ÄRZTESTELLEN

Datenschutz: So gehen Kliniken korrekt mit Mitarbeiterdaten um

Dtsch Arztebl 2017; 114(40): [2]

Kropp, Henning; Günther, Uwe

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Im Umgang mit Arbeitnehmerdaten gilt es, zahlreiche Besonderheiten zu beachten. In jedem Einzelfall ist abzuwägen zwischen den Interessen des Arbeitgebers und den Persönlichkeitsrechten des Arbeitnehmers.

Foto: fotogestoeber/stock.adobe.com
Foto: fotogestoeber/stock.adobe.com

Der Beschäftigtendatenschutz erstreckt sich insbesondere auf personenbezogene Daten, die für das Beschäftigungsverhältnis erforderlich sind, zum Beispiel für Arbeitszeugnisse oder Gehaltsabrechnungen. Diese Daten dürfen nur zu diesem Zweck verarbeitet werden. Von den Regelungen betroffen sind Mitarbeiter, Auszubildende, Praktikanten und ehrenamtliche Mitarbeiter. Auch Bewerber gehören dazu, unabhängig davon, ob die Bewerbung erfolgreich war oder nicht. Unterlagen abgelehnter Bewerber sollten nach der Stellenbesetzung gelöscht, vernichtet oder zurückgesendet werden. Denn der Zweck der Datenverarbeitung, die Stellenbesetzung, entfällt ab diesem Zeitpunkt. Ratsam ist jedoch, dies erst nach sechs Monaten zu tun. Das entspricht nach dem allgemeinen Gleichbehandlungsgesetz der Frist, innerhalb der abgelehnte Bewerber eine unzulässige Benachteiligung geltend machen können.

In aller Regel ist eine schriftliche Einwilligungserklärung als rechtssichere Erlaubnis zu werten, personenbezogene Daten verarbeiten zu dürfen. In einem Beschäftigungsverhältnis hingegen ist die Einwilligung eine fragwürdige Grundlage. Denn aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer ist es oft zweifelhaft, ob der Mitarbeiter seine Einwilligung ohne Zwang und völlig freiwillig gegeben hat und er seine Zustimmung hätte verweigern können, ohne Sanktionen befürchten zu müssen. Aus diesem Grund ist es ratsam, die Datenverarbeitung im Beschäftigtenverhältnis weitestgehend auf den gesetzlich gestatteten Umfang zu begrenzen. Darunter fallen beispielsweise Kontakt- oder Sozialversicherungsdaten der Mitarbeiter.

Fotos und Namen von Mitarbeitern

Doch das ist nicht immer möglich. Insbesondere in Krankenhäusern werden häufig Fotos und Namen der Mitarbeiter veröffentlicht. Diese hängen beispielsweise auf den Stationen aus. Auch auf der Homepage sind sie meist abgebildet, was für die Außenwirkung eines Krankenhauses äußerst wertvoll ist. Dennoch: Schon für die Aufnahme von Mitarbeiterfotos ist eine Einwilligung des Betroffenen einzuholen. Dies geht eindeutig aus dem Kunsturhebergesetz und der zugehörigen Rechtsprechung hervor. Wer unbefugt Bildaufnahmen einer Person in einem „besonders geschützten Raum“ anfertigt, erfüllt unter Umständen sogar einen Straftatbestand des Strafgesetzbuchs (§ 201 a StGB). Für die Veröffentlichung von Mitarbeiterfotos ist immer die schriftliche Einwilligung des Abgebildeten erforderlich. Zudem unterliegt diese Einwilligung einer strengen Zweckbindung. So rechtfertig eine Einwilligung in den Aushang eines Fotos auf der Station nicht gleichermaßen das Einstellen des gleichen Bildes auf der Homepage des Krankenhauses.

Für die Veröffentlichung von Namen der Mitarbeiter gilt grundsätzlich das gleiche, jedoch gibt es eine Ausnahme. Wenn es die konkrete Tätigkeit und Funktion eines Mitarbeiters erfordert, darf der Arbeitgeber den Namen und die betrieblichen Kontaktdaten veröffentlichen. Das ist beispielsweise dann der Fall, wenn Beschäftigte repräsentative Aufgaben für das Krankenhaus übernehmen oder als direkte Ansprechpartner für Patienten und Angehörige telefonisch erreichbar sein müssen, oftmals sind das Chefärzte oder Mitarbeiter der Pforte.

Private Internet- und Telefonnutzung

Immer mehr Unternehmen gestatten ihren Mitarbeitern, den betrieblichen Internetzugang und das Telefon privat zu nutzen. Rechtlich gesehen wird der Arbeitgeber damit zum Anbieter von Telekommunikations- oder Telemediendiensten und ist dafür verantwortlich, dass das Fernmeldegeheimnis gewahrt wird. Demnach darf er weder sich noch anderen Kenntnis von den Inhalten der Kommunikation oder der Identität der Beteiligten verschaffen. Das bedeutet, er darf zum Beispiel nicht auf die E-Mails der Beschäftigten zugreifen. Weiterhin ist ihm untersagt, Nutzungs- und Verbindungsdaten zu speichern, wie Verbindungsnachweise oder dem Arbeitsplatz zugewiesene IP-Adressen. Der Arbeitgeber darf jedoch die private Nutzung an einschränkende Voraussetzungen knüpfen. So können in einer Betriebsvereinbarung die Bedingungen für die private Nutzung, Art und Umfang von Kontrollen sowie Zugriffsrechte des Arbeitgebers auf den dienstlichen E-Mail-Account der Mitarbeiter geregelt werden. Der Zugriff auf private E-Mails ist jedoch grundsätzlich unzulässig.

Der Arbeitgeber muss den einzelnen Beschäftigten allerdings die Möglichkeit geben, ihre Einwilligung in die einschränkenden Voraussetzungen zu verweigern, ohne dienstliche Nachteile zu erlangen. Damit einhergeht der Verzicht des Mitarbeiters auf die private Nutzung.

Kontrolle von Leistung und Verhalten

Der Arbeitgeber hat grundsätzlich das Recht, Leistung und Verhalten seiner Mitarbeiter zu kontrollieren, jedoch nur solange dies zweck- und verhältnismäßig ist. Verhältnismäßigkeit ist meist dann anzunehmen, wenn er bei einer solchen Kontrolle nicht oder nur geringfügig in die Rechte des Arbeitnehmers eingreift. So ist insbesondere der verdeckte Einsatz von Videokameras am Arbeitsplatz in den meisten Fällen als unverhältnismäßig einzustufen, während eine elektronische Zeiterfassung in aller Regel rechtmäßig ist. Generell ist zu beachten, dass der Arbeitgeber immer den Personal- oder Betriebsrat einbeziehen muss, sobald er technische Einrichtungen zur Leistungs- und Verhaltenskontrolle einsetzen will.

Wenn Mitarbeiter zu Patienten werden

Wenn Mitarbeiter gleichzeitig Patienten in dem Krankenhaus sind, in dem sie arbeiten, überschneiden sich Patienten- und Beschäftigtendatenschutz. Daraus resultiert ein datenschutzrechtlicher Sonderfall. Der Arbeitgeber hat dafür Sorge zu tragen, dass die Kollegen nicht vom Aufenthalt eines Mitarbeiters als Patient im eigenen Krankenhaus erfahren können, sofern diese nicht unmittelbar an der Behandlung und Abrechnung beteiligt sind. Dies ergibt sich direkt aus der Fürsorgepflicht des Arbeitgebers.

Auch die Orientierungshilfe Krankenhausinformationssysteme (OH-KIS), die die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Jahr 2014 herausgegeben hat, rät dazu. Die OH-KIS empfiehlt in solchen Fällen, beispielsweise den Mitarbeiter unter fiktivem Namen aufzunehmen. Eine weitere Möglichkeit ist, die sogenannte VIP-Funktion der OH-KIS zu nutzen. Sie versieht den Zugriff auf die Patientendaten mit besonderen Einschränkungen. Auch eine Papierdokumentation ist so zu handhaben.

Dr. Henning Kropp, Seniorberater

Dr. Uwe Günther, Geschäftsführer

Sanovis GmbH

81679 München

Anzeige

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Ärztestellen

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige