� EIDGENÖSSISCHER DATENSCHUTZBEAUFTRAGTER PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES INCARICATO FEDERALE DELLA PROTEZIONE DEI DATI INCUMBENSÀ FEDERAL PER LA PROTECZIUN DA DATAS
Bern, den 7. Dezember 2000
EMPFEHLUNG
gemäss
Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG)
in Sachen
Absenz-Management (CD-ROM XYZ) der X
I. Der Eidg. Datenschutzbeauftragte stellt fest : 1. Der Eidg. Datenschutzbeauftragte (EDSB) wurde im April 2000 auf die Produktion und Vertrieb einer CD-ROM « Absenzmanager » der Gesundheitsorganisation X informiert. 2. Aus den bestehenden Unterlagen sowie aus dem Briefwechsel zwischen EDSB und X hat sich insb. ergeben, dass die CD-ROM die systematische Erfassung von Personendaten wie Name, Vorname, Nationalität, Abwesenheitsgrund, Arzttyp, Diagnose, Bemerkungen, usw. durch den Arbeitgeber und die Auswertung nach Kriterien wie Nationalität, Arzt oder Diagnose (siehe dazu z. B. S. 8 Booklett) bzw. nach festgelegten Zielwerten (Zeitbudget für Krankheiten) ermöglicht. Ausserdem sieht die CD-ROM die Möglichkeit des Datenaustausches mit anderen Datenbanken vor. Die CD-ROM ist nach Angaben der X als Kontrollinstrument des Arbeitgebers über die Abwesenheiten seiner Angestellten konzipiert und soll sowohl den Gesundheitsschutz fördern als auch die Abwesenheiten am Arbeitsplatz reduzieren. 3. Für den EDSB ist die CD-ROM als Gesundheitsmassnahme nicht geeignet. Ausserdem stellt die CD-ROM eine unverhältnismässige und unzweckmässige Datenbearbeitung dar, da der Arbeitgeber die systematisch erfassten Gesundheitsdaten (Diagnose, behandelnder Arzt) zur Durchführung des Arbeitsvertrages nicht braucht (vgl. Schreiben des EDSB vom 31.08.2000). Im übrigen ist die vorgesehene Datenbearbeitung auch deswegen unzulässig, weil die Gesundheitsdaten mit weiteren Personendaten (z. B. die Nationalität) kombiniert und verglichen werden können. Daraus können nach Meinung des EDSB diskriminierende Rückschlüsse gezogen werden. Die systematische Erfassung anderer Abwesenheitsgründe durch den Arbeitgeber (z. B. Ferien, Militär, usw.) wird vom EDSB nicht beanstandet. 4. Die X vertritt im Wesentlichen die Auffassung, dass der Arbeitgeber berechtigt ist, Krankheitsdiagnosen systematisch zu bearbeiten. Gesundheitsdaten seien für den Arbeitgeber auch deswegen wichtig, weil Letzterer über die Weiterbeschäftigung eines
� � 2�
kranken Mitarbeiters entscheidet. Ein Datenaustausch mit Datenbanken der X finde in der Praxis nicht statt. Die X behauptet ausserdem, die systematische Erfassung von Gesundheitsdaten sei gegenüber gesundheitlich schwächeren Mitarbeiter nicht diskriminierend, da gerade für solche Angestellten individuelle Krankheitsbudgets geschaffen werden.
II. Der EDSB zieht in Erwägung: 1. Bei der Datenbeschaffung ist der Arbeitgeber am Verhältnismässigkeits- und Zweckmässigkeitsprinzip gebunden (Art. 328b OR). Die durch die fragliche CD-ROM erfassten Daten (u. a. Arztdiagnose, Arzttyp) stellen besonders schützenswerte Personendaten dar. Nach dem Verhältnismässigkeitsprinzip ist es insb. unzulässig, dass der Arbeitgeber bzw. sein Personaldienst Arztdiagnosen systematisch erfasst. Diese sind weder zur Schaffung von Massnahmen der Gesundheitsprävention noch zur Absenzenbewirtschaftung notwendig. Solche besonders schützenswerte Personendaten dürfen per Definition nur durch Personen bearbeitet werden, die dem Arztgeheimnis unterstehen. Einzelfallweise, sofern dies zur Abklärung einer speziellen Sachlage erforderlich ist, kann ein Arbeitgeber bzw. die Abteilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der Unternehmensgruppe Kenntnis über die Ursachen einer Krankheit einer bestimmten Person erlangen. Bagatellfälle (z. B. Grippe) werden vom Arbeitnehmer dem Arbeitgeber meistens bekannt gegeben. Die systematische Erfassung dieser Daten entbehrt jedoch eines Rechtfertigungsgrundes. Ohne ausdrückliche Einwilligung des Patienten darf der Arbeitgeber vom Arzt nur einen Arztbefund bekommen („krank“ oder „geeignet/ungeeignet“ für eine Stelle). Zulässig ist hingegen die Erfassung der Anzahl Absenztage wegen Krankheit (ohne Spezifikationen). 2. Das Festhalten eines jährlichen Budgets an Krankheitstage ist ebenso unzulässig, weil dadurch gesundheitlich schwächerer Menschen, die öfters abwesend sind, diskriminiert werden können. Die Behauptung der X, die fragliche Datenbearbeitung sei gegenüber gesundheitlich schwächeren Angestellten nicht diskriminierend, weil für solche Angestellten individuelle Krankheitsbudgets geschaffen werden können, widerspricht der in der Einführung des Bookletts zur CD-ROM festgehaltenen Zielsetzung der Reduktion der Absenzen. Die vorgesehene Datenbearbeitung ist aber auch deswegen unzulässig, weil Gesundheitsdaten mit weiteren besonders schützenswerten Personendaten wie die Nationalität kombiniert und verglichen werden können. Daraus können auch rassendiskriminierende Rückschlüsse gezogen werden. 3. Die CD-ROM ist auch als Massnahme der Gesundheitsprävention zu beanstanden. Wie wir es bereits in unserer Stellungnahme vom 31. August 2000 festgehalten haben, verpflichtet die Gesundheitsprävention (Art. 328 OR) den Arbeitgeber, Massnahmen zu treffen, um Gefahren für die Gesundheit der Arbeitnehmer vorzubeugen. Arbeitsräume, Systeme und Maschinen sind so zu unterhalten, dass deren Benutzung keine Folgen auf die Gesundheit der Arbeitnehmer haben können. Die Erfassung von Informationen über „Schwachstellen“ im Unternehmen (z. B. Luftzug, gefährliche Substanzen, Rauchen, schlechte Bildschirme, usw.) erfolgt anonym, aufgrund statistischer Angaben (Verhältnismässigkeitsprinzip, Art. 4 Abs. 2 Datenschutzgesetz, DSG, SR 235.1, vgl. dazu auch die auf dem UVG basierende Richtlinie 6508 zur Sicherheits- und Gesundheitsprävention der Eidg. Koordinationskommission für Arbeitssicherheit). Nur in Ausnahmefällen, sofern es zur Abklärung einer speziellen Sachlage erforderlich ist, darf der Arbeitgeber bzw. die Abteilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der Unternehmensgruppe mit betroffenen Personen Kontakt aufnehmen. Bei der in Frage stehenden CD-ROM handelt es sich hingegen u. a. um ein Programm zur systematischen, personenbezogenen Erfassung und Auswertung von Gesundheitsdaten. Die Kenntnis des Bestehens einer personenbezogenen, systematischen Auswertung des Absenzverhaltens könnte dank der bearbeiteten Daten und deren Kombinationen (u. a. Diagnose, Nationalität) und der daraus resultierenden, möglichen
� � 3�
Diskriminierungen, einen psychischen Druck auf die Arbeitnehmer ausüben, welcher mit dem ursprünglichen Zweck, nämlich der Gesundheitsprävention, in Widerspruch steht. Gemäss Art. 26 Abs. 2 der Gesundheitsvorsorgeverordnung 3 zum Arbeitsgesetz (SR 822.113) sind aber Überwachungssysteme so zu gestalten, dass die Gesundheit und die Bewegungsfreiheit dadurch nicht beeinträchtigt werden. Gegen das Bestehen einer gesundheitspräventiven Wirkung der CD-ROM sprechen im übrigen auch die Erläuterungen im Booklett, wonach es sich bei der CD-ROM vielmehr um eine reine Absenzenkontrolle handelt. Fehlt bei einer Massnahme der Gesundheitsprävention die gesundheitspräventive Wirkung oder ist Erstere nicht mit dem übrigen Recht vereinbar, ist von ihrer Anwendung abzusehen (weil es u. E. nicht Aufgabe einer Gesundheitsorganisation ist, Absenzkontrollsysteme für Arbeitgeber zu schaffen), oder ist rechtskonform zu gestalten. 4. Für die Datenbearbeitung durch private Personen sind Rechtfertigungsgründe nötig (Art. 13 DSG). Weder die Einwilligung der betroffenen Personen, noch eine gesetzliche Grundlage, noch ein überwiegendes privates oder öffentliches Interesse ist für den Datenaustausch zwischen Absenz-Datenbank und andere Datenbanken gegeben. Ohne Rechtfertigungsgrund stellt eine solche Datenbekanntgabe im übrigen eine gravierende Verletzung des Berufsgeheimnisses seitens des Arbeitgebers dar. Die Behauptung der X, ein Datenaustausch zwischen ihr und dem Arbeitgeber finde nicht statt, mag zwar in der Tat richtig sein, sie ändert aber an der Tatsache nichts, dass bereits die technische Möglichkeit eines solchen Datenaustausches gesetzeswidrig ist.
Aufgrund dieser Erwägungen empfiehlt der Eidg. Datenschutzbeauftragte: 1. Die Produktion und der Vertrieb der fraglichen CD-ROM ist unverzüglich einzustellen und die bereits verteilten CD-ROM zurückzuziehen, oder die Datenkategorien „Diagnose“, „Arzttyp“, „Absenzenbudget“ und „Bemerkungen“ von der CD-ROM zu entfernen sowie die Kategorie “Absenzen wegen Politik oder Vereinsmitgliedschaft“ durch „Absenzen privat“ zu ersetzen. 2. Die X benachrichtigt den Eidg. Datenschutzbeauftragten innerhalb von dreissig Tagen seit Erhalt der Empfehlung, ob Sie die Empfehlung annimmt oder nicht. Wird die Empfehlung abgelehnt oder stellt der Eidg. Datenschutzbeauftragte nach Ablauf der Frist fest, dass sie nicht eingehalten wird, so kann er die Angelegenheit gemäss Art. 29 DSG der Eidg. Datenschutzkommission zum Entscheid vorlegen.
EIDGENÖSSISCHER DATENSCHUTZBEAUFTRAGTER
EINSCHREIBEN