Das Case-Management ist ein wichtiges Instrument des Betrieblichen Gesundheitsmanagements (BGM). Gemäss der Stiftung «Gesundheitsförderung Schweiz» fallen die folgenden drei Säulen unter das Betriebliche Gesundheitsmanagement: Arbeitssicherheit und Gesundheitsschutz (1. Säule), Betriebliche Gesundheitsförderung (2. Säule) und Abwesenheitsmanagement und Case-Management (3. Säule) [1]. Während die Massnahmen der 1. Säule obligatorisch sind (Art. 6 ArG, ArGV 3, Art. 82 ff. UVG, UVV, Art. 328 OR und weitere), ist die Implementation von Massnahmen der 2. und 3. Säule durch die Arbeitgeber freiwillig.
Datenschutzrechtliche Anforderungen an das Case-Management
Mittels des Abwesenheitsmanagements werden Absenzen systematisch erfasst und analysiert, mit dem Ziel, durch Implementierung spezifischer Massnahmen die Anzahl und Dauer dieser Absenzen nachhaltig zu reduzieren [2]. Das Abwesenheitsmanagement und das Case-Management sind eng miteinander verzahnt. Bei auffälligen Absenzen, insbesondere bei langen oder häufig wiederkehrenden Arbeitsunfähigkeiten, wird durch das Abwesenheitsmanagement-System ein Case-Management-Prozess eingeleitet. Das Case-Management wiederum hat die Arbeitsplatzsicherheit sowie die raschestmögliche Wiedereingliederung erkrankter und verunfallter Arbeitnehmender zum Ziel. Das Case-Management wird entweder durch die Arbeitgeberin selbst (in der Regel dem HR angegliedert) oder durch einen Dritten (im Auftrag der Arbeitgeberin oder einer Versicherung) durchgeführt.
Im Rahmen des Case-Managements muss zwangsläufig ein Austausch von Gesundheitsdaten des Arbeitnehmers zwischen dem Arbeitnehmer und der Arbeitgeberin bzw. einer allfälligen externen Case-Managerin und weiteren Beteiligten wie Hausärzten, Fachärzten, Krankentaggeldversicherungen, IV-Stellen usw. stattfinden. Daten über die Gesundheit einer Person stellen gemäss Datenschutzgesetz besonders schützenswerte Personendaten dar (Art. 3 lit. c Ziff. 2 DSG). Somit sind bei der Bearbeitung dieser Personendaten sämtliche datenschutzrechtlichen Grundsätze zu beachten, namentlich dürfen die Daten nur rechtmässig und nach Treu und Glauben bearbeitet werden; die Bearbeitung unterliegt dem Verhältnismässigkeitsgebot, hat zweckgebunden zu erfolgen und muss für den Betroffenen erkennbar sein. Für besonders schützenswerte Personendaten gilt zudem, dass ihre Bearbeitung nur mit der ausdrücklichen Einwilligung der betroffenen Person erfolgen darf.
Datenschutz im Arbeitsverhältnis
Im Arbeitsverhältnis wird die Datenbearbeitung durch die Arbeitgeberin in Art. 328b OR geregelt. Diese Bestimmung besagt, dass die Arbeitgeberin Personendaten des Arbeitnehmers nur bearbeiten darf, «soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind». Da das Case-Management zur «Durchführung des Arbeitsvertrags» nicht notwendig ist, kann der Austausch von Personendaten in diesem Rahmen nur erfolgen, wenn hierzu eine Einwilligung des Arbeitnehmers vorliegt [3]. Es ist in der Lehre indes umstritten, ob sich die Arbeitgeberin bei an sich gegen Art. 328b OR verstossenden Datenbearbeitungen (d.h. solche, die weder einer Eignungsabklärung dienen noch zur Durchführung des Arbeitsvertrags erforderlich sind) auf die Rechtfertigungsgründe des Datenschutzgesetzes, z.B. auf eine Einwilligung des Arbeitnehmers oder ein überwiegendes privates Interesse, berufen kann. Denn Art. 328b OR ist einseitig zwingend ausgestaltet, d.h., die Parteien dürfen gemäss Art. 362 Abs. 1 OR nicht zuungunsten des Arbeitnehmers von dieser Regelung abweichen [4)].
Bei externen Case-Managern, die sowohl im Interesse des Auftraggebers (der Arbeitgeberin oder einer Versicherung) als auch der betroffenen Person handeln, können sich wesensbedingt Interessenskonflikte ergeben, weshalb die Grundsätze der Transparenz und der Zweckbindung im Rahmen der Datenbearbeitung besonders gewissenhaft zu beachten sind. «Case-Manager dürfen sich somit gegenüber der betroffenen Person nicht als ‹Wohltäter› in einer schwierigen Situation präsentieren, sondern müssen für Transparenz sorgen – auch darüber, dass sich ihre Tätigkeit unter Umständen zum Nachteil des oder der Betroffenen auswirken kann.» [5] So könnte z.B. dem Arbeitnehmer zum Nachteil gereichen, wenn sich im Rahmen der gesundheitlichen Abklärungen ergeben würde, dass seine Arbeitsunfähigkeit nicht generell, sondern bloss arbeitsplatzbezogen ist. Die herrschende Lehre und überwiegende Rechtsprechung [6] verneint bei Arbeitnehmern mit einer arbeitsplatzbezogenen Arbeitsunfähigkeit das Bestehen eines zeitlichen Kündigungsschutzes gemäss Art. 336c Abs. 1 lit. b OR, und Krankentaggeldversicherungen stellen ihre Leistungen nach Gewährung einer Übergangszeit regelmässig ein.
Datenschutz im Verhältnis Arbeitnehmer – Krankentaggeldversicherung
Ist ein Arbeitnehmer gegen Erwerbsausfall bei Krankheit oder Unfall bei einer Krankentaggeldversicherung versichert, wird diese Versicherung bei begründeten Arbeitsausfällen nach Massgabe des VVG und ihrer Versicherungsbedingungen Taggelder ausrichten. Wesensbedingt hat daher auch die Krankentaggeldversicherung ein eminentes Interesse daran, sich über den Gesundheitszustand des Arbeitnehmers zu informieren. Bei lang andauernden oder sich häufig wiederholenden krankheitsbedingten Absenzen setzen die Versicherungen immer häufiger auf ein externes Case-Management.
Da auch im Verhältnis zwischen Arbeitnehmer und Krankentaggeldversicherung das DSG zu berücksichtigen ist, darf die Versicherung die Gesundheitsdaten des Arbeitnehmers, die sie im Rahmen der Leistungsabwicklung erhält, nur mit ausdrücklicher Einwilligung der betroffenen Person einem externen Case-Manager zur Verfügung stellen. Auf eine bereits vorhandene Einwilligung des Arbeitnehmers zugunsten der Arbeitgeberin kann die Versicherung nicht zurückgreifen.
Es ist der Versicherung zu empfehlen, diese Einwilligung für jeden Einzelfall gesondert einzuholen. Aus einer Einwilligungsklausel in den Versicherungsbedingungen der Versicherungsgesellschaft allein lässt sich nach Ansicht des Autors nicht auf eine rechtsgenügende ausdrückliche Einwilligung schliessen.
Datenschutz im Verhältnis Arbeitnehmer/Arzt
Ein Case-Management kann nur dann erfolgreich sein, wenn der Case-Manager Einblick in die Arztberichte der behandelnden Ärzte nehmen und diesen allenfalls durch die Arztberichte unbeantwortete Fragen zur Arbeitsunfähigkeit des Arbeitnehmers stellen darf.
Der Arzt unterliegt gegenüber seinem Patienten jedoch einer strikten Schweigepflicht. Er darf Patientendaten nur weitergeben, wenn er über die ausdrückliche Einwilligung des Patienten verfügt (d.h. von seiner Schweigepflicht entbunden wurde) oder wenn eine Datenweitergabe gesetzlich vorgesehen ist.
In aller Regel beinhaltet die Entbindungserklärung, die der Arbeitnehmer zugunsten der Krankentaggeldversicherung abgibt (siehe oben Ziffer B.2), gleichzeitig auch eine Entbindungserklärung für die behandelnden Ärzte.
Die «informierte» Einwilligung des Arbeitnehmers
Wie die vorstehenden Ausführungen gezeigt haben, ist ein Case-Management nur möglich, wenn seitens des Arbeitnehmers gegenüber sämtlichen involvierten Beteiligten in Bezug auf den Austausch seiner Gesundheitsdaten eine ausdrückliche Einwilligung vorliegt. Diese Einwilligung ist zudem nur gültig, wenn sie nach angemessener Information und auf freiwilliger Basis erfolgt (Art. 4 Abs. 5 DSG).
Um eine «informierte» Einwilligung erteilen zu können, muss der Betroffene aufgrund der ihm zur Verfügung gestellten Informationen die Datenbearbeitung (worunter auch die Datenweitergabe fällt) in Bezug auf die Risiken für seine Persönlichkeitsrechte abschätzen können. Wichtig ist, dass die massgebliche Information im Zeitpunkt der Einwilligung vorliegt und die folgenden Punkte enthält: Ziel und Zweck der Datenbearbeitung, Art und Weise der Datenbearbeitung, Umfang der Datenbearbeitung, Kategorie der bearbeiteten Daten und Angaben zum verantwortlichen Datenbearbeiter [7]. Um die Risiken der Datenbearbeitung abschätzen zu können, muss vollständige Transparenz geschaffen werden. Transparenz ist eine Voraussetzung für eine legale Datenbearbeitung. In diesem Zusammenhang hat der Case-Manager den Arbeitnehmer zwingend über seine Rolle, seine Auftraggeberin und über potenzielle Interessenkonflikte aufgrund seines Mandatsverhältnisses zur Auftraggeberin (z.B. die Arbeitgeberin und/oder die Krankentaggeldversicherung) zu informieren. Transparenz ist auch bezüglich allfälliger negativer Folgen des Case-Managements zulasten des Arbeitnehmers zu schaffen [8].
In Bezug auf die Voraussetzung der «Freiwilligkeit» ist zu beachten, dass eine Einwilligung zur Bearbeitung seiner Gesundheitsdaten durch den Betroffenen im Rahmen eines Arbeitsverhältnisses nur begrenzt gilt, zumal diese durch das Subordinationsverhältnis eingeschränkt wird [9]. Von einer freiwilligen Willensäusserung ist dann auszugehen, wenn die Interessen von Arbeitgeberin und Arbeitnehmer gleich gelagert sind oder wenn seitens des Arbeitnehmers ein Verhandlungsspielraum besteht (in der Regel bei höheren Angestellten mit einer relativ starken Verhandlungsposition) und wenn durch die Arbeitgeberin bei Verweigerung der Einwilligung nicht übermässige Nachteile in Aussicht gestellt werden [10].
[1] Gesundheitsförderung Schweiz: Wegleitung Qualitätskriterien für das betriebliche Gesundheitsmanagement (S. 5) sowie Betriebliches Gesundheitsmanagement Grundlagen und Trends (S. 14 ff.).
[2] Staub Brigitte, Absenz- und Case-Management, Erfolgsfaktoren und Umsetzung im betrieblichen Gesundheitsmanagement, Zürich 2011, S. 22.
[3] Aliotta Massimo, Case-Management und Datenschutz, in: HAVE 2/2008, Ziff. 3.4.1.
[4] Aufzählung der verschiedenen Lehrmeinungen in: Streiff/von Kaenel/Rudolph, Praxiskommentar zum Arbeitsvertrag, Zürich 2012, Art. 328b N 3.
[5] EDÖB, Case-Management
[6] Merker Michael/Wittwer Simone: Kündigung bei arbeitsplatzbezogener Arbeitsunfähigkeit, in: AJP 2020 S. 1156 ff.
[7] Baeriswyl Bruno, SHK zum Datenschutzgesetz, Bern 2015, Art. 4 N 59 f.
[8] EDÖB, Case-Management
[9] EDÖB, Erläuterungen zur Videoüberwachung am Arbeitsplatz
[10] Baeriswyl Bruno, Datenschutzgesetz (DSG), Bern 2015, Art. 4 N 65 ff.; Kasper Gabriel/Wildhaber Isabelle, Big Data am Arbeitsplatz, Datenschutz- und arbeitsrechtliche Herausforderungen von People Analytics in Schweizer Unternehmen, S. 196.
Take-Aways
- Bei der Bearbeitung von Gesundheitsdaten eines Arbeitnehmenden ist eine freiwillige, ausdrückliche Einwilligung der betroffenen Person erforderlich, zumal diese als besonders schützenswerte Personendaten qualifiziert werden.
- An die Gültigkeit einer Einwilligung werden hohe Anforderungen gestellt, insbesondere wenn diese im Rahmen eines Arbeitsverhältnisses erteilt werden soll, in welchem sich der Arbeitnehmer wesensbedingt in einem Subordinationsverhältnis und damit einhergehend in einer gewissen Drucksituation befindet.
- Damit der Arbeitnehmer seine Einwilligung informiert erteilen kann, muss er die Risiken für seine Persönlichkeitsrechte abschätzen können. Dies ist nur möglich, wenn er von der seine Gesundheitsdaten bearbeitenden Person oder Stelle vollumfänglich und transparent über sämtliche Aspekte der Datenbearbeitung informiert wird, auch über allfällige negative Auswirkungen. Die in der Praxis häufig verwendeten, standardisierten und sehr allgemein gehaltenen Einwilligungs- bzw. Entbindungserklärungen erfüllen diese strengen Anforderungen an Klarheit und Transparenz nach Ansicht des Autors leider regelmässig nicht.