Datenschutz bei Auslandsentsendungen: Die Probleme
Auch im Rahmen der Auslandsentsendung von Mitarbeitern sehen sich Personalverantwortliche mit Graubereichen in punkto Datenschutz konfrontiert. Besonders heikel sind Informationen, welche die Gesundheit der entsandten Mitarbeiter (so genannte Expatriates) betreffen. Während Personaler für gewöhnlich niemals Einblick in die Gesundheitsakte ihrer in Deutschland verbleibenden Mitarbeiter erhalten könnten, wissen sie bei Expats – unfreiwillig – unter Umständen ganz genau, unter welchen Krankheiten und Beschwerden diese leiden. Warum ist das ausgerechnet bei Auslandsentsendungen so?
Die Antwort findet sich im Gesetzestext und im Rahmen einer Regelung, die eigentlich die Fürsorge von Expats im Blick hat: Laut Paragraf 17 des fünften Sozialgesetzbuches (SGB V) erhält der gesetzlich oder freiwillig in der GKV versicherte Arbeitnehmer – sowie dessen mitversicherte Angehörige – die Kosten, die während des Auslandsaufenthalts entstanden sind, durch den Arbeitgeber ersetzt. Letzterer wiederum bekommt das verauslagte Geld von der Krankenkasse des Arbeitnehmers erstattet.
Nachstehend der Wortlaut des Gesetzes:
SGB V § 17 Leistungen bei Beschäftigung im Ausland
(1) Mitglieder, die im Ausland beschäftigt sind und während dieser Beschäftigung erkranken, erhalten die ihnen nach diesem Kapitel und nach den Vorschriften des Zweiten Abschnitts des Zweiten Buches der Reichsversicherungsordnung zustehenden Leistungen von ihrem Arbeitgeber. Satz 1 gilt entsprechend für die nach § 10 versicherten Familienangehörigen, soweit sie das Mitglied für die Zeit dieser Beschäftigung begleiten oder besuchen.
(2) Die Krankenkasse hat dem Arbeitgeber die ihm nach Absatz 1 entstandenen Kosten bis zu der Höhe zu erstatten, in der sie ihr im Inland entstanden wären.
Arbeitgeber muss Arztrechnungen des entsandten Mitarbeiters prüfen
Das Problem für den Expat in der Praxis: Um Gesundheitskosten erstattet zu bekommen, muss er die vom medizinischen Dienstleister überlassene Rechnung dem Arbeitgeber vorlegen, der somit genau Bescheid weiß, welche gesundheitlichen Probleme den Mitarbeiter plagen. Alternativ könnte der Arbeitgeber den medizinischen Dienstleister direkt bezahlen, soweit er sich logistisch dazu in der Lage sieht. Dabei muss der Arbeitgeber die vom Expatriate eingereichten Rechnungen auf inhaltliche (gemäß SGB zustehende Leistungen), formale (Aussagkraft der Rechnung) und sachliche (Zeitpunkt, Ort, Rechtsstatus) Richtigkeit prüfen.
Die ihm zustehenden Geldbeträge müssen Personaler dem Expat zurückzahlen. Erstattete Leistungen werden anschließend vom Arbeitgeber bei der GKV des Arbeitnehmers eingereicht. Sofern es sich tatsächlich um dem Arbeitnehmer zustehende Leistungen handelt, muss die GKV dem Arbeitgeber jenen Betrag ersetzen, der im Inland angefallen wäre.
Expats beim Datenschutz schlechter gestellt als ihre Kollegen im Inland
Der Gesetzgeber hat also eine Vorgehensweise vorgeschrieben, die den Datenschutz der im Ausland tätigen Mitarbeiter deutlich schlechter stellt, als den der inländischen Kollegen. Das Verfahren schreibt unausweichlich vor, dass der Arbeitgeber über den medizinischen Zustand und Behandlungsbedarf des im Ausland tätigen Mitarbeiters und seiner mitreisenden Angehörigen im Detail informiert ist. Dies ist bei inländischen Beschäftigten unvorstellbar.
Eine Anfrage der BDAE Gruppe beim für diese Fragen zuständigen Hamburgischen Datenschutz-Beauftragten bestätigte, dass dieses Vorgehen dem Datenschutz nicht gerade in den Vordergrund stellt. Der Datenschutzbeauftragte hebt dennoch hervor, dass sich Arbeitgeber juristisch korrekt verhalten.
Konkret heißt es in der Stellungnahme: „Personenbezogene Daten dürfen nur erhoben und verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Paragraf 17 SGB V regelt eindeutig, wie der Erstattungsweg von Leistungen bei Beschäftigten im Ausland ist. Auch wenn dieses Verfahren nicht gerade datenschutzfreundlich ist, diese Verfahrensweise ist nun einmal gesetzlich vorgeschrieben.“
Er empfiehlt entsandten Mitarbeitern, sich privat kranken zu versichern, um einem Datenschutzkonflikt aus dem Weg zu gehen: „Der Arbeitnehmer könnte sich für solche Fälle möglicherweise privat versichern, damit der Arbeitgeber keine Kenntnis von seinen Erkrankungen im Ausland erhält.“
Dieser Empfehlung schließt sich die BDAE Gruppean. Auslandsversicherer unterliegen strengen Auflagen in punkto Datenschutz und müssen Informationen zum Gesundheitszustand der bei Ihnen versicherten Expatriates absolut vertraulich behandeln.
Tracking Tools für Expatriates in Krisenregionen
Ein weiteres datenschutzrechtliches Problem stellt sich insbesondere bei Auslandsentsendungen in Krisenregionen. So bieten immer mehr auf Travel Management spezialisierte Dienstleister so genannte Traveller Tracking Tools an. Per Knopfdruck lässt sich mit dieser Software der Aufenthaltsort von Mitarbeitern ermitteln, um im Notfall sofort Hilfe zu organisieren. Geht dem Expatriate beispielsweise ein lebensnotwendiges Medikament aus, könnte sein Unternehmen dafür sorgen, dass der Dienstleister die Arznei binnen weniger Stunden zum Mitarbeiter vor Ort bringt. Die Frage, wo der Mitarbeiter sich aktuell aufhält, ist sozusagen Teil des Krisenmanagements von Unternehmen.
Die Grundlage solcher Tracking-Systeme bilden die Reise- und Buchungsdaten der jeweiligen entsandten Mitarbeiter. So werden bei der Flugbuchung die so genannten PNR-Daten (Passenger Name Record) über Schnittstellen aus den diversen Buchungssystemen in die Tracking-Software eingespielt. Kommt es zu einer Krisensituation (zum Beispiel Terroranschläge, politische Unruhen oder Naturkatastrophen), prüft der Dienstleister binnen weniger Minuten, wo sich der Mitarbeiter im entsprechenden Moment aufhält und kann ihn evakuieren.
Abstimmung im Krisenfall
Zudem können Mitarbeiter dann etwa über SMS oder E-Mail (Kontaktdaten sind selbstverständlich im System hinterlegt) verständigt werden, so dass das weitere Vorgehen im Krisenfall in Abstimmung mit dem Betroffenen geplant werden kann. Auch Reisewarnungen werden automatisch oder manuell mittels dieser Tools dem Reisenden schnell zur Verfügung gestellt. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hat dieses Vorgehen auf den „Business Travel Days“ der ITB 2014 scharf kritisiert und mit Überwachungsinstrumenten verglichen. Denn völlig unabhängig davon, ob ein Notfall passiert oder nicht, der Arbeitgeber weiß stets, wo sich sein entsandter, „gläserner“ Mitarbeiter aufhält.
Es ist fraglich, ob sich eine spezialisierte Fachkraft wie beispielsweise ein Bauingenieur in Ägypten darauf einlässt, jahrelang von seiner Firma beziehungsweise von einem dafür beauftragten Dienstleister getrackt zu werden. Schlussendlich ist es ein Leichtes, auf Basis dieser Daten ein umfangreiches Persönlichkeitsprofil zu erstellen, von dem der Mitarbeiter nicht möchte, dass es in falsche Hände gelangt.