Zum Inhalt springen Zur Navigation springen
Datenschutzkonforme Krankmeldung auf dem Weg zur eAU

Datenschutzkonforme Krankmeldung auf dem Weg zur eAU

Zum 01.01.2023 ist für gesetzlich versicherte Beschäftigte die Pflicht entfallen dem Arbeitgeber eine ärztliche Bescheinigung über die festgestellte Arbeitsunfähigkeit („Gelber Schein“) zukommen zu lassen. Informieren müssen Beschäftigte ihren Arbeitgeber über ihre krankheitsbedingte Abwesenheit jedoch weiterhin. Viele Unternehmen fragen sich nun, wie sie dies (digital) datenschutzkonform ausgestalten können.

Fällt eine Krankmeldung beim Arbeitgeber unter Art. 9 DSGVO?

Gesundheitsdaten gehören bekanntermaßen zu den besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person (Personenbezug), einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Gesundheitsbezug).

Der Begriff der Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO umfasst somit jegliche Angaben, die unmittelbar die physischen oder psychischen Zustände und Charakterisierungen eines Menschen betreffen. Soweit auch aus anderen Daten mittelbar Rückschlüsse auf den Gesundheitszustand eines Betroffenen gezogen oder vermutet werden können, sind bereits diese Daten vom Begriff der Gesundheitsdaten umfasst. Wie Sie sehen, wird der Begriff der Gesundheitsdaten also sehr weit ausgelegt. Dabei muss man sich stets daran erinnern, dass es sich hierbei um besonders sensible Daten mit einer hohen Schutzbedürftigkeit handelt.

Aufgrund des weiten Begriffs zählt daher neben der Arbeitsunfähigkeitsbescheinigung auf Basis einer ärztlichen Untersuchung auch die einfache Krankmeldung des Arbeitnehmers gegenüber dem Arbeitgeber zu den Gesundheitsdaten i. S. d. DSGVO. Denn letztlich lassen beide Arten der Krankmeldung Rückschlüsse auf die Gesundheit des Arbeitnehmers zu.

Dies können Sie selbst schnell durch eine Kontrollfrage feststellen. Auch wenn Sie lediglich Kenntnis davon haben, dass ein(e) Kollege/in für einen längeren Zeitraum krankgeschrieben ist und dieser sich immer wieder verlängert.

  • Wie ist wohl der grundsätzliche gesundheitliche Zustand der betroffenen Person?
  • Und konnten Sie eine Annahme treffen?
  • Oder war es Ihnen nicht möglich, eine Vermutung anzustellen?

Die Rechtsgrundlage für eine Verarbeitung von Gesundheitsdaten der Beschäftigten durch den Arbeitgeber ist daher Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 S. 1 BDSG. Denn der Arbeitgeber benötigt diese Daten unter anderem zur Lohnabrechnung oder zur Prüfung der Erforderlichkeit des Angebots eines BEM-Verfahrens.

Was ist beim Implementieren einer technischen Krankmeldungs-Lösung zu beachten?

Wenn auch Ihr Unternehmen nun, da die AU elektronisch abgerufen werden kann, überlegt, auch für die Krankmeldung der Beschäftigten eine technische Lösung einzuführen, so sind dabei natürlich datenschutzrechtliche Aspekte in die Planung mit einzubeziehen. Dazu gehören insbesondere folgende Aspekte:

Sicherstellung eines hohen Schutzniveaus

Da es sich bei den im Rahmen einer Krankmeldung übermittelten Daten um besonders schützenswerte Kategorien personenbezogener Daten i. S. d. Art. 9 I DSGVO handelt (s. o.), müssen die technischen Strukturen für die Mitteilung und Übertragung der Krankmeldung auch den damit gesteigerten Anforderungen des Art. 32 DSGVO genügen und ein an die sensiblen Gesundheitsdaten angepasstes hohes Schutzniveau gewährleisten.

Dabei kommt es insbesondere auf eine dem Stand der Technik entsprechende Transport- und Inhaltsverschlüsselung der Daten „at transit“, „at rest“ und „in use“ an. Zudem ist sicherzustellen, dass andere Dienste (wie z. B. Apps oder andere Websites) keinen Zugang zu diesen Inhalten erlangen. Ein Zugriff Dritter muss ausgeschlossen werden.

Hinsichtlich der Gewährleistung des passenden Schutzniveaus ist auch darauf zu achten in welchem Land die Daten verarbeitet werden sollen (wo z. B. Dienstleister / Subdienstleister ihren Sitz haben und wo die eingesetzten Server stehen). Grundsätzlich ist zur Vermeidung eines zu geringen Schutzniveaus bei der Verarbeitung von Gesundheitsdaten von einer Verarbeitung im / aus dem Drittland abzusehen. Wenn dies trotzdem nicht ausgeschlossen werden kann, wird der Prüfungsaufwand zur Sicherstellung des angemessenen Datenschutzniveaus in jedem Falle erheblich steigen.

Grundsätze des Datenschutzes

Die Grundsätze des Datenschutzes i. S. d. Art. 5 DSGVO sind weiterhin zu wahren. Besonders hervorzuheben sind dabei der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) und der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO).

Zum Beispiel sind zur Gewährleistung der Transparenz die bisher im Unternehmen genutzten Beschäftigteninformationen hinsichtlich der Datenverarbeitung im Rahmen der Krankmeldung zu überprüfen und gegebenenfalls zu aktualisieren / anzupassen. Neben der Förderung der Transparenz können die Beschäftigten so auch auf die neue Form der Krankmeldung hingewiesen werden.

Im Rahmen der Sicherstellung der Integrität und Vertraulichkeit ist die Verarbeitung der im Rahmen der Krankmeldung erhobenen Daten in einer solchen Art und Weise zu organisieren, dass möglichst wenige Personen mit diesen in Berührung kommen und der Zugang nur insoweit gestattet wird, wie er zur Aufgabenerfüllung erforderlich ist (Need-to-know-Grundsatz).

Betroffenenrechte, Dokumentationspflichten und Vieles mehr

  • Grundsätzlich müssen natürlich auch bei einer Krankmeldung (auf einem elektronischen Wege) alle Betroffenenrechte nach Art. 12 bis 23 DSGVO gewährleistet sein. Dies gilt insbesondere für das Recht auf Berichtigung nach Art. 16 DSGVO und Löschung nach Art. 17 DSGVO. Der Arbeitgeber hat sicherzustellen, dass die übermittelten Daten richtig und auf dem neuesten Stand weiterverarbeitet werden und nach Wegfall der Erforderlichkeit angemessen gelöscht werden.
  • Bei Einsatz eines Dienstleisters (z. B. durch Verwendung neuer oder Erweiterung bestehender Software) ist an den Abschluss eines neuen / die Ergänzung des bisherigen Auftragsverarbeitungsvertrags zu denken.
  • Unternehmen sollten die aktuellen Neuerungen zudem zum Anlass nehmen, die bisherigen Prozesse rund um die Krankmeldung und Arbeitsunfähigkeit nicht nur anzupassen, sondern auch zu prüfen und neu zu bewerten. Die Prozessänderungen sind auch im Verarbeitungsverzeichnis nach Art. 30 DSGVO festzuhalten.
  • Es ist im Zuge der Schwellenwertanalyse zu prüfen, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.
  • Es sind Maßnahmen zu definieren und festzulegen, welche sicherstellen, dass die abgerufenen Krankmeldungen zeitnah die entsprechende Abteilung (meist HR) erreichen. Sollte es darüber hinaus erforderlich sein, dass die krankheitsbedingte Abwesenheit eines Mitarbeiters an seine Abteilung kommuniziert wird, ist darauf zu achten, dass eine Angabe des konkreten Abwesenheitsgrundes nicht erforderlich ist. Ist also zum Beispiel eine Eintragung der Abwesenheit in eine allgemeine Abwesenheitsliste vorgesehen, so ist es ausreichend, wenn dort zwischen anwesend und abwesend differenziert wird.

Welche Schlüsse sollten Sie nun daraus ziehen?

Die Verarbeitung von Gesundheitsdaten ist keine Banalität. Dass die eAU nun da ist, sollte zwar Anlass zur Prüfung und Anpassung der bisherigen Prozesse geben, Schnellschüsse sollten allerdings vermieden werden. Die voreilige Einführung einer technischen Lösung, um nun auch bei Krankmeldungen durch die Beschäftigten schnell einen neuen digitalen Weg zu schaffen, wird häufig zu datenschutzrechtlichen Problemen und Risiken für die sensiblen Daten der Beschäftigten führen.

Ziehen Sie daher Ihren Datenschutzbeauftragen in Ihre Überlegungen und Planungen mit ein und achten Sie auf die regelmäßige Sensibilisierung der mit diesen Datenverarbeitungen betrauten Beschäftigten (insbesondere aus HR, IT und natürlich auch die Vorgesetzten).

Webinar zum Thema

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Bewerber- und Beschäftigtendatenschutz – Prozesse und Datenverarbeitungen rechtssicher gestalten“. Dort zeige ich Ihnen, welche wesentlichen Punkte Sie darüber hinaus auch beachten müssen. Ich freue mich, Sie begrüßen zu dürfen!

Mittwoch, den 30.08.2023
von 10:00 bis 12:00 Uhr

Donnerstag, den 09.11.2023
von 10:00 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.