Bei Gesundheitsdaten gelten strengere Vorgaben

(c) gettyimages/PhotoBylove
(c) gettyimages/PhotoBylove

Im BGM werden sensible personenbezogene Daten gesammelt, die vor allem auf Grund der Regelungen der DSGVO verantwortungsvoll behandelt werden müssen. Catharina Glugla, Associate für Arbeitsrecht und Datenschutz bei Allen & Overy, erklärt, worauf Sie achten sollten.

Frau Glugla, welche Auswirkungen hatte die DSGVO auf die Verwendung personenbezogener Gesundheitsdaten in Unternehmen?

Catharina Glugla: Die DSGVO regelt allgemein den Umgang mit personenbezogenen Daten, also Informationen zu natürlichen Personen. Sie regelte, unter welchen Voraussetzungen personenbezogene Daten genutzt werden dürfen und welche Prozesse dabei zu beachten sind. Bei personenbezogenen Gesundheitsdaten müssen zu diesen allgemeinen Vorgaben noch weitere, strengere Vorgaben eingehalten werden. Personenbezogene Gesundheitsdaten sind aus Sicht des Betroffenen besonders sensibel, insbesondere wenn der Arbeitgeber Gesundheitsdaten erhält und nutzt. Sie werden von der DSGVO daher speziell geschützt. Gerade im Bereich des betrieblichen Gesundheitsmanagements ist das Thema Datenschutz daher ein außerordentlich wichtiges Thema.

+++ Erleben Sie Catharina Glugla auf der 9. Tagung Corporate Health am 25. & 26. Februar in Berlin und erfahren Sie mehr über Datenschutz beim betrieblichen Gesundheitsmanagement.+++

 Inwieweit erschweren die Regelung der DSGVO also die Umsetzung eines wirksamen BGM?

Nicht alle Informationen und Daten im Rahmen eines BGM sind personenbezogen. Beziehen sich die Information jedoch auf eine natürliche Person, sind die Vorgaben der DSGVO zu beachten und zwar bereits vor der Einführung eines BGM. So ist etwa vorab eine Datenschutz-Folgenabschätzung durchzuführen. Hier müssen die Risiken des BGM aus Datenschutzsicht genau bewertet und abgewogen werden. Welche Herausforderungen der DSGVO für Personaler, Juristen und Datenschutzbeauftragte bei Corporate-Health-Angeboten besonders wichtig sind und wie individuelle und innovative BGM-Maßnahmen DSGVO-zulässig umgesetzt werden können, vermittelt mein Vortrag. Das Modul gibt einen kurzen Überblick über das Rüstzeug zur Datenschutz-Compliance im BGM und zeigt, warum Datenschutz-Compliance aus Unternehmenssicht nicht nur zur Vermeidung von Geldbußen wichtig ist.

Mit welchen Strafen haben Unternehmen zu rechnen, wenn Sie die Regelungen in der DSGVO nicht beachten?

Der europäische Gesetzgeber hat in der DSGVO zur Abschreckung den Bußgeldrahmen erheblich erhöht. Verstöße werden nun erstmals mit drakonischen Bußgeldern bedroht: Wer sich nicht an die datenschutzrechtlichen Vorgaben hält, zahlt bis zu 20 Millionen Euro oder 4% des letzten Jahresumsatzes.  Doch es drohen nicht nur Geldbußen. Weiterer wirtschaftlicher Schaden bei Datenschutzverstößen drohen auch durch Imageschäden und Vertrauensverlust der Kunden und Mitarbeiter. Auch Wettbewerber können Datenschutzverstöße abmahnen. Letztlich haben auch die Betroffenen selbst noch die Möglichkeit, Schadensersatz insbesondere in Form des Schmerzensgelds zu fordern. Hierzu gab es in Deutschland bereits ein erstes Urteil im vergangenen Jahr. Mein Vortrag soll dabei helfen die Vorgaben der DSGVO besser zu verstehen und umzusetzen, um diese Folgen zu vermeiden!

(c) privat
(c) privat

Catharina Glugla ist Associate für Arbeitsrecht und Datenschutz bei Allen & Overy in Düsseldorf.