Datenschutz: Das betriebliche Eingliederungsmanagement : „AUF UNTERLAGEN VOM BEM HAT NUR DAS BEM-TEAM ZUGRIFF!“ WIRKLICH?

Fragt man bei HR, wer Zugriff auf die im Rahmen eines betrieblichen Eingliederungsmanagements (BEM) kopierten, eingescannten und erstellten Unterlagen hat, lautet die Antwort in etwa: „Auf BEM-Unterlagen hat nur das BEM-Team Zugriff.“ Für Papierunterlagen stimmt die Aussage. Diese befinden sich regelmäßig in abgeschlossenen Schränken, meistens in der Personalabteilung. Die Schrankschlüssel werden von HR-Mitarbeitern verwahrt. Bei näherer Betrachtung zeigt sich, dass Unterlagen eingescannt abgelegt und Protokolle mit einem Office-Programm erstellt werden. Als Speicherort kommt das Abteilungslaufwerk zum Einsatz. Auf Abteilungslaufwerke und somit BEM-Unterlagen greifen auch IT-Administratoren bspw. zur Wartung oder Fehlerbehebung zu.

Bruch der vereinbarten Vertraulichkeit droht

Im Rahmen eines BEM offenbart ein Beschäftigter seine Krankheit. Er legt Arztbefunde vor. Die Offenheit ist eine wichtige Voraussetzung für den Erfolg eines BEM. Gleichwohl teilt der Beschäftigte bspw. Details über seine Erkrankung mit, die er normalerweise weder seinem Arbeitgeber noch seinen Kollegen offenbaren möchte. Zu Beginn erfährt der Beschäftigte die Namen der Mitglieder des BEM-Teams. Mit seiner Teilnahme am BEM vertraut er darauf, dass ausschließlich das BEM-Team Zugriff auf die Unterlagen erhält. Um die Vertraulichkeit des BEM-Teams abzusichern, werden dessen Mitglieder zur Vertraulichkeit auch gegenüber dem Arbeitgeber verpflichtet.

Speichert das BEM-Team Unterlagen wie gewohnt auf den Abteilungslaufwerken ab, erhalten IT-Administratoren ebenfalls Zugriff auf diese Unterlagen. Greift ein IT-Administrator bspw. im Rahmen einer Fehlerbehebung auf diese Dateien zu, bricht der Arbeitgeber seine Zusicherung, dass ausschließlich das BEMTeam Zugriff hat.

Im BEM werden grundsätzlich Angaben zum Gesundheitszustand des Beschäftigten verarbeitet. Andernfalls wäre ein BEM nicht erforderlich. Angaben zum Gesundheitszustand unterliegen weitreichenden Verarbeitungseinschränkungen (Art. 9 DS-GVO). Ein Arbeitgeber darf sie — vereinfacht gesagt — ausschließlich zur Erfüllung gesetzlicher Verpflichtungen im Arbeitsverhältnis verarbeiten. Der Zugriff von IT-Administratoren zählt nicht dazu. Die Einwilligung des Beschäftigten in das BEM umfasst im Regelfall auch nicht den Zugriff der IT-Administratoren.

Der Zugriff stellt eine bußgeldbewehrte unrechtmäßige Datenverarbeitung dar. Wenn weiterhin nicht ausgeschlossen werden kann, dass durch den Zugriff Risiken für die Rechte und Freiheiten des betroffenen Beschäftigten entstehen, ist der Zugriff der Datenschutzaufsichtsbehörde (Art. 33 DS-GVO) und bei hohen Risiken zusätzlich dem Beschäftigten zu melden (Art. 34 DSGVO).

Nicht nur wegen des Bußgeldrisikos, sondern auch wegen des damit verbunden Vertrauensverlusts in das BEM ist eine solche Situation nicht erstrebenswert.

Verschlüsseln ist Trumpf

Die Vertraulichkeit elektronischer BEM-Unterlagen lässt sich vergleichsweise einfach herstellen. Erzeugte Dateien, d. h. erstellte Protokolle oder eingescannte Unterlagen, sind direkt nach Erstellung zu verschlüsseln. Es bietet sich an, die Verschlüsselungsmöglichkeiten von PDF- und Office-Dateien zu verwenden. Alternativ lassen sich Dateien auch in ein verschlüsseltes ZIP-Archiv speichern. Wichtig ist, dass jede Datei vor dem Speichern und auch vor dem Versand per E-Mail verschlüsselt wird.

Die eingesetzten Verschlüsselungsverfahren müssen dem Stand der Verschlüsselungstechnik entsprechen. Dazu zählt bspw. AES ab einer Schlüssellänge von 128 Bit. Eine gute Übersicht gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner technischen Richtlinie BSI TR-02102-1.

Da es sich bei den Verschlüsselungsverfahren auf Dateiebene im Regelfall um symmetrische Verschlüsselungsverfahren handelt, wird der gleiche Schlüssel zum Ver- und Entschlüsseln verwendet. Wer den Schlüssel kennt, hat Zugriff auf den Dateiinhalt, d. h. hier die BEM-Unterlagen.

Der Schlüssel wird im Regelfall aus einem vom Anwender gewählten Passwort abgeleitet. Wer das Passwort kennt, kann die verschlüsselte Datei entschlüsseln. Aus diesem Grund ist es wichtig, dass das Passwort ausschließlich den Mitgliedern des BEM-Teams bekannt ist.

Um simples Ausprobieren des Passworts zu einer langwierigen Tätigkeit werden zu lassen, sollte das Passwort bspw. aus mind. zehn zufällig gewählten Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Da ein solches Passwort nicht merkbar ist, wird eine Regelung benötigt, wie das Passwort auf Papier notiert werden soll und wo dieses Papier verschlossen aufbewahrt wird. Der Monitor und die Tastatur sind selbstredend keine geeigneten Aufbewahrungsorte.

Die vorgestellte Verschlüsselung verhindert nicht, dass Wartungspersonal für Drucker auf ausgedruckte Dokumente zugreifen kann, indem es den Druckerspeicher ausliest. Im Druckerspeicher sind die letzten Ausdrucke gespeichert. Hier hilft nur der Einsatz von Druckern, die ausgedruckte Dokumente im Speicher löschen.

BEM-Unterlagen einfach löschen

Ein weiterer Vorteil verschlüsselter Dateien ist, dass diese Daten einfach zu löschen sind. Für die Löschung reicht es aus, dass das Passwort vernichtet wird. Ein langes zufälliges Passwort lässt sich nur schwer merken, so dass der Fall eher unwahrscheinlich ist, dass trotz des vernichteten Passworts Mitarbeiter weiterhin auf die zu löschenden Daten zugreifen können. Damit können BEM-Daten einfach aus Backups und Email-Archiven gelöscht werden, ohne dass technische Anpassungen erforderlich sind.

Übertragbar auf andere HR-Daten

Die Darstellung lässt sich auf weitere HR-Daten übertragen. Gesundheitsdaten werden bspw. auch bei Krankmeldungen und Arbeitsunfällen verarbeitet. Aber auch ein Zugriff durch IT-Administratoren auf Leistungsbewertungen, Inhalte von Arbeitsverträgen sowie Abmahnungen ist aus vergleichbaren Gründen kritisch zu betrachten.