WIR SUCHEN DICH! – ABER NUR MIT EINEM PSYCHOLOGISCHEN TEST (2)


Zahlreiche Unternehmen setzen bei der Suche nach neuen Mitarbeitern auf die Ergebnisse von psychologischen Testverfahren. Aus gutem Grund, denn Ergebnisse aus psychologischen Einschätzungen können bei der Wahl des Interessenten das Risiko minimieren, sich für die falsche Person zu entscheiden. In Teil I haben wir ausführlich die Frage diskutiert, ob die Durchführung von psychologischen Testverfahren datenschutzrechtlich in den Definitionsbereich des Profilings fällt. Nach eingehender Analyse sind wir auf das Ergebnis gekommen, dass die Voraussetzungen des Profilingbegriffs zutreffen.

Allerdings werfen solche Testverfahren bei näherer Betrachtung weitere Fragen auf, beispielsweise wie die hierbei entstehenden Informationen zu kategorisieren sind. Diese Frage gewinnt weiter an Brisanz, wenn klar wird, dass es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO handeln könnte. Sollten diese Informationen tatsächlich besondere Kategorien von Daten darstellen, entstehen Unternehmen während und nach der Bewerbungsphase besonders strenge Pflichten beim Umgang mit den Daten der Bewerber:innen.


BESONDERE KATEGORIEN VON DATEN?

Psychologische Testverfahren analysieren teilnehmende Personen in verschieden Aspekten ihrer Persönlichkeit und erstellen daraus Persönlichkeitsprofile. Es gibt einige verbreitete und anerkannte psychologische Testverfahren, die jeweils verschiedene Werkzeuge nutzen, um die Persönlichkeit von Teilnehmern darzustellen. In den meisten Fällen nutzen sie Fragebögen, welche von den Teilnehmer:innen beantwortet werden müssen. Anhand der Art und Weise, wie die Teilnehmer:innen diese Fragen beantworten, kann die Persönlichkeit zumindest in einigen relevanten Aspekten ermittelt und in für Dritte verständliche Profile dargestellt werden. In solchen Testverfahren werden zumeist Fragen zur Motivation, psychischen Stärke, Teamfähigkeit, Belastbarkeit und Verhalten etc. gestellt.

Es besteht Grund zur Annahme, dass psychologische Gutachten als besondere Kategorien von Daten einzustufen sind. Um das herauszufinden, muss zunächst geklärt werden, ob Daten, welche mithilfe von psychologischen Testverfahren und deren Auswertung Informationen über die Gesundheit und „Arbeitsfähigkeit“ einer Person preisgeben und somit unter das Schutzregime des Art. 9 Abs. 1 DS-GVO fallen. Es stellt sich somit die Frage, ob ein psychologisches Gutachten als Gesundheitsdatum zu werten ist. Über die ausdrücklich im Katalog des Abs. 1 genannten Daten hinaus werden auch mittelbare Hinweise auf diese Merkmale besonders geschützt. Hieraus wird ersichtlich, dass es bei der Einstufung als besondere Kategorien von Daten auf den vermittelten Informationsgehalt ankommt, nicht auf die Art- und Weise der Darstellung und Bezeichnung.

Der in Art. 9 Abs. 1 DS-GVO enthaltene Katalog von besonderen Kategorien personenbezogener Daten ist zwar abschließend, aber teils sehr weit gefasst. Die genaue Definition von Gesundheitsdaten ist in Art. 4 Nr. 15 DS-GVO geregelt. Demnach umfasst der Begriff Informationen über die körperliche und physische Gesundheit von (natürlichen) Personen. Hierzu gehören auch Daten, die durch Erbringung von Gesundheitsdienstleistungen entstehen, und Informationen, aus denen der Gesundheitszustand von Personen hervorgeht. Erwägungsgrund 35 Satz 1 DS-GVO geht noch einen Schritt weiter und schließt darüber hinaus sämtliche Daten aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen, können in den Definitionsbereich mit ein. Dabei spielt die Herkunft der Daten zur Einordnung als Gesundheitsdatum gemäß Erwägungsgrund 35 Satz 1 keine Rolle. So macht es keinen Unterschied, ob die Datei von einem Arzt, oder sonstigen im Gesundheitswesen beschäftigten Person oder Einrichtung stammt. Hierzu gehören folglich auch Gesundheitsdaten, die von einem Medizinprodukt generiert wurden. Selbst aus Fotografien können Gesundheitsdaten entstehen, etwa wenn eine fotografierte Person eine Brille trägt. Zudem können verschiedene Daten, die keine Gesundheitsdaten darstellen, wie zum Beispiel Größe, Gewicht und Alter, durch ihre Verknüpfung zu Gesundheitsdaten zusammengeführt werden. In diesem Sinne sind selbst Sportuhren und Fitnesstracker dazu geeignet, Gesundheitsdaten zu verarbeiten und wahrscheinlich sogar zu generieren.


ERGEBNIS

Nach den oben genannten Überlegungen steht fest, dass nicht nur ausgewiesene Medizinprodukte und im Gesundheitswesen agierende Personen im Stande sind Gesundheitsdaten herzustellen. In anderen Worten: Solche Informationen können nicht nur durch einen Arzt oder einer Ärztin entstehen und es bedarf auch keines medizinischen Produkts, welches von ihnen verschrieben wurde. Sie lassen ferner den Schluss zu, dass auch Informationen aus psychologischen Testverfahren als besondere Kategorien von personenbezogenen Daten einzustufen sind. Die DS-GVO definiert Gesundheitsdaten sehr weitläufig und lässt in ihrer Anwendung sehr viel Auslegungsspielraum. Der Gesetzgeber hat dadurch, wie an den vorangegangenen Beispielen deutlich gemacht wurde, den Maßstab zur Einstufung personenbezogener Daten als Gesundheitsdaten offenbar eher niedrig angesetzt hat. Frei nach dem Motto: Lieber zu viel als zu wenig. Haben Sie sich in Ihrem Betrieb dazu entschieden, Ergebnisse psychologischer Testverfahren für die Auswahl Ihrer Bewerber einzubeziehen, raten wir diese Daten zur Sicherheit nach den Regelungen des Art. 9 DS-GVO zu behandeln. In der Praxis kann dies allerdings mit großem Aufwand verbunden sein, da sie weitere, strengere Maßnahmen zum Umgang mit diesen Daten umsetzen müssen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz