Auch nach Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) ist den BEM-Verantwortlichen die Verarbeitung personenbezogener Daten in Fällen erlaubt, in denen sie notwendig ist, um die sich aus dem Gesetz oder der Betriebs- bzw. Dienstvereinbarung ergebenden Rechte und Pflichten wahrnehmen zu können (immer abhängig davon, dass die BEM-berechtigte Person grundsätzlich in die Durchführung eines BEM unter Beteiligung der einzelnen BEM-Akteurinnen -und akteure eingewilligt hat). Dabei handelt es sich um eine zulässige "interne Datenverarbeitung".
Die gesundheitsbezogenen Informationen, die in der BEM-Akte festgehalten sind, fallen allerdings gemäß DSGVO unter "besondere Kategorien personenbezogener Daten" und müssen besonders geschützt werden. Laut den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 Absatz 1 DSGVO) muss die Gestaltung einer BEM-Akte transparent sein. Sie darf sich ausschließlich auf den mit dem BEM verbundenen Zweck beschränken(!).
Beim Umgang mit BEM-Akten muss ein hoher Sicherheitsstandard eingehalten werden. So müssen die BEM-Akten getrennt von den Personalakten aufbewahrt werden und durch besondere Maßnahmen vor unberechtigten Zugriffen geschützt werden – beispielsweise in aufbruchsicheren Schränken aufbewahrt werden. Alle Personen, die berechtigten Zugang zu einer BEM-Akte haben, müssen eine Verschwiegenheitserklärung abgeben.
10 Anhaltspunkte für den Umgang mit personenbezogenen Daten im BEM:
- Daten und Informationen werden so sparsam wie möglich erhoben.
- Daten und Informationen werden nur für den Bestimmunszweck genutzt, in den die BEM-berechtigte Person eingewilligt hat.
- Die Einwilligung wird schriftlich eingeholt (sie darf seitens der BEM-berechtigten Person jederzeit widerrufen werden).
- Alle am BEM beteiligten Personen unterschreiben eine Vereinbarung zur Verschwiegenheit und zum Schutz persönlicher Daten.
- Die datensichere Aufbewahrung der BEM-Akten in verschlossenen Schränken bzw. passwortgeschützten elektronischen Dokumenten wird gewährleistet.
- BEM-Akte und Personalakte werden streng voneinander getrennt. (Nur die Einladung und Rückmeldung zum BEM, ggf. betriebliche Maßnahmen und Beendigung des BEM gehören in die Personalakte. Die BEM-berechtigte Person kann auf Wunsch Akteneinsicht verlangen – sowohl in die Personal- als auch in die BEM-Akte.)
- Jede Weitergabe personenbezogener Daten an Dritte erfordert eine schriftliche Einwilligung seitens der BEM-berechtigten Person. (Dritte sind beispielsweise Ärztinnen und Ärzte, Fachkräfte der Rehabilitation, die Unternehmensleitung oder weitere Personen im BEM-Team.)
- BEM-Verantwortliche fordern keine Unterlagen von behandelnden Ärztinnen/Ärzten der BEM-Berechtigten oder von Rehabilitationsträgern etc. an – auch nicht über die Betriebsärztin oder den Betriebsarzt. (Allein die BEM-berechtigte Person kann diese freiwillig einholen oder jemanden per Einwilligung mit der Einholung von Daten beauftragen. Die behandelnden Ärztinnen und Ärzte benötigen in diesem Fall eine Schweigepflichtsentbindung der BEM-berechtigten Person.)
- Es wird festgelegt (beispielsweise in einer Betriebsvereinbarung zum BEM, siehe oben), wann die im Rahmen des BEM erhobenen Daten vernichtet oder an die BEM-berechtigte Person ausgehändigt werden. (Die BEM-berechtigte Person kann jedoch jederzeit die Löschung ihrer Daten verlangen, beispielsweise wenn sie die Einwilligung in das BEM widerruft).
- In betrieblichen Jahresstatistiken und Berichten dürfen nur Informationen veröffentlicht werden, die keine Wiedererkennung von Personen erlauben.