Mitgliederbereich

Bitte geben Sie ihren Benutzernamen oder E-Mail-Adresse ein. Sie erhalten eine E-Mail zum Zurücksetzen des Passworts.

Bitte geben Sie ihre E-Mail-Adresse ein. Sie erhalten die E-Mail zum Abschließen der Registrierung erneut. Bitte prüfen Sie auch Ihren Spam-Ordner.

Die elektronische Arbeitsunfähigkeitsbescheinigung

7. Februar 2023

 

Seit dem 01.01.2023 ist für gesetzlich versicherte Beschäftigte die Pflicht entfallen dem Arbeitgeber eine ärztliche Bescheinigung über die festgestellte Arbeitsunfähigkeit, bisher der gelbe Schein, zukommen zu lassen. Informieren müssen Beschäftigte ihren Arbeitgeber über ihre krankheitsbedingte Abwesenheit jedoch weiterhin.

Gesundheitsdaten gehören bekanntermaßen zu den besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO. Der Begriff der Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO umfasst somit jegliche Angaben, die unmittelbar die physischen oder psychischen Zustände und Charakterisierungen eines Menschen betreffen.

 

Aufgrund des weiten Begriffs zählt daher neben der Arbeitsunfähigkeitsbescheinigung auf Basis einer ärztlichen Untersuchung auch die einfache Krankmeldung des Arbeitnehmers gegenüber dem Arbeitgeber zu den Gesundheitsdaten i. S. d. DSGVO.

 

Die Rechtsgrundlage für eine Verarbeitung von Gesundheitsdaten der Beschäftigten durch den Arbeitgeber ist daher Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 S. 1 BDSG. Denn der Arbeitgeber benötigt diese Daten unter anderem zur Lohnabrechnung oder zur Prüfung der Erforderlichkeit des Angebots eines BEM-Verfahrens.

Wenn Sie eine technische Lösung in Betracht ziehen, stellen Sie bitte ein hohes Schutzniveau sicher!

Wenn auch Ihr Unternehmen nun, da die AU elektronisch abgerufen werden kann, überlegt, auch für die Krankmeldung der Beschäftigten eine technische Lösung einzuführen, so sind dabei natürlich datenschutzrechtliche Aspekte in die Planung mit einzubeziehen.

Da es sich bei den im Rahmen einer Krankmeldung übermittelten Daten um besonders schützenswerte Kategorien personenbezogener Daten i. S. d. Art. 9 I DSGVO handelt (s. o.), müssen die technischen Strukturen für die Mitteilung und Übertragung der Krankmeldung auch den damit gesteigerten Anforderungen des Art. 32 DSGVO genügen und ein an die sensiblen Gesundheitsdaten angepasstes hohes Schutzniveau gewährleisten.

 

Beachten Sie weiterhin die Grundsätze des Datenschutzes

Die Grundsätze des Datenschutzes i. S. d. Art. 5 DSGVO sind weiterhin zu wahren. Besonders hervorzuheben sind dabei der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) und der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO).

 

Zum Beispiel sind zur Gewährleistung der Transparenz die bisher im Unternehmen genutzten Beschäftigteninformationen hinsichtlich der Datenverarbeitung im Rahmen der Krankmeldung zu überprüfen und gegebenenfalls zu aktualisieren / anzupassen. Neben der Förderung der Transparenz können die Beschäftigten so auch auf die neue Form der Krankmeldung hingewiesen werden.

 

Im Rahmen der Sicherstellung der Integrität und Vertraulichkeit ist die Verarbeitung der im Rahmen der Krankmeldung erhobenen Daten in einer solchen Art und Weise zu organisieren, dass möglichst wenige Personen mit diesen in Berührung kommen und der Zugang nur insoweit gestattet wird, wie er zur Aufgabenerfüllung erforderlich ist (Need-to-know-Grundsatz).

Denken Sie an die Rechte der Betroffenen, informieren Sie rechtzeitig, definieren Sie Maßnahmen etc.

  • Grundsätzlich müssen natürlich auch bei einer Krankmeldung (auf einem elektronischen Wege) alle Betroffenenrechte nach Art. 12 bis 23 DSGVO gewährleistet sein. Dies gilt insbesondere für das Recht auf Berichtigung nach Art. 16 DSGVO und Löschung nach Art. 17 DSGVO. Der Arbeitgeber hat sicherzustellen, dass die übermittelten Daten richtig und auf dem neuesten Stand weiterverarbeitet werden und nach Wegfall der Erforderlichkeit angemessen gelöscht werden.
  • Bei Einsatz eines Dienstleisters (z. B. durch Verwendung neuer oder Erweiterung bestehender Software) ist an den Abschluss eines neuen / die Ergänzung des bisherigen Auftragsverarbeitungsvertrags zu denken.
  • Unternehmen sollten die aktuellen Neuerungen zudem zum Anlass nehmen, die bisherigen Prozesse rund um die Krankmeldung und Arbeitsunfähigkeit nicht nur anzupassen, sondern auch zu prüfen und neu zu bewerten. Die Prozessänderungen sind auch im Verarbeitungsverzeichnis nach Art. 30 DSGVO festzuhalten.
  • Es ist im Zuge der Schwellenwertanalyse zu prüfen, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.
  • Es sind Maßnahmen zu definieren und festzulegen, welche sicherstellen, dass die abgerufenen Krankmeldungen zeitnah die entsprechende Abteilung (meist HR) erreichen. Sollte es darüber hinaus erforderlich sein, dass die krankheitsbedingte Abwesenheit eines Mitarbeiters an seine Abteilung kommuniziert wird, ist darauf zu achten, dass eine Angabe des konkreten Abwesenheitsgrundes nicht erforderlich ist. Ist also zum Beispiel eine Eintragung der Abwesenheit in eine allgemeine Abwesenheitsliste vorgesehen, so ist es ausreichend, wenn dort zwischen anwesend und abwesend differenziert wird.
Die Verarbeitung von Gesundheitsdaten ist keine Banalität. Dass die eAU nun da ist, sollte zwar Anlass zur Prüfung und Anpassung der bisherigen Prozesse geben, Schnellschüsse sollten allerdings vermieden werden. Die voreilige Einführung einer technischen Lösung, um nun auch bei Krankmeldungen durch die Beschäftigten schnell einen neuen digitalen Weg zu schaffen, wird häufig zu datenschutzrechtlichen Problemen und Risiken für die sensiblen Daten der Beschäftigten führen.