Sie wollen eine betriebliche Krankenversicherung (bKV) für Ihre Mitarbeiter einführen?
Aber dann kommt die Angst vor dem Datenschutz. Mitarbeiterdaten, Versicherungen, DSGVO – das klingt nach Ärger. Die gute Nachricht: Mit ein bisschen Struktur bekommen Sie das problemlos hin.
Rechtliche Grundlagen beim Umgang mit Mitarbeiterdaten: DSGVO, BDSG und § 26 BDSG im Überblick
Bei der bKV geht es um personenbezogene Daten Ihrer Mitarbeiter. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) regeln, wie Sie mit diesen Daten umgehen dürfen.
Der zentrale Punkt ist die Rechtsgrundlage. Sie dürfen Mitarbeiterdaten nur verarbeiten, wenn Sie eine rechtliche Basis haben. Bei der bKV haben Sie im Wesentlichen zwei Optionen. Die erste ist die Einwilligung – eine schriftliche Erlaubnis jedes einzelnen Mitarbeiters. Die zweite ist eine Betriebsvereinbarung mit dem Betriebsrat, falls vorhanden.
Das BDSG regelt speziell den Umgang mit Beschäftigtendaten in § 26. Der entscheidende Punkt für die bKV ist, dass sie keine notwendige Voraussetzung für das Arbeitsverhältnis ist. Ein Arbeitsvertrag funktioniert auch ohne betriebliche Krankenversicherung. Deshalb können Sie nicht argumentieren, die Datenverarbeitung sei „für das Arbeitsverhältnis erforderlich“. Sie brauchen eine andere Rechtsgrundlage.
Die Einwilligung nach § 26 Absatz 2 BDSG ist der sicherste Weg. Der Mitarbeiter stimmt freiwillig zu, dass Sie seine Daten an die Versicherung weitergeben. Bei einer bKV sehen die Aufsichtsbehörden diese Freiwilligkeit als gegeben an, da der Mitarbeiter einen finanziellen Vorteil hat und keine Nachteile bei Ablehnung entstehen.
den Sie brauchen werden.
Ein Beispiel aus der Praxis zeigt die Konsequenzen bei Missachtung. Ein Arbeitgeber aus Thüringen übermittelte 2023 Mitarbeiterdaten an eine Krankenversicherung, ohne die Mitarbeiter vorher um Erlaubnis zu fragen. Er stützte sich nur auf eine Betriebsvereinbarung. Die Datenschutzbehörde verhängte eine Verwarnung.
Die Begründung war eindeutig: Eine Betriebsvereinbarung allein reicht nicht aus, wenn die Mitarbeiter nicht rechtzeitig informiert wurden und keine individuelle Zustimmung vorliegt.
Welche personenbezogenen Daten ihrer Beschäftigten dürfen Arbeitgeber im Rahmen der bKV verarbeiten?
Die Grundregel beim Datenschutz lautet: So wenig wie möglich, so viel wie nötig. Bei der bKV bedeutet das eine klare Trennung zwischen notwendigen und unnötigen Daten.
Diese Daten dürfen Sie an die Versicherung weitergeben
Die Versicherung braucht bestimmte Stammdaten zur Vertragsdurchführung. Der Name des Mitarbeiters ist essentiell für die eindeutige Identifikation. Das Geburtsdatum benötigt die Versicherung zur Berechnung des altersabhängigen Tarifs.
Das Geschlecht spielt bei vielen Tarifen noch eine Rolle, auch wenn das aus Gleichstellungssicht problematisch erscheint. Die Adresse ist notwendig für den Versand der Versicherungsunterlagen und der Gesundheitskarte. Eine E-Mail-Adresse erleichtert die Kommunikation zwischen Versicherung und Versichertem.
Das Eintrittsdatum in die Firma kann relevant sein, wenn die bKV an eine Mindestbetriebszugehörigkeit geknüpft ist. Die Personalnummer dient als interne Referenz und erleichtert die Zuordnung bei Änderungen oder Austritten.
Von diesen Daten lassen Sie die Finger
Gesundheitsdaten haben in Ihren Systemen nichts verloren. Keine Diagnosen, keine Krankengeschichte, keine Vorerkrankungen, keine Informationen über Arztbesuche oder Therapien. Das ist ein enormer Vorteil der meisten bKV-Tarife – sie kommen ohne Gesundheitsprüfung aus. Sollte die Versicherung in Ausnahmefällen doch Gesundheitsdaten benötigen, holt sie diese direkt beim Mitarbeiter ein. Sie als Arbeitgeber bleiben komplett außen vor.
Auch das Gehalt ist in der Regel nicht erforderlich, außer der Tarif orientiert sich an der Gehaltshöhe. Familienstand, Religionszugehörigkeit und die aktuelle Krankenkasse sind ebenfalls irrelevant für die bKV. Die Bankverbindung klärt der Mitarbeiter direkt mit der Versicherung – Sie müssen diese sensiblen Finanzdaten nicht kennen.
Hier einmal ein Beispiel: Angenommen, Sie erfahren zufällig, dass Mitarbeiter Müller regelmäßig Physiotherapie-Leistungen der bKV in Anspruch nimmt. Diese Information darf unter keinen Umständen in Ihre Personalentscheidungen einfließen. Weder bei der Projektzuteilung noch bei Beförderungen oder der Leistungsbeurteilung. Solche Gesundheitsinformationen sind strikt vom beruflichen Kontext zu trennen.
Brauchen Unternehmen Einwilligungen der Mitarbeiter bei der Einführung einer bKV oder geht es auch ohne?
Diese Frage stellen sich alle Unternehmen bei der Einführung einer bKV. Die Antwort hängt von Ihrer Strategie ab, aber es gibt einen klaren Favoriten.
Die Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO
Die Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO ist der sicherste Weg. Sie ist transparent, respektiert die Autonomie der Mitarbeiter und schafft klare Verhältnisse. Jeder weiß, woran er ist.
Die Einwilligung muss vier Kriterien erfüllen. Sie muss freiwillig erfolgen, also ohne Druck und ohne Nachteile bei Verweigerung. Sie muss informiert sein, der Mitarbeiter muss genau wissen, was mit seinen Daten passiert. Sie muss spezifisch für die bKV gelten, nicht pauschal für alles Mögliche. Und sie muss eindeutig sein, also durch aktive Zustimmung und nicht durch ein voreingestelltes Häkchen.
Der große Vorteil ist die Rechtssicherheit. Sie haben schwarz auf weiß, dass der Mitarbeiter einverstanden ist. Der Nachteil ist, dass die Einwilligung widerrufen werden kann. Dann müssen Sie den Mitarbeiter aus der bKV abmelden. Aber das ist sein gutes Recht und sollte respektiert werden.
Alternative: Vertragserfüllung
Sie könnten argumentieren, die Datenverarbeitung sei zur Vertragserfüllung nach Artikel 6 Absatz 1 lit. b DSGVO erforderlich. Das setzt voraus, dass Sie die bKV vertraglich zugesagt haben, etwa in einer Versorgungsordnung oder als Zusatz zum Arbeitsvertrag.
Das Problem dabei ist offensichtlich. Die Datenschutzbehörden sehen die bKV nicht als arbeitsvertraglich erforderlich an. Der Job funktioniert auch ohne Zusatzversicherung. Die bKV ist ein freiwilliger Benefit, keine Voraussetzung für das Arbeitsverhältnis. Diese Rechtsgrundlage ist daher riskant und wurde schon mehrfach von Aufsichtsbehörden abgelehnt.
Die Betriebsvereinbarung als Basis
Nach § 26 Absatz 4 BDSG kann eine Betriebsvereinbarung die Datenverarbeitung legitimieren.
Das klingt verlockend einfach. Einmal mit dem Betriebsrat verhandeln, unterschreiben, fertig. Aber Vorsicht ist geboten. Der EuGH hat Ende 2024 klargestellt, dass Betriebsvereinbarungen keine DSGVO-Verstöße legalisieren können. Eine Betriebsvereinbarung kann nicht erlauben, was die DSGVO verbietet.
Eine Betriebsvereinbarung sollte daher nur der organisatorische Rahmen sein. Sie regelt, wie die bKV im Unternehmen abläuft, wer teilnahmeberechtigt ist, welche Leistungen es gibt. Die individuelle Einwilligung brauchen Sie trotzdem. Der Thüringer Fall zeigt deutlich, dass Sie sich nicht allein auf die Betriebsvereinbarung verlassen können.
Die beste Strategie ist eine Kombination beider Ansätze. Schließen Sie eine Betriebsvereinbarung für den organisatorischen Rahmen. Das schafft Klarheit und bindet den Betriebsrat konstruktiv ein. Holen Sie zusätzlich individuelle Einwilligungen ein. So sind Sie doppelt abgesichert. Wenn Sie keinen Betriebsrat haben, erstellen Sie eine Versorgungsordnung und holen trotzdem Einwilligungen ein. Das ist der sicherste Weg. Lieber einmal zu viel abgesichert als einmal zu wenig.
Beispiel: Musterformulierungen für Einwilligung und Betriebsvereinbarung
Theorie ist gut, Praxis ist besser.
Deshalb hier konkrete Formulierungsvorschläge, die Sie als Basis nutzen können.
Muster-Einwilligungserklärung
Einwilligung zur Datenverarbeitung im Rahmen der betrieblichen Krankenversicherung
Ich willige ein, dass die [Firma XY GmbH] meine nachfolgenden personenbezogenen Daten zum Zweck der Anmeldung und Verwaltung der betrieblichen Krankenversicherung an die [ABC Versicherung AG] übermittelt:
- Name, Vorname
- Geburtsdatum
- Geschlecht
- Anschrift
- E-Mail-Adresse
- Eintrittsdatum in das Unternehmen
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 26 Abs. 2 BDSG.
Mir ist bekannt, dass diese Einwilligung freiwillig ist und ich sie jederzeit mit Wirkung für die Zukunft widerrufen kann. Bei Verweigerung oder Widerruf entstehen mir keine Nachteile im Arbeitsverhältnis. Im Falle eines Widerrufs endet meine Teilnahme an der bKV.
Ich wurde über meine Rechte nach DSGVO informiert (separates Informationsblatt erhalten).
Datum, Unterschrift
Datenschutzklausel für die Betriebsvereinbarung
§ X Datenschutz
(1) Die zur Durchführung der betrieblichen Krankenversicherung erforderlichen personenbezogenen Daten der teilnehmenden Mitarbeiter werden vom Arbeitgeber an die [ABC Versicherung AG] übermittelt.
(2) Erforderliche Daten sind ausschließlich Identifikationsdaten (Name, Geburtsdatum), Kontaktdaten (Anschrift, E-Mail) und Beschäftigungsdaten (Eintrittsdatum, Personalnummer).
(3) Gesundheitsdaten werden vom Arbeitgeber weder erhoben noch verarbeitet. Sollte die Versicherung Gesundheitsdaten benötigen, erhebt sie diese direkt beim Versicherten.
(4) Der Arbeitgeber informiert die Mitarbeiter vor der erstmaligen Datenübermittlung umfassend über die Datenverarbeitung gemäß Art. 13 DSGVO.
(5) Mitarbeiter können der Teilnahme und damit der Datenverarbeitung innerhalb von vier Wochen nach Information widersprechen (Opt-out).
(6) Diese Vereinbarung stellt eine Regelung i.S.d. Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG dar.
Datenschutz-Folgenabschätzung (DSFA): Wann nötig und wie durchführen?
Die DSFA nach Artikel 35 DSGVO ist ein systematischer Risiko-Check für Ihre Datenverarbeitung. Bei der bKV ist sie nicht immer Pflicht, aber oft sinnvoll. Sie hilft Ihnen, Risiken zu erkennen, bevor sie zum Problem werden.
Wann ist eine DSFA erforderlich?
Eine DSFA brauchen Sie, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen birgt. Bei der bKV sprechen drei Faktoren für ein erhöhtes Risiko.
- Erstens der große Umfang: Wenn Sie mehr als 100 Mitarbeiter haben, verarbeiten Sie Daten in großem Umfang. Das allein kann schon eine DSFA-Pflicht auslösen.
- Zweitens der sensible Kontext: Beschäftigtendaten gelten als besonders schützenswert, weil das Arbeitsverhältnis ein Abhängigkeitsverhältnis ist.
- Drittens die externe Übermittlung: Die Weitergabe an Versicherer und möglicherweise Makler erhöht das Risiko von Datenpannen oder Missbrauch.
Die Faustregel lautet daher, dass Sie ab 50 Mitarbeitern eine DSFA durchführen sollten. Bei weniger Mitarbeitern ist sie optional, aber trotzdem empfehlenswert. Sie kostet Zeit, schafft aber Sicherheit.
Haben Sie einen Datenschutzbeauftragten, muss er bei der DSFA dabei sein. Das ist keine Option, sondern Pflicht nach Artikel 35 Absatz 2 DSGVO. Er kennt die Fallstricke und hilft bei der Bewertung. Haben Sie keinen DSB, sollten Sie sich externe Unterstützung holen. Eine DSFA ohne Expertise ist wie Autofahren ohne Führerschein. Es kann gutgehen, muss aber nicht.
Trasparenz: Welche Informationspflichten haben Unternehmen?
Transparenz ist das A und O der DSGVO. Ihre Mitarbeiter haben das Recht zu wissen, was mit ihren Daten passiert.
Artikel 13 und 14 DSGVO schreiben genau vor, was Sie mitteilen müssen.
Was müssen Sie Ihren Mitarbeitern mitteilen?
Die Informationspflicht umfasst 13 Punkte, von denen sechs für die bKV besonders wichtig sind. Sie müssen den Verantwortlichen und seine Kontaktdaten nennen, also Ihre Firma mit vollständiger Adresse und den Datenschutzbeauftragten, falls vorhanden. Der Zweck und die Rechtsgrundlage müssen klar benannt werden. Bei der bKV ist das die Durchführung der betrieblichen Krankenversicherung auf Basis der Einwilligung.
Die Empfänger der Daten sind ein kritischer Punkt. Nennen Sie konkret die Versicherung mit Namen und Adresse. Wenn ein Makler involviert ist, muss auch er genannt werden. Die Speicherdauer muss angegeben werden. Bei der bKV typischerweise für die Dauer der Teilnahme plus eine kurze Nachbearbeitungszeit.
Die Betroffenenrechte müssen vollständig aufgelistet werden. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Vergessen Sie nicht das Widerrufsrecht der Einwilligung. Und das Beschwerderecht bei der Aufsichtsbehörde muss erwähnt werden, inklusive Kontaktdaten der zuständigen Behörde.
Wann müssen Sie Ihr Mitarbeiter informieren?
Der Zeitpunkt ist entscheidend. Die Information muss erfolgen, bevor Sie die Daten verarbeiten. Also bevor Sie die erste Mitarbeiterliste an die Versicherung schicken. In der Praxis geben Sie das Infoblatt zusammen mit der Einwilligungserklärung aus. So haben Ihre Mitarbeiter alle Informationen, um eine informierte Entscheidung zu treffen.
Bei bestehenden Mitarbeiterdaten, die Sie für einen neuen Zweck nutzen wollen, gilt Artikel 14 DSGVO. Dann müssen Sie innerhalb eines Monats informieren. Aber bei der bKV sollten Sie ohnehin Einwilligungen einholen, dann greift Artikel 13.
Form: Wie informieren Sie Ihre Mitarbeiter?
Schreiben Sie klar und verständlich. Keine Juristensprache, keine verschachtelten Sätze. Strukturieren Sie mit Überschriften und Absätzen. Nutzen Sie wo sinnvoll Aufzählungen. Ihre Mitarbeiter sollen verstehen, was passiert, ohne ein Jurastudium absolviert zu haben.
Ein schlechtes Beispiel wäre die Formulierung „Gem. Art. 13 DSGVO i.V.m. § 26 BDSG erfolgt die Verarbeitung zum Zwecke der Durchführung der im Rahmen des Arbeitsverhältnisses angebotenen freiwilligen Sozialleistung“. Besser ist „Wir geben folgende Ihrer Daten an die Versicherung weiter, damit Sie die betriebliche Krankenversicherung nutzen können.“
Auftragsverarbeitung: Was gilt bei Verträgen mit Versicherern und Maklern (Art. 28 DSGVO)?
Die Frage der Auftragsverarbeitung ist bei der bKV komplex. Wer ist Auftragsverarbeiter, wer ist Verantwortlicher? Die Antwort hat praktische Konsequenzen für Ihre Verträge.
Versicherer ist kein Auftragsverarbeiter
Der Versicherer ist in der Regel eigenständig verantwortlich. Er verarbeitet die Daten nicht in Ihrem Auftrag, sondern für eigene Zwecke. Vertragsdurchführung, Risikobewertung und Leistungsabwicklung sind seine ureigenen Aufgaben. Ein Auftragsverarbeitungsvertrag (AVV) wäre hier rechtlich falsch.
Was Sie stattdessen brauchen, sind klare vertragliche Regelungen im Gruppenversicherungsvertrag. Welche Daten werden übermittelt und zu welchem Zweck? Wie lange werden sie gespeichert? Es muss vereinbart sein, dass keine Weitergabe an Dritte ohne Zustimmung erfolgt und keine Werbung ohne separate Einwilligung.
Viele Versicherer haben diese Punkte standardmäßig in ihren Verträgen. Prüfen Sie trotzdem genau. Manchmal verstecken sich Klauseln, die eine Nutzung für „verbundene Unternehmen“ oder „Konzernzwecke“ erlauben. Das wollen Sie nicht.
Versicherungsmakler befinden sich in einer Grauzone
Versicherungsmakler haben eine Doppelrolle, die die Einordnung schwierig macht. Einerseits arbeiten sie in Ihrem Auftrag und suchen die beste Versicherung. Andererseits sind sie selbstständige Kaufleute mit eigenen Pflichten nach Versicherungsrecht.
Wann brauchen Sie einen AVV mit dem Makler? Wenn er reine Verwaltungsaufgaben für Sie übernimmt, wenn er Mitarbeiterdaten nur durchleitet ohne eigene Zwecke oder wenn er streng weisungsgebunden für Sie tätig ist. In diesen Fällen verarbeitet er Daten in Ihrem Auftrag.
Wann brauchen Sie keinen AVV? Wenn der Makler eigenständig berät, eigene Dokumentationspflichten nach Versicherungsrecht hat oder die Daten auch für eigene Zwecke nutzt, etwa zur Erfüllung seiner Beratungspflichten. Dann ist er selbst Verantwortlicher.
Die Praxis zeigt, dass die Abgrenzung schwierig ist. Viele Makler bieten daher von sich aus AVV an. Die Empfehlung lautet, im Zweifel einen AVV zu schließen. Das schadet nicht und schafft Klarheit über die Rollen und Pflichten.
Welchen Inhalt hat ein AVV?
Falls Sie einen Auftragsverarbeitungsvertrag schließen, muss er bestimmte Mindestinhalte haben. Artikel 28 Absatz 3 DSGVO listet diese auf.
Der Vertrag muss Gegenstand und Dauer der Verarbeitung regeln, also was genau gemacht wird und wie lange. Die Art und der Zweck der Verarbeitung müssen definiert sein. Bei der bKV wäre das die Verwaltung der Versicherungsanmeldungen. Die Art der personenbezogenen Daten und die Kategorien betroffener Personen müssen benannt werden. Also Mitarbeiterstammdaten von Beschäftigten Ihres Unternehmens.
Besonders wichtig ist das Weisungsrecht. Sie müssen dem Auftragsverarbeiter Weisungen erteilen können und er muss sich daran halten. Die technischen und organisatorischen Maßnahmen müssen festgelegt sein. Wie schützt der Auftragsverarbeiter die Daten? Die Unterstützung bei Betroffenenrechten muss geregelt sein. Wenn ein Mitarbeiter Auskunft will, muss der Auftragsverarbeiter Sie unterstützen. Und die Rückgabe oder Löschung der Daten nach Vertragsende muss vereinbart sein.
Technisch-organisatorische Maßnahmen (TOMs): Wie können Sie den Schutz der Daten gewährleisten?
Artikel 32 DSGVO verlangt angemessene Schutzmaßnahmen. Bei der bKV geht es vor allem um sichere Prozesse und klare Verantwortlichkeiten.
Sichere Übertragung
Der häufigste Fehler ist die unverschlüsselte Übertragung von Mitarbeiterlisten. Eine Excel-Liste als normaler E-Mail-Anhang zu verschicken, ist fahrlässig. Jeder IT-affine Teenager könnte diese abfangen.
Nutzen Sie stattdessen sichere Übertragungswege. Viele Versicherer bieten verschlüsselte Upload-Portale an. Dort loggen Sie sich ein und laden die Daten sicher hoch. Alternativ können Sie verschlüsselte E-Mails nutzen. Ihr IT-Bereich kann das einrichten. Oder Sie nutzen sichere Übertragungsprotokolle wie SFTP.
Die Investition in sichere Übertragung lohnt sich. Eine einzige Datenpanne kann Sie Millionen kosten. Nicht nur an Bußgeld, sondern vor allem an Vertrauen Ihrer Mitarbeiter.
Zugriffskontrolle intern
Nicht jeder in der HR-Abteilung braucht Zugriff auf bKV-Daten. Das Prinzip der minimalen Rechte gilt auch hier. Definieren Sie klare Rollen. Wer darf Mitarbeiter anmelden? Typischerweise eine oder zwei Personen aus der HR-Leitung. Wer hat Zugriff auf die Teilnehmerliste? Nur die Personen, die sie für ihre Arbeit brauchen. Wer kommuniziert mit dem Versicherer? Am besten nur eine definierte Ansprechperson.
Diese Rollen dokumentieren Sie schriftlich. Nutzen Sie technische Zugriffsrechte in Ihren Systemen. Moderne HR-Software kann das. Ordner auf dem Fileserver können zugriffsbeschränkt werden. Physische Akten gehören in abschließbare Schränke.
Wichtig ist auch die Vertretungsregelung. Was passiert, wenn die zuständige Person krank oder im Urlaub ist? Definieren Sie Vertretungen, aber nur für den Notfall. Die Vertretung sollte nicht dauerhaft Zugriff haben.
Datentrennung und Löschkonzepte
bKV-Daten gehören nicht in die normale Personalakte. Warum? Weil mehr Leute Zugriff auf Personalakten haben als auf bKV-Daten haben sollten. Führen Sie separate Verzeichnisse. Digital bedeutet das einen eigenen Ordner mit speziellen Zugriffsrechten. Physisch bedeutet das einen separaten Aktenordner im abschließbaren Schrank.
Die Trennung hat noch einen Vorteil. Sie können leichter löschen. Wenn ein Mitarbeiter aus der bKV ausscheidet, löschen Sie nur seine bKV-Daten, nicht die ganze Personalakte.
Apropos Löschen. Definieren Sie klare Löschfristen. Ausgeschiedene Mitarbeiter werden nach drei Monaten gelöscht. Widerrufene Einwilligungen führen zur sofortigen Löschung. Alte Versichertenlisten werden jährlich bereinigt. Diese Fristen dokumentieren Sie und setzen sie konsequent um. Automatisierung hilft. Viele Systeme können automatisch löschen. Für manuelle Löschungen setzen Sie sich Erinnerungen.
Schulung der Mitarbeiter
Die beste Technik nützt nichts, wenn die Menschen sie falsch nutzen. Ihre HR-Mitarbeiter müssen verstehen, warum Datenschutz bei der bKV wichtig ist. Eine jährliche Schulung ist das Minimum. Besser sind halbjährliche Auffrischungen.
Was sollte die Schulung umfassen? Die Vertraulichkeit von bKV-Daten, die sichere Übertragung an den Versicherer, das Verhalten bei Anfragen von Mitarbeitern, die Reaktion auf mögliche Datenpannen und die Dokumentationspflichten.
Dokumentieren Sie die Schulungen. Wer hat wann an welcher Schulung teilgenommen? Das brauchen Sie für die Rechenschaftspflicht. Und es motiviert zur Teilnahme, wenn die Mitarbeiter wissen, dass es dokumentiert wird.
Datenminimierung und Zweckbindung: Nur verwenden, was nötig ist
Die DSGVO verlangt in Art. 5 Abs. 1 lit. c, dass Sie nur die Daten verarbeiten, die für Ihren Zweck wirklich notwendig sind. Bei der bKV bedeutet das eine klare Trennung zwischen dem, was die Versicherung braucht und dem, was sie nicht braucht.
Für die Anmeldung bei der Gruppenversicherung braucht der Versicherer typischerweise nur wenige Stammdaten. Name und Geburtsdatum sind essentiell für die Identifikation und Tarifberechnung. Die Adresse benötigt er für den Versand der Versicherungskarte. Eine E-Mail-Adresse erleichtert die Kommunikation. Mehr braucht es in der Regel nicht.
Was definitiv nicht in Ihre Hände gehört, sind Gesundheitsdaten jeglicher Art. Keine Diagnosen, keine Krankengeschichte, keine Informationen über Arztbesuche oder Therapien. Das ist der große Vorteil moderner bKV-Tarife – sie verzichten bewusst auf Gesundheitsprüfungen. Falls der Versicherer ausnahmsweise doch Gesundheitsinformationen benötigt, holt er diese direkt beim Mitarbeiter ein. Sie als Arbeitgeber bleiben komplett außen vor.
Die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO bedeutet, dass Sie die Daten ausschließlich für die bKV nutzen dürfen. Ein praktisches Beispiel verdeutlicht das: Angenommen, Sie erfahren durch Zufall, dass Herr Müller häufig die Physiotherapie-Leistungen der bKV nutzt. Diese Information darf niemals in Personalentscheidungen einfließen. Weder bei Beförderungen noch bei der Projektzuteilung. Die strikte Zweckbindung verhindert, dass Gesundheitsinformationen zu Diskriminierung führen.
Auch der Versicherer ist an die Zweckbindung gebunden. Er darf die erhaltenen Mitarbeiterdaten nicht für Werbezwecke nutzen oder an Schwesterunternehmen weitergeben. Das sollten Sie vertraglich festhalten. Nach § 1 AGG (Allgemeines Gleichbehandlungsgesetz) sind Sie ohnehin verpflichtet, gesundheitsbedingte Benachteiligungen zu verhindern.
Wenn ein Mitarbeiter aus der bKV ausscheidet, entfällt der Zweck der Datenverarbeitung. Nach einer angemessenen Nachbearbeitungsfrist von etwa drei Monaten müssen Sie seine bKV-bezogenen Daten löschen. Ausnahmen gelten nur bei gesetzlichen Aufbewahrungspflichten nach § 257 HGB oder § 147 AO, die aber bei reinen Teilnehmerlisten selten greifen.
Besondere Risiken bei Gruppenverträgen: Darauf müssen Unternehmen achten
Gruppenverträge sind der Standard bei der bKV. Ein Vertrag für alle Mitarbeiter, günstige Konditionen durch die große Anzahl, einfache Verwaltung. Doch diese Konstruktion bringt spezifische datenschutzrechtliche Risiken mit sich, die Sie kennen und beherrschen müssen.
Das größte Problem ist die Versuchung des Opt-out-Verfahrens. Viele Arbeitgeber wollen möglichst hohe Teilnahmequoten erreichen, um bessere Konditionen zu erhalten.
Die Idee klingt verlockend: Alle Mitarbeiter werden automatisch angemeldet, wer nicht teilnehmen möchte, muss aktiv widersprechen. Der Thüringer Landesdatenschutzbeauftragte hat 2023 jedoch klargestellt, dass dieses Vorgehen gegen Art. 6 DSGVO verstößt. Ein Arbeitgeber hatte Mitarbeiterdaten an die Versicherung übermittelt, bevor die Beschäftigten überhaupt informiert wurden. Die Folge war eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.
Ein weiteres Risiko entsteht durch die Mindestversichertenzahl. Gruppenverträge setzen oft voraus, dass mindestens 10 oder 20 Mitarbeiter teilnehmen. Sinkt die Zahl darunter, kann der Versicherer nach § 206 VVG den Vertrag kündigen oder die Prämien erhöhen. Bei einer Vertragsbeendigung stellt sich die Frage, was mit den bereits übermittelten Daten geschieht. Müssen neue Einwilligungen für Folgeverträge eingeholt werden? Wie werden ausscheidende Mitarbeiter informiert? Diese Szenarien sollten Sie bereits bei Vertragsschluss durchdenken und dokumentieren.
Besonders heikel wird es bei aggregierten Berichten des Versicherers. Nach § 26 BDSG dürfen Sie keine individuellen Gesundheitsdaten Ihrer Mitarbeiter erhalten. Der Versicherer darf Ihnen mitteilen, dass „30 Prozent der Versicherten Zahnleistungen in Anspruch genommen haben“. Er darf Ihnen nicht mitteilen, dass „Frau Schmidt eine Wurzelbehandlung hatte“. Bei kleinen Gruppenverträgen mit unter 20 Teilnehmern verschwimmt diese Grenze.
Wenn nur zwei Personen Zahnersatz bekommen haben und Sie wissen, wer kürzlich beim Zahnarzt war, können Sie Rückschlüsse ziehen. Vereinbaren Sie daher vertraglich, dass Berichte erst ab einer Mindestgruppengröße von 20 Personen erstellt werden.
Die Gefahr der Zweckentfremdung durch den Versicherer ist real. Der Versicherer erhält durch den Gruppenvertrag Zugang zu den Kontaktdaten Ihrer gesamten versicherten Belegschaft. Nach Art. 5 Abs. 1 lit. b DSGVO darf er diese Daten ausschließlich für die Durchführung der bKV nutzen. Jegliche Werbung für andere Produkte, sei es eine Berufsunfähigkeitsversicherung oder private Krankenversicherung, stellt eine unzulässige Zweckentfremdung dar.
Regeln Sie vertraglich nach Art. 28 DSGVO, dass der Versicherer die Daten nicht für Marketingzwecke nutzen oder an Konzernunternehmen weitergeben darf.
Mitbestimmungsrechte des Betriebsrats: Beteiligung und Grenzen
Wenn Sie einen Betriebsrat haben, kommen Sie um das Thema Mitbestimmung nicht herum. Die bKV berührt die Rechte des Betriebsrats an mehreren Stellen. Aber auch der Betriebsrat hat Grenzen, besonders beim Datenschutz.
Mitbestimmung nach § 87 BetrVG
Die bKV kann unter § 87 Absatz 1 Nummer 8 BetrVG fallen. Das sind „Fragen der betrieblichen Lohngestaltung“. Auch wenn die bKV kein Lohn im engeren Sinne ist, zählt sie zu den Sozialleistungen. Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung.
In der Praxis bedeutet das, dass Sie eine Betriebsvereinbarung abschließen müssen. Ohne Zustimmung des Betriebsrats keine bKV. Das ist keine Empfehlung, sondern Pflicht. Versuchen Sie es trotzdem, riskieren Sie eine einstweilige Verfügung.
Der Betriebsrat wird verschiedene Punkte regeln wollen. Wer ist teilnahmeberechtigt? Alle Festangestellten oder auch Zeitarbeiter? Welche Leistungen umfasst die bKV? Wer trägt die Kosten? Wie läuft die Anmeldung? All das gehört in die Betriebsvereinbarung.
Mitbestimmung beim Datenschutz
Interessant wird es beim Datenschutz. Der Betriebsrat möchte oft regeln, wie mit den Mitarbeiterdaten umgegangen wird. Das ist sein gutes Recht. Aber er kann nicht die DSGVO aushebeln.
Der EuGH hat Ende 2024 klargestellt, dass Betriebsvereinbarungen die DSGVO einhalten müssen. Der Betriebsrat kann nicht vereinbaren „Wir ignorieren die Einwilligungspflicht“ oder „Gesundheitsdaten sind ab jetzt egal“. Solche Vereinbarungen wären nichtig.
Was kann der Betriebsrat regeln? Er kann zusätzliche Schutzmaßnahmen vereinbaren. Zum Beispiel, dass der Arbeitgeber keine Gesundheitsdaten erhält. Oder dass nur bestimmte Personen Zugriff haben. Oder dass jährlich über die Nutzung berichtet wird. Das sind sinnvolle Ergänzungen zur DSGVO.
Konstruktive Zusammenarbeit
Sehen Sie den Betriebsrat nicht als Hindernis, sondern als Partner. Er will dasselbe wie Sie, zufriedene und gesunde Mitarbeiter. Die bKV ist ein Benefit, den der Betriebsrat gerne unterstützt. Nutzen Sie das.
Binden Sie den Betriebsrat früh ein. Erklären Sie Ihr Vorhaben und fragen Sie nach Bedenken. Oft hat der Betriebsrat gute Ideen zur Umsetzung. Er kennt die Stimmung in der Belegschaft. Nehmen Sie den Datenschutzbeauftragten zu den Verhandlungen mit. Er kann erklären, was rechtlich möglich ist und was nicht. Das verhindert unrealistische Forderungen.
Typische Punkte, auf die der Betriebsrat Wert legt, sind die Freiwilligkeit der Teilnahme, keine Nachteile bei Nicht-Teilnahme, Datenschutz und Transparenz sowie regelmäßige Information über die Entwicklung. All das sind sinnvolle Punkte, die Sie ohnehin umsetzen sollten.
Dokumentationspflichten: Verzeichnis, Nachweise und Accountability
Die DSGVO verlangt Rechenschaftspflicht. Sie müssen nicht nur compliant sein, Sie müssen es auch nachweisen können. Bei der bKV bedeutet das strukturierte Dokumentation.
Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 DSGVO verlangt ein Verzeichnis aller Datenverarbeitungen. Die bKV muss dort als eigene Verarbeitungstätigkeit erscheinen. Der Eintrag sollte mindestens folgende Punkte umfassen:
Der Zweck der Verarbeitung ist die Durchführung der betrieblichen Krankenversicherung als freiwillige Sozialleistung. Die betroffenen Personen sind die teilnehmenden Mitarbeiter. Die Datenkategorien sind Stammdaten wie Name, Geburtsdatum, Kontaktdaten, aber keine Gesundheitsdaten beim Arbeitgeber.
Die Rechtsgrundlage ist die Einwilligung nach § 26 Absatz 2 BDSG oder die Betriebsvereinbarung nach § 26 Absatz 4 BDSG. Die Empfänger sind die Versicherung und gegebenenfalls der Makler, jeweils mit vollständiger Bezeichnung. Drittlandübermittlungen gibt es normalerweise keine, außer die Versicherung hat Niederlassungen außerhalb der EU. Die Löschfristen sind definiert, etwa drei Monate nach Austritt aus der bKV. Und die technischen und organisatorischen Maßnahmen verweisen auf Ihr Sicherheitskonzept.
Dieses Verzeichnis müssen Sie jederzeit vorzeigen können. Die Aufsichtsbehörde kann es anfordern. Halten Sie es aktuell. Wenn sich etwas ändert, passen Sie es an.
Nachweis von Einwilligungen
Artikel 7 DSGVO sagt klar, dass Sie Einwilligungen nachweisen können müssen. Das bedeutet konkret, dass Sie jede Einwilligungserklärung aufbewahren müssen. Bei Papierformularen heißt das ab in den Ordner, bei elektronischen Einwilligungen speichern Sie die Daten mit Zeitstempel.
Wie lange müssen Sie die Einwilligungen aufbewahren? So lange, wie Sie die Daten verarbeiten, plus eine Sicherheitsmarge. Wenn ein Mitarbeiter aus der bKV ausscheidet und Sie seine Daten nach drei Monaten löschen, behalten Sie die Einwilligung noch etwas länger. Ein Jahr zusätzlich ist sinnvoll, falls es Nachfragen gibt.
Weitere Dokumentationen
Neben Verzeichnis und Einwilligungen sollten Sie weitere Dokumente bereithalten. Die Betriebsvereinbarung oder Versorgungsordnung ist zentral. Sie regelt den Rahmen der bKV. Die Datenschutz-Folgenabschätzung, falls durchgeführt, gehört zur Dokumentation. Die Schulungsnachweise zeigen, dass Ihre Mitarbeiter geschult wurden.
Die Verträge mit Versicherern und Maklern, inklusive Datenschutzklauseln, müssen verfügbar sein. Und die Löschprotokolle beweisen, dass Sie Daten fristgerecht löschen.
All diese Dokumente sollten Sie strukturiert ablegen. Ein bKV-Ordner, digital oder physisch, in dem alles gesammelt ist. So finden Sie bei Bedarf alles schnell. Und bei einer Prüfung machen Sie einen professionellen Eindruck.
Umgang mit Betroffenenrechten: Auskunft, Berichtigung, Löschung & Co.
Ihre Mitarbeiter haben Rechte. Die DSGVO gibt ihnen ein ganzes Arsenal an Möglichkeiten.
Sie müssen darauf vorbereitet sein.
Auskunftsrecht der Mitarbeiter
Ein Mitarbeiter kann jederzeit fragen „Welche Daten habt ihr über mich im Rahmen der bKV?“ Darauf müssen Sie innerhalb eines Monats antworten. Die Antwort muss vollständig sein und alle relevanten Informationen enthalten.
Was gehört in die Auskunft? Sie nennen alle Daten, die Sie verarbeiten. Bei der bKV sind das typischerweise Name, Geburtsdatum, Adresse und der Vermerk der Teilnahme. Sie erklären den Zweck, also die Durchführung der bKV. Sie nennen die Empfänger, also die Versicherung und eventuell den Makler. Sie geben die Speicherdauer an. Und Sie informieren über die weiteren Rechte des Mitarbeiters.
Die Auskunft muss kostenlos erfolgen. Nur bei offensichtlich unbegründeten oder exzessiven Anträgen dürfen Sie ein Entgelt verlangen. Bei der bKV ist das unrealistisch. Es sind nur wenige Daten, die Auskunft ist schnell erteilt.
Berichtigung und Löschung
Das Berichtigungsrecht ist unkompliziert. Wenn ein Mitarbeiter sagt „Meine Adresse ist falsch“, korrigieren Sie sie. Nicht nur bei sich, sondern informieren auch die Versicherung. Fertig.
Die Löschung ist komplexer. Ein Mitarbeiter kann verlangen, dass Sie seine bKV-Daten löschen.
Während er noch versichert ist, geht das nicht. Sie brauchen die Daten zur Vertragsdurchführung. Nach Austritt oder bei Widerruf der Einwilligung müssen Sie löschen. Ausnahmen sind gesetzliche Aufbewahrungspflichten, die bei der bKV aber selten greifen.
Widerruf und Widerspruch
Der Widerruf der Einwilligung ist das stärkste Recht. Ein Mitarbeiter kann jederzeit seine Einwilligung zurückziehen. Ohne Begründung, ohne Frist. Die Folge ist, dass Sie seine Daten nicht mehr verarbeiten dürfen. Konkret heißt das, Sie melden ihn bei der Versicherung ab und löschen seine Daten.
Der Widerspruch greift nur, wenn Sie sich auf berechtigte Interessen stützen würden. Bei der bKV mit Einwilligungsbasis ist das nicht der Fall. Kommt trotzdem ein „Widerspruch“, behandeln Sie ihn wie einen Widerruf.
Reagieren Sie schnell auf Anfragen. Die gesetzliche Frist ist ein Monat, aber schneller ist besser. Es zeigt, dass Sie die Rechte ernst nehmen. Haben Sie Standardantworten vorbereitet. Ein Muster für Auskünfte spart Zeit und sichert Vollständigkeit. Schulen Sie Ihre HR-Mitarbeiter.
Sie müssen wissen, wie mit solchen Anfragen umzugehen ist. Dokumentieren Sie alles. Wann kam die Anfrage, wann haben Sie geantwortet, was war der Inhalt? Und seien Sie freundlich und professionell. Auch wenn die zehnte Auskunftsanfrage nervt, es ist das Recht des Mitarbeiters.
Meldepflichten bei Datenschutzverletzungen: Was tun, wenn etwas schiefläuft?
Trotz aller Vorsicht kann es passieren. Eine Datenpanne. Die Mitarbeiterliste landet beim falschen Empfänger. Ein Hacker dringt ins System ein. Ein USB-Stick geht verloren. Dann greifen die Meldepflichten nach Artikel 33 und 34 DSGVO.
Wann muss eine Datenschutzverletzung gemeldet werden?
Artikel 33 DSGVO ist klar. Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Betroffenen birgt, müssen Sie binnen 72 Stunden die Aufsichtsbehörde informieren. Die Betonung liegt auf „voraussichtlich“. Im Zweifel melden.
Was wäre bei der bKV meldepflichtig? Sie schicken die Mitarbeiterliste an die falsche E-Mail-Adresse. Definitiv meldepflichtig. Ein externer Angreifer hackt das Versicherungsportal und stiehlt Daten. Meldepflichtig. Ein Mitarbeiter verliert einen USB-Stick mit der Teilnehmerliste. Meldepflichtig, wenn der Stick nicht verschlüsselt war. Die Versicherung schickt Ihnen aus Versehen Gesundheitsdaten eines Mitarbeiters. Meldepflichtig, weil Sie die nicht haben dürften.
Was wäre nicht meldepflichtig? Ein verschlüsselter USB-Stick geht verloren, niemand kann die Daten lesen. Keine Meldung nötig. Sie stellen fest, dass ein ausgeschiedener Mitarbeiter noch in der Liste steht, korrigieren das aber sofort. Interner Fehler ohne externes Risiko, keine Meldung.
Wie melden Sie einr Datenschutzverletzung?
Jede Landesdatenschutzbehörde hat ein Online-Formular. Googeln Sie „Datenpanne melden [Ihr Bundesland]“. Das Formular fragt verschiedene Punkte ab. Art der Verletzung, betroffene Personen und Daten, mögliche Folgen, ergriffene Maßnahmen und Ihre Kontaktdaten.
Die 72-Stunden-Frist läuft ab Kenntnis der Verletzung. Nicht ab dem Zeitpunkt, wo es passiert ist, sondern ab dem Zeitpunkt, wo Sie es bemerken. Trotzdem, die Zeit läuft schnell. Lieber unvollständig melden und nachreichen als die Frist verpassen.
Benachrichtigung der Betroffenen
Artikel 34 DSGVO verlangt bei hohem Risiko die Benachrichtigung der Betroffenen. Hohes Risiko liegt vor, wenn die Verletzung voraussichtlich zu ernsthaften Beeinträchtigungen führt. Bei bKV-Stammdaten ist das Risiko meist moderat. Bei Gesundheitsdaten wäre es hoch.
Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen. Erklären Sie, was passiert ist, welche Daten betroffen sind, welche Folgen drohen könnten und was Sie dagegen tun. Seien Sie ehrlich, aber verursachen Sie keine Panik.
Haben Sie einen Plan für den Ernstfall. Dieser Plan sollte klare Schritte vorgeben. Wer wird informiert? Typischerweise Datenschutzbeauftragter, Geschäftsführung und IT-Sicherheit. Wer entscheidet über die Meldung? Am besten der DSB in Abstimmung mit der Geschäftsführung. Wer macht die Meldung? Der DSB oder eine benannte Person. Wer informiert die Betroffenen? HR in Abstimmung mit dem DSB. Und wer dokumentiert alles? Eine definierte Person, die den Vorfall von Anfang bis Ende dokumentiert.
Üben Sie den Ernstfall. Ein Tabletop-Exercise, wo Sie einen fiktiven Vorfall durchspielen, zeigt Schwachstellen im Prozess. Besser in der Übung stolpern als im Ernstfall.
