Auf ein datenschutzkonformes betriebliches Eingliederungsmanagement (BEM) hat jede Person, die bedingt durch Krankheit längere Zeit abwesend ist, Anspruch. Dadurch soll u.a. der Wiedereinstieg erleichtert und krankheitsbedingte Bedürfnisse an den Arbeitsplatz sowie das Arbeitsumfeld festgestellt werden.
„Sind Mitarbeiter und Mitarbeiterinnen innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig, klärt der Arbeitgeber mit der zuständigen Interessenvertretung im Sinne des § 176, bei schwerbehinderten Menschen außerdem mit der Schwerbehindertenvertretung, mit Zustimmung und Beteiligung der betroffenen Person die Möglichkeiten, wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann (betriebliches Eingliederungsmanagement).“ 167 Abs. 2 Satz 3 SGB IX
Überprüfen Sie Ihr Wissen zu den Rechten und Pflichten im BEM mit unserer kostenlosen Online-Schulung:
ShapeMinds Bereits beim verpflichtenden Anbieten einer BEM-Maßnahme sind datenschutzrechtliche Vorgaben zu beachten. Diese beziehen sich auch auf das datenschutzkonforme Anlegen einer BEM-Akte sowie auf die Aufbewahrung der Unterlagen.
To Do: Arbeitnehmer auf Datenerhebung hinweisen
Der Rahmen für ein datenschutzkonformes betriebliches Eingliederungsmanagement (BEM) beinhaltet die Verarbeitung von (sensiblen) personenbezogenen Daten. Darüber muss die betroffene Person bereits vor dem Beginn der BEM-Maßnahme hingewiesen werden. Deshalb sollten sich Arbeitgeber die Zustimmung zur Datenerhebung und Datenverarbeitung schriftlich zusichern lassen. Als Rechtsgrundlage eignen sich die folgenden Formate bedingt:
- Betriebsvereinbarung
- gesetzliche Ermächtigungsgrundlage
- schriftliche Einwilligung der betroffenen Person
Betriebsvereinbarung: Ist die Betriebsvereinbarung die Ermächtigungsgrundlage, muss diese den Grundsätzen der DSGVO entsprechen. Insbesondere der Art. 5 DSGVO zur Verarbeitung personenbezogener Daten muss hierbei beachtet werden. Ob eine Betriebsvereinbarung diese Anforderungen tatsächlich erfüllt, lässt sich in der Praxis aber oft nur sehr schwer feststellen, somit könnte u.U. diese Rechtsgrundlage in Frage gestellt werden.
Gesetzliche Ermächtigungsgrundlage: Der einfache Hinweis auf eine gesetzliche Ermächtigungsgrundlage zur Datenerhebung im Sinne des § 26 BDSG reicht nicht aus. Darin ist geregelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn die Verarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Das widerspricht der Idee des BEM: Erst in der Durchführung des BEM-Verfahrens werden die Ziele dieses Prozesses überhaupt erarbeitet. Es kann also im Vorhinein noch gar nicht benannt werden, welche Daten für die Durchführung benötigt und dementsprechend erhoben werden dürfen.
Schriftliche Einwilligung der betroffenen Person: Als gesetzliche Ermächtigungsgrundlage kommt also eine Einwilligung gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG in Frage.
Anforderung Prozessbeschreibung BEM
Aufsetzen einer schriftlichen Einwilligungserklärung zur Datenverarbeitung
Es ist aus den oben genannten Gründen empfehlenswert, für eine datenschutzkonforme Einwilligung in ein BEM-Verfahren eine gesonderte Einwilligungserklärung zur Datenerhebung sowie Datenverarbeitung aufzusetzen.
Eine Einwilligungserklärung muss immer freiwillig abgeben werden. Das bedeutet in der Praxis, dass der Mitarbeiter / die Mitarbeiterin genausten darüber aufgeklärt wird, welche Daten in einem bestimmten Zeitraum erhoben werden.
Der Zweckbindungsgrundsatz besagt außerdem, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen (Art. 5, Abs. 1 b DSGVO). Gemäß diesem Grundsatz müssen die Zwecke der Datenerhebung und -verarbeitung im Rahmen eines BEM-Verfahrens genauestens angegeben werden.
Einsatz von BEM-Dienstleistern
Wird ein Dienstleister mit der Durchführung eines BEM-Verfahrens beauftragt, sollte sich neben der reinen Zustimmung für die Teilnahme am BEM-Verfahren, die Einwilligung auch auf den Einsatz des BEM-Dienstleisters beziehen.
Zudem ist es wichtig, um den Schutz personenbezogener Daten der Mitarbeiter und Mitarbeiterinnen im Rahmen des BEM-Verfahrens sicherzustellen, eine datenschutzrechtliche Vereinbarung mit dem BEM-Dienstleister abzuschließen. In dieser Vereinbarung sind alle Rechte und Pflichten der Vertragsparteien festzulegen, um den Schutz der Beschäftigtendaten sicherzustellen.
Anlegen und Führen einer BEM-Akte
Hat sich die betroffene Person für die Durchführung eines BEM-Verfahrens entschieden, muss eine von der Personalakte abgesonderte BEM-Akte angelegt werden.
Das ist notwendig, weil die im Rahmen des BEM-Verfahrenserhobenen (Gesundheits-)Daten besonders schutzwürdig sind. Grundsätzlich ist gemäß Art. 9 DSGVO, Abs. 1 die „Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ untersagt.
Nur unter besonderen Umständen, die in Art. 9 DSGVO Abs. 2 definiert sind, ist eine Ausnahme zulässig, wozu auch die Durchführung eines BEM-Verfahrens gehört.
Um diese sensiblen und besonders schutzwürdigen Daten aufzubewahren, gelten für den Umgang und die Aufbewahrung der BEM-Akte hohe Anforderungen.
Diese sind im Wesentlichen:
- Gesundheitsdaten aus der BEM-Akte dürfen nicht in die Personalakte übernommen werden
- BEM-Akte ist räumlich und funktional von der Personalakte getrennt aufzubewahren
- Daten, die als Nachweis über das ordnungsgemäße BEM-Verfahren, gelten, dürfen in die Personalakte übernommen werden
Dazu gehören:
– Zeitpunkt des BEM-Angebots sowie Ergebnis (Zusage/ Ablehnung)
– Angabe von konkreten Maßnahmen, die angeboten und umgesetzt wurden - die BEM-Akte sollte in Papierformat geführt werden
- Zugriff auf BEM-Akte ausschließlich für fest definierte und limitierte Personenzahl: Mitarbeiter und Mitarbeiterinnen aus Personalabteilung sollten nicht darunter sein, um der Zweckentfremdung von Daten vorzubeugen
- BEM-Akte wird in separat zu verschließenden Schrank aufbewahrt, der sich im Sicherheitsbereich eines BEM-Verantwortlichen befindet
- Zugriff auf BEM-Akte wird mit Datum und Unterschrift protokolliert
BEM und Kündigung
Die erhobenen Daten des BEM-Verfahrens dürfen nur soweit genutzt werden, wie es die Einwilligungserklärung der betroffenen Person zulässt.
Deshalb dürfen die erhobenen Gesundheitsdaten nicht genutzt werden, um eine anschließende Kündigung vorzubereiten. Arbeitgeber dürfen in der Kündigungsbegründung lediglich angeben, dass das Mittel „datenschutzkonformes betriebliches Eingliederungsmanagement (BEM)“ genutzt wurde – ohne jedoch auf Inhalte der BEM-Akte zuzugreifen.
Überprüfen Sie Ihr Wissen zu den Rechten und Pflichten im BEM mit unserer kostenlosen Online-Schulung:
ShapeMinds Aufbewahrungsfrist der BEM-Akte
Grundsätzlich richtet sich die Aufbewahrungsfrist im Sinne der DSGVO nach dem Zeitpunkt, an dem der Zweck der Datenspeicherung endet. Das bedeutet: Ist ein BEM-Verfahren beendet, entfällt auch der Zweck der angelegten BEM-Akte.
In der Praxis hat sich jedoch die folgende Handhabung bewährt:
- BEM-Verfahren wurde angenommen und durchgeführt: Die Akte wird ab der Beendigung des Verfahrens für drei Jahre aufbewahrt. So kann bei einer Folgeerkrankung der betroffenen Person die BEM-Akte genutzt werden, um ggf. ein erneutes BEM-Verfahren durchzuführen und auf die bestehenden Daten zurückzugreifen.
- BEM-Verfahren wird angeboten und abgelehnt bzw. die Einwilligung widerrufen: Die BEM-Akte wird umgehend vernichtet. In der Personalakte werden lediglich alle notwendigen Nachweise über das erfolgte Anbieten eines ordnungsgemäßen BEM-Verfahrens gespeichert.
Prozess datenschutzkonformes betriebliches Eingliederungsmanagement (BEM)
Arbeitgeber sollten prüfen, ob in ihrem Unternehmen ein entsprechender Prozess beschrieben ist, der die gesetzlichen Vorgaben berücksichtigt. Auch alle mitgeltenden Dokumente sollten in regelmäßigen Abständen auf Aktualität und Anwendbarkeit hin geprüft werden.
Dann kontaktieren Sie uns gern!