Arbeitgeber in Deutschland sind gemäß § 167 Abs. 2 SGB IX dazu verpflichtet, Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein sog. Betriebliches Eingliederungsmanagement (BEM) anzubieten. Ziele des BEM- Verfahrens sind die Überwindung der Arbeitsunfähigkeit, die Vorbeugung weiterer Arbeitsunfähigkeitszeiten sowie der Erhalt des Arbeitsplatzes. Das wichtigste Prinzip hierbei ist, dass die Teilnahme an dem BEM-Verfahren für den Beschäftigten freiwillig ist. Damit dieser seine Entscheidung in Kenntnis der Sach- und Rechtslage treffen kann, muss er vorab, idealerweise in einem umfassenden Informationsgespräch, von dem Arbeitgeber hinreichend transparent über die Datenverarbeitung im Rahmen des BEM-Verfahrens informiert werden.
Hohe Anforderungen an den Schutz der Gesundheitsdaten
Entscheidet sich der Beschäftigte für die Durchführung des BEM-Verfahrens, werden naturgemäß Gesundheitsdaten des Beschäftigten durch den Arbeitgeber verarbeitet. Aufgrund der damit einhergehenden Sensibilität sind diese Daten als besondere Kategorien personenbezogener Daten durch Art. 9 DSGVO besonders geschützt. Um diesem Schutz hinreichend Rechnung zu tragen und ein zielführendes BEM-Verfahren nicht zu gefährden, werden an die Aufbewahrung von personenbezogenen Daten aus dem BEM-Verfahren nach Art. 5 Abs. 1, 32 DSGVO hohe Anforderungen gestellt:
Gesundheitsdaten aus dem BEM-Verfahren dürfen nicht in die Personalakte des Beschäftigten übernommen werden. Die Daten sind vielmehr in einer separaten BEM-Akte räumlich und funktional getrennt von der Personalakte aufzubewahren. In die Personalakte dürfen nur solche Angaben aufgenommen werden, die zum Nachweis des ordnungsgemäßen BEM-Verfahrens erforderlich sind. Hierzu gehören, ob und wann die Durchführung eines BEM angeboten wurde, ob die betroffene Person hiermit einverstanden war oder das BEM abgelehnt hat und welche konkreten Maßnahmen angeboten und umgesetzt wurden. Konkrete Leistungseinschränkungen oder Diagnosen gehören nicht dazu und sind daher ausschließlich in der BEM-Akte zu vermerken.
Die BEM-Akte sollte zudem grundsätzlich in Papierformat geführt werden. Als Hauptargumente gegen eine elektronische Aktenführung werden der mangelnde Zugriffsschutz sowie die leichtere Vervielfältigungsmöglichkeit bei elektronischen Dateien angeführt.
Zugriff auf die BEM-Akte darf nur ein fest definierter, limitierter Personenkreis haben, der mit der Durchführung des BEM-Verfahrens betraut ist (sog. BEM-Team oder der BEM-Verantwortliche). Zu beachten ist hierbei, dass die Aufsichtsbehörde Baden-Württemberg in ihrem Tätigkeitsbericht 2016/2017 von der Beteiligung von Mitarbeitern aus der Personalverwaltung als BEM-Verantwortliche wegen des Risikos, dass die Daten zweckentfremdet werden, abrät. Die Schränke, in denen die BEM-Akten gelagert werden, sind im Sicherheitsbereich des BEM-Verantwortlichen unterzubringen und separat zu verschließen. Hierdurch wird gewährleistet, dass die Gesundheitsdaten nicht unbefugt eingesehen werden können. Jeder Zugriff auf die BEM-Akte sollte mit Datum und Unterschrift protokolliert werden. Bei größeren Unternehmen mit einem räumlich angegliederten Betriebsarzt empfiehlt sich zudem die Lagerung der BEM-Akten in den Räumen des Betriebsarztes, da dieser der ärztlichen Schweigepflicht unterliegt.
Die Daten aus der BEM-Akte dürfen nur zweckgebunden im Rahmen der Reichweite der Einwilligung genutzt werden. Daraus ergibt sich, dass es einem Arbeitgeber grundsätzlich verwehrt ist, die im Rahmen der BEM erhobenen Gesundheitsdaten beispielsweise zur Vorbereitung einer krankheitsbedingten Kündigung zu verwenden. Es darf im Falle einer Kündigung nur der Nachweis erbracht werden, dass ein BEM-Verfahren als milderes Mittel vorher durchgeführt worden ist. Ein Zugriff auf die Inhalte der BEM-Akte darf hierfür aber nicht eingerichtet werden.
Wie lange dürfen die Daten aufbewahrt werden?
Die zulässige Aufbewahrungsdauer für die BEM-Akte ist zudem umstritten. Einerseits wird die Ansicht vertreten, diese unmittelbar nach Abschluss des BEM-Verfahrens zu vernichten, da der Zweck der Datenspeicherung zu diesem Zeitpunkt entfällt. Nach der wohl überwiegenden Ansicht wird jedoch eine Aufbewahrungsdauer von drei Jahren ab Beendigung des BEM-Verfahrens als zulässig erachtet, um bei etwaigen Folgeerkrankungen auf Wunsch des Mitarbeiters auf die bisherigen BEM-Daten zugreifen zu können. Lehnt der Mitarbeiter hingegen die Durchführung des BEM-Verfahrens ab oder widerruft seine Einwilligung in die Datenverarbeitung, ist die BEM-Akte unverzüglich zu vernichten. Aufbewahrt werden dürfen in diesem Fall nur noch die Daten, die zum Nachweis des ordnungsgemäßen BEM-Verfahrens in der Personalakte gespeichert sind.
Nur bei Einhaltung der vorstehenden Anforderungen kann gewährleistet werden, dass die sensiblen Daten aus dem BEM-Verfahren vor unrechtmäßigem Zugriff geschützt sind, nicht zweckentfremdet verwendet werden und der Beschäftigte so seinem Arbeitgeber das für ein zielführendes BEM- Verfahren erforderliche Vertrauen entgegenbringen kann.
15. September 2022 @ 18:04
Hallo zusammen,
kann eine BEM-Akte digital unterzeichnet werden oder ist sie dann „ungültig“?
6. September 2022 @ 14:20
Eine Kollegin hat das BEM abgelehnt, unser Firmenanwalt möchte die Einladung und die Ablehnung für das Arbeitsgericht. Darf ich das rausgeben oder nur mitteilen, dass auf die Einladung die Ablehnung folgte?
11. August 2022 @ 13:35
Guten Tag,
darf ich als persönlich Betroffener Einsicht in die BEM Akte fordern?
Ist mir diese daraufhin direkt auszuhändigen?
Mit freundlichen Grüßen
D.Dethloff
30. Januar 2019 @ 14:42
Guten Tag,
es handelt sich um den 33. Tätigkeitsbericht 2016/2017. Ich habe dies entsprechend geändert. Dort finden sich auch eine Vielzahl an Voraussetzungen, die aus Sicht der Aufsichtsbehörde beim BEM eingehalten werden müssen. Im Übrigen gibt mein Artikel den aktuellen Meinungsstand wieder. Die Pflicht zur Einhaltung von Maßnahmen zur Datensicherheit folgt grundsätzlich aus Art. 5 Abs. 1, 32 DSGVO.
30. Januar 2019 @ 13:39
Guten Tag Frau Salabarria,
obwohl ich Ihrer Darstellung grundsätzlich folgen kann, fehlen mir leider Quellen und der konkrete Bezug zu den Regelungen der DSGVO aus denen sich die Verhaltensweisen herleiten lassen.
Im 28. Tätigkeitsbericht des Datenschutzbeauftragten von Daden-Württemberg habe ich nichts zum BEM gefunden. Vielleicht können Sie mir da helfen?
Danke und schönen Gruß