Wie darf ich personenbezogene Gesundheitsdaten erfassen?
Art. 9 DSGVO: Besondere Kategorien
Gesundheitsdaten sind nach Art. 9 Abs. 1 DSGVO besonders sensible Daten. Verarbeitung ist GRUNDSÄTZLICH VERBOTEN - Ausnahmen müssen explizit greifen.
Die 3 wichtigsten Rechtsgrundlagen
Ausdrückliche Einwilligung (Art. 9 Abs. 2 a): wichtigste Grundlage. Muss schriftlich, freiwillig, informiert und jederzeit widerrufbar sein. Druck oder „Standardkästchen“ macht sie unwirksam.
Arbeitsrechtliche Verpflichtungen (Art. 9 Abs. 2 b in Verbindung mit § 26 Abs. 3 BDSG): z. B. Krankheitsmeldungen ans Unternehmen. Aber: NUR was zwingend nötig ist.
Tarifvertrag / Betriebsvereinbarung (§ 26 Abs. 4 BDSG): GBU-Daten, BEM-Daten dürfen via BV geregelt werden, mit Schutzmaßnahmen.
Praxis-Schutzmaßnahmen
Datenminimierung: nur erfassen, was wirklich nötig ist. Krankheitsmeldung = AU-Tage, nicht Diagnose.
Pseudonymisierung: in BGM-Auswertungen sind Mitarbeiter-IDs ersetzt. Nur HR + Betriebsarzt sehen Klartext.
Aggregations-Schwellen: KEINE Auswertung von Gesundheitsdaten in Teams kleiner als 5 - sonst rückverfolgbar.
Zweckbindung schriftlich: BGM-Daten dürfen NICHT in Personalentscheidungen einfließen. Trennung Belegärztin / HR ist Pflicht.
Speicherbegrenzung: BEM-Akten nach Abschluss zu vernichten, GBU-Rohdaten nach 3 Jahren.
Wer ist verantwortlich
Verantwortlich ist immer der Arbeitgeber (Art. 4 Nr. 7 DSGVO). Auch wenn externe BGM-Dienstleister Daten verarbeiten: per Auftragsverarbeitungsvertrag (AVV) bleibt die Verantwortung beim Arbeitgeber. Datenschutzbeauftragter früh einbeziehen - späteres Reparieren ist teuer.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))