Datenschutz bei bKV & bAV
Datenschutz bei bKV & bAV

Datenschutz bei bKV und bAV: Worauf Sie achten müssen

Betriebliche Vorsorgelösungen wie die betriebliche Krankenversicherung (bKV) und die betriebliche Altersvorsorge (bAV) bieten Unternehmen und Mitarbeitenden zahlreiche Vorteile. Doch sobald Gesundheits- und Finanzdaten verarbeitet werden, spielt der Datenschutz eine entscheidende Rolle. Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an den Umgang mit personenbezogenen Daten, insbesondere wenn externe Versicherer oder Dienstleister involviert sind. Unternehmen müssen sicherstellen, dass sie alle relevanten Vorschriften einhalten, um Bußgelder und rechtliche Konsequenzen zu vermeiden. Dieser Leitfaden zeigt, worauf Sie achten müssen.

1. Welche Daten werden bei der bKV und bAV verarbeitet?

Sowohl bei der betrieblichen Krankenversicherung als auch bei der betrieblichen Altersvorsorge werden personenbezogene Daten der Mitarbeitenden erfasst und verarbeitet. Diese lassen sich in zwei Kategorien unterteilen:

  • Allgemeine Personaldaten: Name, Geburtsdatum, Anschrift, Steuer- und Sozialversicherungsnummer.
  • Besonders schützenswerte Daten: Gesundheitsdaten im Rahmen der bKV (z. B. Art der Versicherungsleistungen, Krankheits- oder Behandlungsinformationen).

Gerade Gesundheitsdaten gelten gemäß Art. 9 DSGVO als besonders schützenswerte Daten und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Unternehmen müssen hier besonders sorgfältig vorgehen.

2. Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung von personenbezogenen Daten im Rahmen der bKV und bAV kann auf verschiedene rechtliche Grundlagen gestützt werden:

Erfüllung eines Vertrags (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO):
Arbeitgeber sind berechtigt, Mitarbeitendendaten zu verarbeiten, wenn dies für die Durchführung des Arbeitsvertrags erforderlich ist. Dazu gehört auch die Verwaltung betrieblicher Vorsorgeleistungen.

Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO):
Arbeitgeber sind gesetzlich verpflichtet, bAV-Verträge korrekt abzuwickeln (z. B. bei der Entgeltumwandlung nach § 1a BetrAVG).

Einwilligung der Mitarbeitenden (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO):
Bei der bKV ist eine explizite Einwilligung der Mitarbeitenden erforderlich, wenn Gesundheitsdaten an Dritte (z. B. Versicherungen) weitergegeben werden sollen.

Besonders bei Gesundheitsdaten gilt: Ohne eine freiwillige und nachweisbare Einwilligung dürfen diese nicht verarbeitet werden.

3. Datenschutzpflichten für Arbeitgeber

Unternehmen, die eine bKV oder bAV anbieten, müssen sicherstellen, dass die Verarbeitung der personenbezogenen Daten DSGVO-konform erfolgt. Dazu gehören insbesondere folgende Maßnahmen:

Informationspflichten:
Arbeitgeber müssen ihre Mitarbeitenden transparent über die Datenverarbeitung aufklären. Dies erfolgt idealerweise durch Datenschutzhinweise, die klar erklären, welche Daten zu welchem Zweck verarbeitet werden.

Datensparsamkeit und Zweckbindung:
Es dürfen nur die für die bKV und bAV erforderlichen Daten erhoben werden. Gesundheitsdaten sollten nur in dem Umfang verarbeitet werden, der für die Versicherungsleistungen notwendig ist.

Verarbeitungsverzeichnis:
Nach Art. 30 DSGVO sind Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem die Erfassung, Speicherung und Weitergabe von Mitarbeitendendaten dokumentiert wird.

Technische und organisatorische Maßnahmen (TOMs):
Daten müssen vor unbefugtem Zugriff geschützt werden. Dazu gehören Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Sicherheitsüberprüfungen.

Datenschutz-Folgenabschätzung (DSFA):
Bei umfangreicher Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten in der bKV) kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein.

4. Zusammenarbeit mit Versicherern und externen Dienstleistern

Arbeitgeber arbeiten in der Regel mit externen Versicherungen oder Dienstleistern zusammen, um bKV- oder bAV-Angebote für ihre Mitarbeitenden bereitzustellen. Dabei ist entscheidend:

  • Datenweitergabe nur mit Rechtsgrundlage: Eine Übermittlung von Gesundheitsdaten an den Versicherer darf nur mit ausdrücklicher Einwilligung der Mitarbeitenden erfolgen.
  • Auftragsverarbeitung gemäß Art. 28 DSGVO: Wenn ein Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet (z. B. eine Plattform zur bAV-Verwaltung), muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.
  • Mitarbeitende müssen die Wahl haben: Die Nutzung digitaler Verwaltungsportale oder Gesundheitsservices der Versicherung darf nicht verpflichtend sein.

Ein Verstoß gegen diese Vorgaben kann zu hohen Bußgeldern führen und das Vertrauen der Mitarbeitenden nachhaltig beschädigen.

5. Spezielle Anforderungen für kleine und mittlere Unternehmen (KMU)

Auch KMU, die eine bKV oder bAV anbieten, müssen sich an die DSGVO-Vorgaben halten. Allerdings gibt es Erleichterungen:

  • Kein Datenschutzbeauftragter erforderlich, solange die Verarbeitung sensibler Daten nicht den Kern der Geschäftstätigkeit ausmacht.
  • Vereinfachte Dokumentationspflichten bei der Datenverarbeitung, sofern das Unternehmen weniger als 250 Mitarbeitende hat.
  • Pragmatische Umsetzung durch standardisierte Datenschutzerklärungen und Checklisten.

Trotz dieser Erleichterungen ist es für KMU wichtig, Datenschutzmaßnahmen konsequent umzusetzen, um Haftungsrisiken zu vermeiden.

6. Haftungsrisiken und Strafen bei Datenschutzverstößen

Verstöße gegen die DSGVO können gravierende Folgen haben. Besonders problematisch sind:

  • Fehlende oder unklare Einwilligungen für die Verarbeitung von Gesundheitsdaten
  • Unbefugte Weitergabe von bKV- oder bAV-Daten an Dritte
  • Mangelhafte Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten

Die Strafen für DSGVO-Verstöße können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Zusätzlich drohen Reputationsschäden und Vertrauensverluste innerhalb der Belegschaft.

Datenschutz bei bKV und bAV richtig umsetzen

Die betriebliche Krankenversicherung und Altersvorsorge sind wertvolle Benefits – aber ihre Einführung und Verwaltung erfordert eine sorgfältige Einhaltung der Datenschutzvorgaben. Unternehmen sollten Datenschutzmaßnahmen systematisch umsetzen, klare Regelungen für die Datenweitergabe treffen und Mitarbeitende transparent über ihre Rechte informieren.

Personalis unterstützt Sie dabei, Datenschutz und betriebliche Benefits rechtskonform und effizient in Ihrem Unternehmen umzusetzen. Kontaktieren Sie uns noch heute für eine individuelle Beratung!

Titelbild: stock.adobe/Jacob Lund

Über uns

personalis ist ein Beratungsinstitut für betriebliche Vorsorgekonzepte mit Sitz in Gräfelfing und München und mit einem bundesweit tätigen Netzwerk von Expertinnen und Experten.

Gerne stehen wir Ihnen digital oder vor Ort für eine kostenfreie Erstberatung zur Verfügung.

personalis
Institut für betriebliche Vorsorge GmbH
Büro: Planegger Straße 9a
81241 München

Telefon: 089 / 922 864 17
E-Mail: info@personalis-institut.de

Kategorien
Schlagworte
Picture of Victor Massari

Victor Massari

Bahnhofstraße 103, 82166 Gräfelfing

  • Hallo und willkommen bei personalis. Wir sind das bundesweit größte Netzwerk von Profis rund um die betriebliche Vorsorge. Hast Du eine spontane Frage an uns?
Einen kleinen Moment ... ...
Chat Icon