Neugierig auf mehr?

Digitalisierung, Arbeitsschutz

Arbeitssicherheit und Datenschutz: Was Sie beachten müssen

Kleiner Guide für clevere Betriebe

20 Minuten07.01.2020

Gesundheits- und Arbeitsschutz funktioniert in den meisten Fällen nur mit personenbezogenen Daten. Im Bereich Ergonomie müssen sich Fachkräfte z.B. fragen: Wie groß ist Frau Mayer und wie sollte ich dementsprechend ihren Schreibtisch einstellen? Das Dokumentieren ist bei vielen Aufgaben unumgänglich. Dokumentation wiederum heißt: Daten erfassen. Und da ist der Datenschutzbeauftragte mit seinen Forderungen nicht weit. Deshalb sollten am Arbeitsschutz beteiligte Personen gesetzliche Vorschriften genau kennen und wissen, wie die Verarbeitung von persönlichen Daten erfolgt. In diesem Artikel erhalten Sie einen kleinen Einblick über die aktuelle Rechtslage und erfahren, was im Alltag zu beachten ist.

Datenschutz: Das sind die wichtigsten Gesetze

Viele Daten, die im Zusammenhang mit Arbeitsschutzmaßnahmen erhoben werden, sind personenbezogen. Deshalb fallen sie unter die Regelung des Beschäftigtendatenschutzes. Seit dem 25.05.2018 gilt in Deutschland die Datenschutz-Grundverordnung (DSGVO). Das bis dato geltende Datenschutzrecht wurde an die Verordnung der Europäischen Union angepasst: Das Bundesdatenschutzgesetz (BDSG) ist novelliert worden und gilt seit dem Inkrafttreten der DSGVO. In § 26 Abs. 1 S. 1 BDSG, welcher den Beschäftigtendatenschutz behandelt, wurde neu geregelt:

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“ 

Hilfe bei der Prüfung der Erforderlichkeit leistet hier die Gesetzesbegründung (BT-Drucksache 18/11325, S. 96.):

„Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.“ 

Das heißt: Ist eine Maßnahme nicht erforderlich und existiert keine gesetzliche Regelung (z.B. Arbeitsschutzgesetz), die dazu berechtigt, die Maßnahme durchzuführen, bedarf es einer Einwilligung.

Bei jeder Maßnahme im Arbeits- und Gesundheitsschutz müssen Sie folgende Fragen beantworten:

  1. Werden bei der Maßnahme personenbezogene Daten erfasst?

  2. Wenn ja: Ist die Erfassung notwendig und ergibt sich die Maßnahme aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- bzw. Dienstvereinbarung?

  3. Falls nicht und falls eine Einwilligung des Beschäftigten benötigt wird, um seine Daten zu erfassen: Liegt diese Einwilligung vor?
     

Die Erhebung von Beschäftigtendaten ist gemäß Art. 88 Abs. 1 DSGVO für folgende unternehmerische Zwecke erforderlich:

  • die Einstellung

  • die Erfüllung des Arbeitsvertrags, einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten 

  • das Management

  • die Planung und Organisation der Arbeit

  • die Gleichheit und Diversität am Arbeitsplatz

  • die Gesundheit und Sicherheit am Arbeitsplatz

  • den Schutz des Eigentums der Arbeitgeber oder Kunden

  • die Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen

  • die Beendigung des Beschäftigungsverhältnisses


Diese Forderung der DSGVO ist durch § 26 Abs. 1 S. 1 BDSG in nationales Recht umgesetzt.

Die Beteiligung des Betriebs- bzw. Personalrats ist in dem Prozess aufgrund seiner Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG obligatorisch. Zudem muss der Betriebsrat über die Einhaltung des Datenschutzrechts und anderer Vorschriften zum Schutz von Arbeitnehmern gemäß § 80 Abs. 1 Nr. 1 BetrVG wachen. Es empfiehlt sich, Unternehmensrichtlinien zum Datenschutz auszuarbeiten, um die Datenverarbeitung am Arbeitsplatz transparent und rechtssicher zu regeln. Zudem ist zu beachten, dass die datenschutzrechtlichen Regelungen auch gegenüber dem Betriebsrat einzuhalten sind. 

Arbeitsschutzrechtliche Maßnahmen und Datenschutzprinzipen

Im Rahmen der arbeitsschutzrechtlichen Maßnahmen sollten Sie prüfen, ob beim Erfassen von Arbeitnehmerdaten Rückschlüsse auf die einzelnen Personen möglich sind. Ist dies der Fall, unterliegen sämtliche erfassten Daten den Datenschutzprinzipen nach Art. 5 Abs. 1 DSGVO. Das sind im Einzelnen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

  • Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Tipp

Ein Arbeitsschutzmanagementsystem (AMS) erleichtert diese Aufgabe enorm, da Prozesse und Maßnahmen bekannt sowie ihre Organisation und Durchführung gut beschrieben sind.

Bewertung der einzelnen Arbeitsschutzprozesse auf Datenschutzrelevanz

Die folgende Grafik gibt einen Überblick über die wichtigsten für den Datenschutz relevanten Arbeitsschutzmaßnahmen. Sie lassen sich in sechs Prozesse einordnen:

  1. Arbeitsmedizin / Betriebliches Eingliederungsmanagement (BEM) / Betriebliches Gesundheitsmanagement (BGM)

  2. Beschaffung von Arbeitsmitteln

  3. Unfälle / Sachschäden

  4. Überwachung

  5. Unterweisung / Schulung

  6. Gefährdungsbeurteilung

  • Arbeitssicherheit im Einklang mit Datenschutz: Haben Sie an alles gedacht?

Arbeitsmedizin / Betriebliches Eingliederungsmanagement (BEM) / Betriebliches Gesundheitsmanagement (BGM)

Arbeitsmedizinische Vorsorge

Im Rahmen der arbeitsmedizinischen Vorsorge müssen Sie festlegen, welche Tätigkeiten einer arbeitsmedizinischen Vorsorge bedürfen. Ist eine Pflichtvorsorge oder Eignungsvorsorge notwendig oder sollten Sie Mitarbeitern eine arbeitsmedizinische Vorsorge anbieten? Führen Sie eine Vorsorgekartei, die den Nachweis der einzelnen arbeitsmedizinischen Vorsorgen dokumentiert. Die darin enthaltenen Daten sind höchst sensibel und bedürfen eines besonderen Schutzes. Dies folgt nicht zuletzt aus den erhöhten Schutzbedarfen für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.

Betriebliches Eingliederungsmanagement (BEM) / Betriebliches Gesundheitsmanagement (BGM)

Das betriebliche Wiedereingliederungsmanagement (BEM, auch Rückkehrgespräche genannt) ist auf die freiwillige Auskunft des Mitarbeiters über seinen Gesundheitszustand angewiesen. Diese Angaben werden im Protokoll festgehalten, um eine Entscheidung über die weitere Beschäftigung im Betrieb zu treffen. Auch diese Daten sind nach der DSGVO zu behandeln.

Anzeige einer Berufskrankheit

Wird durch den Betriebsarzt eine Berufskrankheit bei einem Ihrer Mitarbeiter diagnostiziert und bei der Berufsgenossenschaft (BG) angezeigt, landet diese Anzeige ebenfalls auf Ihrem Schreibtisch. Aufgrund der Information untersuchen Sie, ob die Ursachen der Erkrankung in der Tätigkeit des Mitarbeiters liegen. Sollte dem der Fall sein, sind Maßnahmen zu ergreifen, um weitere Mitarbeiter vor der Erkrankung zu schützen. Protokolle von Untersuchungen enthalten sehr sensible persönliche Daten, die das Unternehmen besonders schützen muss.

Beschaffung von Arbeitsmitteln

Beschaffung von Persönlicher Schutzausrüstung (PSA)

Die PSA-Benutzungsverordnung (PSA-BV) schreibt in § 2 Abs. 1 Nr. 4 PSA-BV vor, dass der „Arbeitgeber nur persönliche Schutzausrüstungen auswählen und den Beschäftigten bereitstellen [darf], die den ergonomischen Anforderungen und den gesundheitlichen Erfordernissen der Beschäftigten entsprechen“. Dem können Sie nur gerecht werden, wenn Sie die gesundheitlichen Erfordernisse der Mitarbeiter kennen. Die dafür erhobenen Daten dürfen Sie nur zweckgebunden verwenden.

Arbeitsplatzhilfsmittel

Auch Hilfsmittel für Arbeitsplätze sollten mit dem gleichen Verfahren wie für PSA beschafft werden, um die Zweckbindung der erhobenen Daten zu garantieren. Beispiele hierfür können sein:

  • Fußablagen für Schreibtische

  • verstärkte Gasfedern für Bürostühle 

  • ähnliche Hilfsmittel für besonders kleine bzw. große oder für leistungseingeschränkte Mitarbeiter

Unfälle / Sachschäden

Verbandbuch

Nach § 24 Abs. 6 DGUV Vorschrift 1 sind sämtliche Erste-Hilfe-Leistungen im Betrieb zu dokumentieren. Die meisten Unternehmen verwenden zu diesem Zweck ein Verbandbuch, das sich in der Nähe des Erste-Hilfe-Kastens befindet. Dies ist nach Art. 9 DSGVO nicht zulässig. Denn alle Mitarbeiter haben so Zugriff auf Aufzeichnungen, die den Namen des Verletzten, die Art der Verletzung und die Erste-Hilfe-Leistung beinhalten. Es handelt sich hierbei um sensible Daten, die Unternehmen streng vertraulich behandeln müssen. Um dem Datenschutz gerecht zu werden, gibt es von der Deutschen Gesetzlichen Unfallversicherung (DGUV) einen Meldeblock, der anstatt des Verbandbuchs eingesetzt werden kann. Die Seiten des Blocks lassen sich einzeln abtrennen. Den unausgefüllten Block kann das Unternehmen im Verbandkasten und die ausgefüllten Meldezettel zugriffsgeschützt aufbewahren. Eine weitere Möglichkeit ist, Einträge im digitalen Verbandbuch zentral und einheitlich mithilfe einer HSEQ-Software zu pflegen. 

Unfallmeldung an die Berufsgenossenschaft (BG)

Dieser Prozess ist unkritisch. Daran sind nur der betroffene Mitarbeiter, der Sachbearbeiter, der Betriebsrat und die Fachkraft für Arbeitssicherheit beteiligt. Alle Beteiligten haben entweder ein persönliches Interesse und/oder sind zur Verschwiegenheit verpflichtet. 

Schadensmeldung an die Sachversicherung

Wie bei der Unfallmeldung an die BG ist auch dieser Prozess unkritisch. Alle Beteiligten haben ebenfalls ein Eigeninteresse an der Verschwiegenheit und/oder sind dazu verpflichtet.

Überwachung / Erfassung

Alleinarbeit

Alleinarbeit kommt in der heutigen Arbeitswelt weit häufiger vor als angenommen. Zum Schutz der Mitarbeiter ist es wichtig, dass sie in Notfällen in die Lage versetzt werden, umgehend Hilfe zu holen bzw. dass Hilfe sie schnell erreicht. In bestimmten Fällen ist Alleinarbeit bei erhöhter Gefährdung unter Einsatz von Überwachungssystemen erlaubt. Diese Systeme sollten den Namen des Mitarbeiters, den Einsatzort und die Zeit des Einsatzes aufzeichnen. Solche Daten sind allerdings nur im Falle eines Notrufes des Mitarbeiters zu speichern. Im Normalfall gilt es, sie sofort zu löschen. Somit ist die Forderung aus Art. 5 Abs. 1 lit. c der DSGVO (Datenminimierung) und aus Art. 5 Abs. 1 lit. e der DSGVO (Speicherbegrenzung) erfüllt. Hier empfiehlt es sich, eine Betriebsvereinbarung mit dem Betriebsrat/Personalrat zu schließen, um:

  1. die Mitbestimmungsrechte des Betriebsrates/Personalrates zu wahren

  2. das Verfahren, auch in Hinsicht auf Datensicherheit, festzuschreiben. Dabei sind vor allem die Zweckbindung und die Integrität der Daten wichtig.

Erfassung von Arbeitszeit

Arbeitszeit ist auch für den Arbeits- und Gesundheitsschutz von Bedeutung. Diese Daten sind nicht nur dem Betriebsrat zugänglich zu machen, sondern auch der Fachkraft für Arbeitssicherheit und dem Betriebsarzt. Arbeitszeit wird in Verbindung mit weiteren Personaldaten zu einem personenbezogenen Datum. Deshalb müssen die Grundsätze aus Art. 5 DSGVO angewandt werden. Sie gelten nicht nur für digital gespeicherte, sondern auch für analoge Daten.

Unterweisung / Schulung

Erstunterweisung / Wiederholungsunterweisung

Protokolle von Unterweisungen beinhalten die Namen der Teilnehmer. Es handelt sich hierbei um personenbezogene Daten, die unter die DSGVO fallen. Die Geheimhaltung der Daten ist prinzipiell gegeben. Fachkräfte sollten auf die DSGVO-Forderung nach Datenminimierung und Speicherbegrenzung achten. Im Hinblick auf die Archivierung gibt es verschiedene Anhaltspunkte: Einerseits kann darauf abgestellt werden, dass nach der nächsten Unterweisung das vorherige Protokoll vernichtet wird. Andererseits können spezialgesetzliche Vorschriften aussagen, dass zwei Jahre Aufbewahrungsfrist angemessen sind. Zur Sicherheit ist die Zwei-Jahres-Frist zu empfehlen. Eine Software für Online-Unterweisungen kann Sie beim Unterweisungsmanagement und der Einhaltung der damit verbundenen Datenschutzbestimmungen unterstützen.

Brandschutzübungen

Die am häufigsten durchgeführten Übungen in Unternehmen sind Brandschutzübungen. Aber auch andere Übungen im Rahmen der Notfallvorsorge sind denkbar. Um die Wirksamkeit und den Erfolg einer Übung beurteilen zu können, sind Aufzeichnungen und Protokolle notwendig. Auch hier können Daten erfasst werden, die Sie eindeutig einem Mitarbeiter zuordnen können. Dementsprechend fallen solche Dokumente ebenfalls unter die Vorschriften der DSGVO. Protokolle und Aufzeichnungen sind nur berechtigten Personen zugänglich machen. Hierzu gehören u.a. der Brandschutzbeauftragte, Brandschutzhelfer und Betriebsleiter/Unternehmer sowie Betriebsratsmitglieder. Beachten Sie in jedem Fall das Gebot der Datenminimierung und Speicherbegrenzung.

Gefährdungsbeurteilung

Arbeitsplatzbezogene Gefährdungsbeurteilungen

§ 5 ArbSchG, § 3 ArbStättV und weitere Verordnungen schreiben vor, dass Unternehmen Gefährdungen am Arbeitsplatz ermitteln müssen. Werden Gefährdungsbeurteilungen nicht für eine Vielzahl vergleichbarer Arbeitsplätze, sondern für einzelne Arbeitsplätze durchgeführt, müssen Sie Folgendes beachten: Sollte die Individualisierung der erhobenen Daten auf bestimmte Arbeitnehmer zurückzuführen sein, informieren Sie bitte die betroffenen Mitarbeiter über diese Erhebung. Auch hier bietet es sich an, mit dem Betriebsrat/Personalrat eine Betriebsvereinbarung abzuschließen. Die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) empfiehlt, sieben Schritte bei der Erstellung von Gefährdungsbeurteilungen zu beachten. Diese üblichen Schritte vollziehen Sie mit einer HSEQ-Software sicher und intuitiv.

Beurteilung von psychischen Belastung / Gefährdungsbeurteilung nach Mutterschutzgesetz (MuSchG)

Ein besonderer Fall der Gefährdungsbeurteilung ist die Beurteilung der psychischen Belastung und die Gefährdungsbeurteilung nach dem Mutterschutzgesetz (MuSchG)

Bei der Beurteilung der psychischen Belastung am Arbeitsplatz sollten Sie, schon aus Akzeptanzgründen, die Datenerhebung möglichst an externe Anbieter vergeben. Sie erhalten dann eine vollkommen anonymisierte statistische Auswertung der Daten. Bei der Festlegung und Umsetzung von Maßnahmen greifen selbstverständlich wieder die Vorschriften der DSGVO. Beachten Sie, dass zu Ihrem Dienstleister – je nach Auftrag und übermittelten Daten – ggf. ein Auftragsverarbeitungsverhältnis besteht. Sie müssen ihn dann nach den jeweiligen Datenschutzvorschriften überprüfen. Eine zusätzliche Gefährdungsbeurteilung bei der Anzeige einer Schwangerschaft ist nach der neuen Gesetzgebung nicht mehr notwendig. Sämtliche Arbeitsplätze sind unter dem Aspekt zu beurteilen, ob schwangere und stillende Mütter beschäftigt werden dürfen.

Digitales Sicherheitspaket: Datenschutz mit System

Klar ist: Die Digitalisierung verändert Märkte und Unternehmen. Vorbei sind die Zeiten der Zettelwirtschaft! Im Arbeits- und Gesundheitsschutz arbeiten einige Unternehmen noch mit Papierdokumenten oder Excel. Die Folgen: Daten werden in unzähligen Listen gespeichert, die durch Mehrfachbearbeitung nicht über die notwendige Qualität verfügen und keine verlässliche Versionskontrolle gewährleisten. Aufgrund von Informationslücken, unsystematischer Dokumentation oder Datenfriedhöfen können sich Fachexperten nur bedingt auf ihre Kernaufgaben konzentrieren. 

Eine HSEQ-Software unterstützt sie bei der Datenerfassung und –verarbeitung. Über das integrierte Berechtigungskonzept haben nur autorisierte Personen Zugang auf das System. Sie dürfen dementsprechend nur die für sie bestimmten Anwendungsbereiche einsehen. Zugriffe lassen sich hinunter bis zum einzelnen Datensatz und Dokument (bspw. eine Unfallmeldung) regulieren. Beachten Sie im Zusammenhang mit Datenschutz und HSEQ-Software: Wählen Sie am besten einen Anbieter, der und dessen High-Security-Rechenzentrum nach ISO/IEC 27001 (Norm für Informationssicherheit) geprüft ist. Mit der Online-Lösung Quentic können Sie alle Anforderungen der DSGVO einhalten: Hierzu zählen unter anderem das Recht auf Auskunft (Art. 15 DSGVO),  das Recht auf Vergessenwerden (Art. 17 DSGVO), Privacy by Design und Default (Art. 25 DSGVO) sowie Sicherheit bei der Verarbeitung und Auswertung von Daten (Art. 32 und 35 DSGVO).

Fazit: Arbeits- und Datenschutz gehen in Unternehmen Hand in Hand

Die zuvor genannten Punkte zeigen, dass viele Prozesse und Maßnahmen im Arbeitsschutz mit einer Datenerfassung verbunden sind. Sämtliche am Arbeitsschutz beteiligte Personen müssen beachten:

  1. Sie erfassen Daten

  2. Diese Daten sind zumeist sehr sensibel

  3. Diese Daten sind immer nach den Grundsätzen des Datenschutzes zu behandeln

Sie sollten bei allen Maßnahmen im Arbeits- und Gesundheitsschutz eng mit dem Datenschutzbeauftragten in Ihrem Unternehmen zusammenarbeiten. Binden Sie ihn im Interesse der Wahrung der Vorgaben aus der DSGVO und dem BDSG bei Maßnahmen frühzeitig ein, um mögliche Risiken früh zu erkennen und entsprechend gegenzusteuern. 

 

X