Datenschutz und psychosoziale Gefährdungsbeurteilung. Ist dies vereinbar?
Häufig wird im Zuge unserer Projekte von Beschäftigtenvertretern und Datenschutzverantwortlichen die Frage an uns heran getragen, ob unsere Arbeit mit dem Schutz von persönlichen Daten vereinbar ist? Die Sorge unter den Beschäftigten ist nämlich üblicherweise groß, dass die Übermittlung von einmal erhobenen heiklen Gesundheitsdaten an Unternehmen in letzter Konsequenz Mitarbeiter und Mitarbeiterinnen schadet. Diese sehr wichtige Frage gehört daher unbedingt in jeder Projektkonzeptionsphase eingehend diskutiert.
Datenschutz zum Thema machen!
Unbesprochen führt diese Thematik nämlich dazu, dass Beschäftigte im Zweifel keine Fragen zu gefährdenden psychischen Belastungen beantworten wollen oder dass zum Beispiel der Betriebsrat ein Evaluierungsprojekt nicht unterstützt. Im Extremfall könnte von Seiten der Arbeitnehmer und Arbeitnehmerinnen sogar zum Boykott einer Datenerhebung aufgerufen werden. Der eigentlichen Intention, die psychische Gesundheit der Belegschaft zu schützen, ist dies natürlich nicht zuträglich!
Es ist als Projektleiter bzw. Projektleiterin also unerlässlich, bei der Konzeption von Projekten zur Beurteilung psychosozialer Risiken in Zusammenarbeit mit Betriebsrat und Datenschutzbeauftragten genau darauf zu achten, welche Daten erhoben und wie diese Daten gesichert werden. Wie sieht es aber nun aus, das kleine Datenschutz-Einmaleins?
Nicht alle Daten sind notwendig!
Überlegen Sie genau, welche Verfahren zur Durchführung als notwendig erscheinen und wer diese durchführen soll. Beobachtungsverfahren oder Gruppeninterviews sind neben Fragebögen beliebte Datenerhebungsmethoden und sollten vor der Anwendung genauer reflektiert werden. Selbstverständlich ist dem Beobachter oder der Beobachterin der Name der Person, die beobachtet wird, bekannt. Auch die Namen der repräsentativen Mitarbeiter und Mitarbeiterinnen in Gruppeninterviews sind nicht geheim. Diese Verfahren sollten also unbedingt von betriebsfremden Experten und Expertinnen durchgeführt werden. Diese kommen nämlich nicht so schnell in die Bredouille, von Kollegen und Kolleginnen etwa über Beobachtungen befragt zu werden. Diese Verfahren sollten außerdem nur dann eingesetzt werden, wenn es für die erfolgreiche Projektabwicklung unbedingt notwendig erscheint. Ergebnisberichte, die an verantwortliche Stellen im Unternehmen weitergereicht werden, sollten zudem immer anonymisiert werden.
Der beste Schutz vor missbräuchlicher Verwendung erhobener Gesundheitsdaten – oder vor einem Datenklau – ist jedoch nach wie vor, dass keinerlei personenbezogene Daten erhoben werden.
Dieser sehr simple Merksatz wird allerdings bei Projekten der Gefährdungsbeurteilung sehr häufig nicht berücksichtigt. Gerade Online-Fragebögen, vielerorts eingesetzt als Screeningverfahren zur Erhebung eines ersten Status-Quo, öffnen leider Tür und Tor für ein überbordendes und unreflektiertes Datensammeln – v.a. dann, wenn sie mit einer Mitarbeiterbefragung gekoppelt werden. Die große Gefahr ist zu übersehen, dass einmal gespeicherte, scheinbar unzusammenhängende Daten, auch abseits der eigentlichen Fragestellung verknüpft und ausgewertet werden können. Mitarbeiter und Mitarbeiterinnen geben etwa personenbezogene Daten gerne preis, wenn es um persönliche Verdienste geht. Fragen wie „Nennen Sie ihr erfolgreichstes Projekt im letzten Jahr?“ oder „Nennen Sie einen Kollegen/ eine Kollegin, die Sie für eine Belobigung vorschlagen wollen?“ schränken die Anonymität sehr schnell ein. Werden zusätzlich auch Fragen im Sinne der psychischen Gefährdungsbeurteilung gestellt, ist die Anonymität schon nicht mehr garantiert.
Sicherheit geht vor Usability!
Auch Daten, die aus Gründen der Usability gespeichert werden, könnten zum Datenschutz-Fallstrick werden. Werden etwa IP-Adressen gespeichert, um zu verhindern, dass Personen öfters ausfüllen – oder werden etwa individuelle Codes verschickt, um Onlinefragebögen unterbrechen zu können, ohne die bisher gegebenen Antworten zu verlieren, so ist dies keine anonyme Datenerhebung.
Das kleine Einmaleins des Datenschutzes
Schauen Sie bei der Projektkonzeption also gemeinsam mit Betriebsrat und Datenschutzverantwortlichen genau hin! Die Daten, die mittels Onlinebefragungen erhoben/gespeichert werden müssen, sollten anonym und nicht zurück zu verfolgen sein. Die Verfahren zur Gefährdungsbeurteilung sollten außerdem sinnvoll, notwendig und extern durchgeführt sein. So berücksichtigen Sie das kleine Einmaleins des Datenschutzes.
#PsychosozialeGefährdungsbeurteilung; #PsychischeArbeitsbelastungen; #IEPB; #Datenschutz