschafft die Online-Fachzeitschrift für mobile Tehnik curved.de: hier geht es zum Vergleichstest. Zu den technisch besten Fitnesstrackern gehören demnach die Geräte „Moov Now“, „Fitbit Charge HR“ und „Xiaomi Mi Band“.

Unabhängig davon, für welche Wearables sich der Betrieb letztendlich entscheidet, müssen diese Geräte denjenigen Mitarbeitern, die der Datenerhebung zu Zwecken der Gesundheitsfürsorge eingewilligt haben, auch zur Verfügung gestellt werden. Um die Freiwilligkeit nicht in Frage zu stellen, sollten die Wearables vom Arbeitgeber beschafft und auch im Eigentum des Betriebes verbleiben. Der Mitarbeiter darf das Wearable also nur für den Zweck der Gesundheitsfürsorge erhalten und muss es nach Beendigung der Maßnahme oder dem Beschäftigungsverhältnis wieder an den Arbeitgeber herausgeben. Das sollte bei der Überlassung schriftlich festgehalten werden.

Wird dann bei der Verarbeitung der anonymisierten Gesundheitsdaten etwa festgestellt das sich die Mitarbeiter nur unterdurchschnittlich viel bewegen, könnte die Beteiligung an den Kosten eines Fitnessstudios eine geeignete Maßnahme sein, um Krankheitsausfällen vorzubeugen und das Wohlbefinden der Belegschaft zu steigern. Denkbar sind aber auch Wettbewerbe. Erreichen alle Mitarbeiter die an der Datenerhebung teilnehmen eine bestimmte Schrittzahl oder Menge an geschlafenen Stunden, kann als Preis ein gemeinsamer Betriebsausflug winken – etwa zum Klettergarten oder Kajakfahren. Das Belohnungssystem sollte aber in jedem Fall so ausgerichtet sein, dass alle Mitarbeiter davon profitieren und nicht nur diejenigen eine Vergünstigung oder Vergütung erhalten, die an der Datenerhebung teilgenommen haben.

Sind die vereinbarten Ziele zudem gut erreichbar, ist gewährleistet das sich die Beteiligungsquote innerhalb des Betriebes stetig erhöht. Von sichtbar getragenen Wearables geht zudem Signalwirkung aus – von steigender Akzeptanz und Gesundheitsbewusstsein der Belegschaft kann daher ausgegangen werden.

Fazit

Krankheitsbedingte Fehltage sind mit hohen Ausfallkosten verbunden. Bereits kleine Maßnahmen, wie die Förderung von sportlicher Aktivität der Beschäftigten, könnten dazu beitragen diese Fehltage zu reduzieren. Um die Vorteile einer direkten Datenerhebung durch Wearables zu Zwecken des betrieblichen Gesundheitsmanagements voll ausnutzen zu können, muss ein Rechtfertigungsgrund vorliegen – im Beschäftigungsverhältnis kann dies nur die Einwilligung des Betroffenen sein. Hinzu kommen im Rahmen der Verwendung von personenbezogenen Daten die Anforderungen an technische und organisatorische Maßnahmen zur Datensicherheit. Das betriebliche Gesundheitsmanagement mit Wearables ist also nur dann vergleichsweise schlank, wenn die notwendige Fachkunde zur Beachtung datenschutzrechtlicher Bestimmungen im Betrieb vorhanden ist.

Diese Fachkunde bietet etwa eine zertifizierte Fachkraft für Datenschutz. Gibt es keinen betrieblichen Datenschutzbeauftragten, ist die Bestellung eines externen Datenschutzbeauftragten angezeigt. Denn werden unbefugt, d.h. ohne Rechtsgrund personenbezogene Daten erhoben oder verarbeitet, drohen hohe Bußgelder – gem. § 43 Abs. 2 Nr. 1 iVm. Abs. 3 Satz 1 BDSG liegen diese bei bis zu 300.000 EUR.