Eine der größten Herausforderungen, mit denen sich Personalverantwortliche heute konfrontiert sehen, ist der Spagat zwischen vertraulichen Mitarbeiterdaten und den ständig wachsenden Anforderungen, die das Office of Federal Contract Compliance Programs (OFCCP) zu erfüllen hat. Mit der Einführung der zusätzlichen Verpflichtung von Unternehmen, Informationen über Behinderungen von Bewerbern einzuholen, mit den zusätzlichen Daten, die im überarbeiteten Scheduling Letter gefordert werden, und mit der Entschlossenheit des OFCCP, detaillierte Gehaltsinformationen einzuholen, wurde dieser Kampf noch schwieriger. Da Personalverantwortliche zu Systemen übergehen, bei denen sie in unangenehmer Häufigkeit sehr persönliche Informationen von potenziellen und aktuellen Mitarbeitern anfordern, ist es wichtig zu verstehen, welche Verpflichtungen nicht nur bei der Anforderung dieser Informationen, sondern auch bei deren Schutz bestehen. Es ist wichtig, mit den Regeln vertraut zu sein, damit Sie als Personalverantwortlicher die Feinheiten der Einhaltung der Vorschriften verstehen und wissen, wann diese mit der Vertraulichkeit von Daten in Konflikt geraten.
Als Praktiker in einem Bereich, in dem vertrauliche Daten häufig den Besitzer wechseln, ist es wichtig zu wissen, welche Verpflichtungen zum Schutz der Daten Ihres Unternehmens bestehen und wo die Verantwortung endet. Wenn sich die Daten im eigenen Büro befinden, ist die Grenze klarer, aber wenn man die Daten freigeben muss oder Unterstützung bei der Vorbereitung von Materialien erhält, werden die Gewässer viel undurchsichtiger. Bei der Freigabe von Daten an die OFCCP kann man nur wenig tun. Aufgrund menschlichen Versagens ist es innerhalb der Bundesregierung zu Verstößen gegen die Protokolle gekommen, und personenbezogene Daten sind in Gefahr geraten. In Anbetracht der Datenmenge, auf die die Regierung Zugriff hat, kommen solche Verstöße jedoch nicht häufig vor. Das liegt daran, dass die Regierung über Protokolle, Verschlüsselungsmethoden und regelmäßige Schulungen für ihr Personal verfügt. Dies ist wichtig und muss in jedem Unternehmen, das Zugang zu sensiblen Daten Ihres Unternehmens haben könnte, vorhanden sein.
Für diejenigen unter Ihnen, die ein Unbehagen mit der von der OFCCP geforderten Einholung und Weitergabe von Informationen zur Selbstidentifizierung, insbesondere von medizinischen Informationen, ob es sich um Informationen über Behinderungen, Unterbringungsbedarf oder den Status eines behinderten Veteranen handelt, insbesondere von Bewerbern, ist dies gerechtfertigt. Im Americans with Disabilities Act (ADA) von 1990 heißt es, dass die Einholung dieser Informationen generell nicht zulässig ist. Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) besagt allgemein, dass medizinische Informationen nicht weitergegeben werden dürfen. Dies sind beides Verallgemeinerungen von langwierigen und komplexen Gesetzen, aber zusammen haben sie die Personalverantwortlichen gelehrt, sich nicht nach medizinischen und anderen vertraulichen Informationen zu erkundigen, und wenn man es doch tut, solche vertraulichen Informationen äußerst sorgfältig zu behandeln. Umgekehrt verlangen die OFCCP-Vorschriften, dass Personalverantwortliche potenzielle Mitarbeiter mehrmals nach ihrem Behindertenstatus fragen, bevor sie entscheiden, ob sie ihnen eine Stelle anbieten, und diese Informationen dann in einen Jahresbericht (AAP) aufnehmen und an die Regierung weitergeben. Dies scheint im Widerspruch zu allem zu stehen, was man Ihnen über die Einholung von medizinischen Informationen und die Vertraulichkeit beigebracht hat.
...eine Ausnahme von der Frage nach dem Gesundheitszustand ist nur aus Gründen der Gleichbehandlung und der Chancengleichheit bei der Beschäftigung zulässig. 
Es ist äußerst wichtig zu verstehen, dass die von der OFCCP geforderte Verordnung eine Ausnahme von der Art und Weise darstellt, wie medizinische Informationen in unserem Beschäftigungssystem üblicherweise behandelt werden, und es handelt sich um eine sehr enge Ausnahme. Damit die OFCCP feststellen kann, ob Menschen mit Behinderungen und behinderte Veteranen als Bewerber und am Arbeitsplatz fair behandelt werden, benötigt sie Daten, auf die sie ihre Analysen stützen kann. Daher wurde die OFCCP-Anforderung, Informationen zur Selbstidentifizierung einzuholen, auf die Bewerbungsphase ausgeweitet, und die Ausnahme, nach dem Gesundheitszustand zu fragen, ist nur für positive Maßnahmen und für Zwecke der Gleichbehandlung bei der Beschäftigung zulässig. Es gibt wirklich keine andere Möglichkeit, um festzustellen, ob es zu ungleichen Auswirkungen (d. h. unbeabsichtigter Diskriminierung) gegenüber Menschen mit Behinderungen und behinderten Veteranen kommt, ohne die Selbstauskunft zu erheben. Es handelt sich um eine sehr enge Ausnahme, und es ist äußerst wichtig, die Anforderung genau zu befolgen. Das Gesetz selbst enthält eine Bestimmung, in der darauf hingewiesen wird, dass sich an der Pflicht der Personalverantwortlichen, die Vertraulichkeit dieser sehr persönlichen Informationen zu wahren, nichts geändert hat. Mit anderen Worten: Der Personalverantwortliche ist weiterhin verpflichtet, die Vertraulichkeit aller medizinischen Daten zu wahren.
In den Bestimmungen von § 60-741 wird die Bedeutung der Geheimhaltung von Krankenakten in mindestens drei verschiedenen Abschnitten bekräftigt.
§ 60-741.42 Aufforderung zur Selbstidentifizierung. (e) Der Auftragnehmer hat alle Informationen über die Selbstidentifizierung vertraulich zu behandeln und in einer Datei zur Datenanalyse aufzubewahren (und nicht in den medizinischen Akten der einzelnen Mitarbeiter). Siehe § 60-741.23(d). Der Auftragnehmer muss der OFCCP auf Anfrage Informationen zur Selbstidentifizierung zur Verfügung stellen. Informationen zur Selbstidentifizierung dürfen nur in Übereinstimmung mit diesem Teil verwendet werden.
Anhang B
12. Vertraulichkeit. Die Verfahren des Auftragnehmers für angemessene Vorkehrungen sollten darauf hinweisen, dass alle Anträge auf angemessene Vorkehrungen, die zugehörigen Unterlagen (wie z. B. Bestätigungsbelege für Anträge, Anfragen nach zusätzlichen Informationen und Entscheidungen über Anträge auf Vorkehrungen) sowie alle dem Auftragnehmer zur Verfügung gestellten medizinischen oder behinderungsbezogenen Informationen als vertrauliche medizinische Unterlagen behandeltwerden...
Ebenso wie die Inanspruchnahme eines Personaldienstes Ihr Unternehmen nicht von seinen Aufzeichnungspflichten entbindet, schützt die Inanspruchnahme eines Drittanbieters Ihr Unternehmen nicht automatisch vor Verletzungen des Datenschutzes, so dass es ratsam ist, alle von Ihrem Unternehmen in Anspruch genommenen Dienste, Auftragnehmer oder Aushilfen, die auf vertrauliche Daten Ihres Unternehmens zugreifen, gründlich zu überprüfen. Wie bei der Einstellung eines Mitarbeiters ist es ratsam, jede Person oder jedes Unternehmen zu befragen, um sicherzustellen, dass ihre Praktiken mit den Praktiken Ihres Unternehmens übereinstimmen. Mit ein paar einfachen Fragen lässt sich leicht feststellen, wie die Mitarbeiter in Bezug auf die Vertraulichkeitsverpflichtungen der Personalabteilung geschult sind, und Sie können sich und Ihr Unternehmen besser vor einer möglichen Haftung bei der Freigabe vertraulicher Informationen schützen.
Einige wichtige Faktoren sind z. B.: Welche Art von Schulung in Vertraulichkeit oder Personalmanagement hat das Personal erhalten? Werden die Computer vom Unternehmen zur Verfügung gestellt oder werden private Computer verwendet? Werden Mitarbeiter, Auftragnehmer oder Personen, die Zugang zu den Daten haben, auf ihren Hintergrund überprüft? Wurde jemand, der Zugang zu den Daten hat, wegen eines einschlägigen Verbrechens verurteilt? Verurteilungen wegen Betrugs oder Gewaltverbrechen können durchaus relevant sein, wenn es darum geht, an wen Sie sensible Mitarbeiterdaten weitergeben sollten. Werden Unternehmensdaten über persönliche (und von Natur aus unsichere) E-Mails übertragen? Wer genau im Unternehmen wird auf Ihre Daten zugreifen? Wenn Protokolle vorhanden sind, ist die Wahrscheinlichkeit, dass Ihre Daten missbraucht werden, sehr viel geringer, und diese sehr sensiblen und persönlichen Informationen werden nicht gefährdet.
Es ist wichtig zu wissen, dass es einen rechtlichen Unterschied zwischen "Privileg", wie dem Anwaltsgeheimnis, und "Vertraulichkeit" gibt. Das Recht auf Vertraulichkeit hat der Mandant. Ein Anwalt könnte mit ethischen Anschuldigungen konfrontiert werden und möglicherweise seine Zulassung als Anwalt verlieren, wenn er von einem Klienten zur Verfügung gestellte Daten weitergibt, unabhängig davon, ob die Daten vertraulich sind oder nicht. Das Anwaltsgeheimnis soll Mandanten dazu ermutigen, frei mit ihren Anwälten zu sprechen. Sie hat nichts mit der Art der Daten oder Informationen zu tun. Außer unter sehr begrenzten Umständen kann ein Anwalt nicht gezwungen werden, vertrauliche Informationen herauszugeben, auch nicht durch ein Gericht.
Der Begriff "vertraulich" genießt nicht denselben rechtlichen Schutz. Es kann eine Verpflichtung zur vertraulichen Behandlung von Unterlagen bestehen, die sich aus der Art der Position ergibt, wie z. B. private Mitarbeiterunterlagen, die für einen Personalverantwortlichen zugänglich sind. Dies kann auch durch interne Unternehmensrichtlinien geschützt sein. In anderen Situationen hat das Wort "vertraulich" keine rechtliche Bedeutung und ist lediglich eine nicht einklagbare Aussage. Nehmen wir das Beispiel eines Personalverantwortlichen, der sich bei der Festlegung von Gehaltserhöhungen auf eine externe Quelle stützt, ohne diese ordnungsgemäß zu überprüfen. Die Person erklärt, dass sie ein Experte ist und die Daten vertraulich behandeln wird oder einen vertraulichen Bericht erstellen wird, wie sie es "für jeden Kunden" tut. Diese Vertraulichkeitsversprechen sind wahrscheinlich rechtlich nicht durchsetzbar, und die Fachkraft hat möglicherweise sensible Informationen unter Verletzung von Datenschutzgesetzen und Vertraulichkeitsanforderungen weitergegeben. Die Chancen stehen gut, dass nichts passiert, aber es hat Fälle gegeben, in denen solche Veröffentlichungen zu Identitätsdiebstahl und anderen Problemen für die Mitarbeiter geführt haben.
Es ist die Pflicht des Inhabers, d. h. des Personalverantwortlichen, das Vertrauen zu wahren. Daten, die vertraulich, d. h. nicht privilegiert sind, können zur Herausgabe gezwungen werden, z. B. bei einem OFCCP-Audit, einfach durch eine Datenanfrage oder vor Ort. Die Verpflichtung, Daten vertraulich zu behandeln, geht nicht mit den Informationen einher, wenn sie nicht durch ein Privileg geschützt sind. Es ist die Pflicht des Inhabers, d. h. des Personalverantwortlichen, das Vertrauen zu wahren. Wenn die Informationen an Dritte weitergegeben werden, hat der Beamte die Kontrolle über die Aufzeichnungen verloren, es sei denn, es besteht auch eine Verpflichtung gegenüber dem Inhaber der Aufzeichnungen, wie z. B. einem OFCCP Compliance Officer. In der Änderung der Executive Order 11246 zur Lohntransparenz könnte beispielsweise ein Personalverantwortlicher gegen die Vorschriften und die Unternehmensrichtlinien verstoßen, wenn er absichtlich, versehentlich oder unwissentlich Gehaltsinformationen weitergibt, aber er kann wenig tun, um die Person oder den Dritten, an den die Informationen weitergegeben wurden, daran zu hindern, diese offen mit jedem zu besprechen, einschließlich anderer Mitarbeiter, Konkurrenten, Familienangehöriger oder jedem, der ihm beliebt. Es müssen zusätzliche Maßnahmen ergriffen werden, um sicherzustellen, dass vertrauliche Aufzeichnungen auch dann vertraulich bleiben, wenn sie außerhalb Ihres Unternehmens veröffentlicht werden.
In einer perfekten Welt hätten wir Zeit, uns um die Einhaltung von Vorschriften zu kümmern, sicherzustellen, dass die Vertraulichkeitsverpflichtungen eingehalten werden, und uns um alle anderen Aufgaben zu kümmern. Wie wir alle wissen, kommt das Prüfungsschreiben jedoch zum denkbar ungünstigsten Zeitpunkt, und in der Regel gibt es andere Dinge zu tun, und vielleicht bleibt nicht genug Zeit, um sich so vorzubereiten, wie man es sich gewünscht hätte. Es ist jedoch relativ leicht zu vermeiden, bei einer Beschwerde dieser Art in die Defensive zu geraten, wenn man die Regeln im Voraus kennt. Wahrscheinlich ist Ihr Instinkt richtig, wenn es darum geht, die sensiblen Daten, die Sie sammeln müssen, zu schützen. Stellen Sie nur sicher, dass Sie sie nicht versehentlich in unangemessener Weise freigeben, um die OFCCP-Vorschriften einzuhalten. Öffnen Sie das Kästchen nur, wenn Sie sicher sind, dass die Daten angemessen geschützt sind.
Dieser Artikel dient lediglich der Information. Er stellt keine Rechtsberatung dar und sollte nicht als solche angesehen werden. Für weitere Informationen wenden Sie sich bitte an Lisa Kaiser unter [email protected]
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Circaworks.com veröffentlicht. Im April 2023 übernahm Mitratech Circa, einen führenden Anbieter von Software für integratives Recruiting und OFCCP-Compliance. Der Inhalt wurde seitdem aktualisiert, um unser erweitertes Produktangebot, die sich entwickelnden Compliance-Vorschriften für die Talentakquise und Best Practices im Personalmanagement zu berücksichtigen.
