Arbeitnehmerinnendatenschutz – Verarbeitung von Gesundheitsdaten, Einsichtsrechte in Mailaccounts durch die Arbeitgeberin

Verarbeitung von Gesundheitsdaten

Die Datenschutzbehörde hat jüngst in einer Entscheidung (GZ: D124.0105/22) festgehalten, dass die Verarbeitung von Gesundheitsdaten durch die Dienstgeberin zum Zweck der Dienstplanung zulässig ist. Diese Entscheidung ist noch nicht rechtskräftig, zeigt aber, dass ein rechtmäßiges Verarbeiten von Gesundheitsdaten durch eine Arbeitgeberin – abhängig vom Zweck – durchaus auch ohne Einwilligung der Arbeitnehmerinnen zulässig (und notwendig) sein kann.

Konkret wurde die Verarbeitung der Daten betreffend Immunisierung durch Impfung bzw. Genesung im Zusammenhang mit der Covid-19-Pandemie behandelt. Diese wurden zum Zweck der Dienstplanung von der Arbeitgeberin verarbeitet. Die Datenschutzbehörde ist in dem Bescheid zu dem Schluss gekommen, dass die Verarbeitung dieser Gesundheitsdaten grundsätzlich gemäß Art. 9 Abs. 2 lit. b DSGVO zulässig sein kann. Die genannte Bestimmung regelt die Verarbeitung sensibler Daten bzw. Daten besonderer Kategorie wenn deren Verarbeitung erforderlich ist, damit die Verantwortliche oder die betroffene Person Verpflichtungen bzw. Rechten, die sich aus dem Arbeitsrecht und dem Sozialrecht ergeben, nachkommen kann. Die Fürsorgepflicht der Arbeitgeberin, deren Umfang grundsätzlich im Einzelfall zu interpretieren ist, wird als eine solche Verpflichtung angesehen und deckt daher auch die Verarbeitung von Gesundheitsdaten ab.

Das ist insbesondere vor dem Hintergrund der Unsicherheiten, die die Datenverarbeitungen im Zusammenhang mit der Covid-19-Pandemie zum Teil ausgelöst haben, eine wichtige Entscheidung und zeigt, dass bei entsprechender Darstellung (und Dokumentation) der notwendigen Zwecke sowie Prüfung der zur Verfügung stehenden Rechtsgrundlagen ein DSGVO-konformer Umgang mit Daten im Sinne der jeweiligen Erfordernisse möglich ist.


Einsichtsrechte in Mailaccounts

Das gilt im Übrigen auch für andere Bereiche, in denen sich das Datenschutzrecht und das Arbeitsrecht überschneiden. So ist beispielsweise die Einsichtnahme in einen Mailaccount von Mitarbeiterinnen zwar datenschutzrechtlich genau zu analysieren, jedoch nicht von vornherein unmöglich.

Auch hier sind im Anlassfall die berechtigten Interessen der Arbeitgeberin gegenüber den allfälligen Geheimhaltungsinteressen der Beschäftigten abzuwägen. Insbesondere bei Anhaltspunkten über Malversationen bzw. pflichtwidrige Vorgänge, für deren Nachweis bzw. Aufarbeitung die Mailkorrespondenz ausschlaggebend ist, kann eine Einsichtnahme in Mitarbeiterinnen-Mails auch ohne Zustimmung der jeweiligen Dienstnehmerinnen zulässig sein. Ein solches berechtigtes Interesse liegt aber auch dann vor, wenn dies zur Aufrechterhaltung des Betriebs notwendig und dahingehend auch erkennbar Unternehmensusus ist. Dabei ist jeweils der Grundsatz der Zweckbindung zu wahren. Offensichtlich private Mails sind von der Einsicht ausgenommen.

Zur Absicherung ist es ratsam, die Nutzung dienstlicher Mailaccounts, des Internetzugangs bzw. anderer dienstlicher Kommunikationsmittel vorab zu regeln und auch über die entsprechenden Einsichten bzw. Löschfristen zu informieren, sodass Mitarbeiterinnen rechtzeitig ihre allfällig zugelassene Privatkorrespondenz sichern können. Eine Betriebsvereinbarung ist für die Möglichkeit der Einsichtnahme in berufliche Korrespondenz aber nicht erforderlich.

Gerne stehen wir hier für Anpassungen des Dienstvertrages und/oder Entwurf einer entsprechenden gesonderten Regelung zur Verfügung.

Verfasserin: Mag.a Ulrike Zeller, 09/23

Ulrike-Zeller

SSZ-Adm1n-2019