Datenschutz bei Krankmeldung: Was Sie als Arbeitgeber unbedingt wissen müssen

Datenschutz bei Krankmeldung: Was Sie als Arbeitgeber unbedingt wissen müssen

Aufgrund der sensiblen Daten ist ein datenschutzkonformer Umgang im Zusammenhang mit eingereichten Arbeitsunfähigkeitsbescheinigungen eine Herausforderung für Unternehmen und Datenschutzbeauftragte.

Der Datenschutz bei Krankmeldung eines Arbeitnehmers spielt für Arbeitgeber eine zunehmend wichtigere Rolle. Häufig stellt sich die Frage nach den Aufbewahrungsfristen von Personalunterlagen. Hier erfahren Sie was sie im Hinblick auf die Datenschutzverordnung (DSGVO) und was es zu beachten gilt.

Arbeitsrecht: Personenbezogene Daten und die DSGVO

Unternehmen müssen seit Inkraftsetzung der Datenschutz-Grundverordnung (DSGVO) Angaben zu den jeweils erhobenen, sowie verarbeiteten Beschäftigtendaten machen (Art 13 und Art. 14 DSGVO). Dazu gehören auch die Informationen über die Dauer der Speicherung personenbezogener Daten. Sollte das nicht möglich sein, müssen Kriterien für die Festlegung dieser Dauer aufgestellt werden ((Art. 13 Abs. 2a bzw. Art. 14 Abs. 2a DSGVO).

In Art. 17 DSGVO sind diese Voraussetzungen zur Löschung von Beschäftigtendaten seitens Unternehmen geregelt. Als Kriterium zur zulässigen Dauer der Datenspeicherung dient der Zweck einer Datenverarbeitung. Das Unternehmen muss diese Daten aber spätestens dann löschen, wenn personenbezogene Daten nicht mehr für jene Zwecke erforderlich sind, für die sie verarbeitet wurden.

Soweit durch eine Rechtsgrundlage Aufbewahrungsfristen vorgegeben sind, ist die Speicherung für die Dauer dieser Fristen datenschutzrechtlich regelmäßig zulässig.

Solange noch mit Ansprüchen des Arbeitnehmers zu rechnen ist, ist der Arbeitgeber verpflichtet die Personalunterlagen aufzubewahren. Soweit nicht kürzere Ausschlussfriste gelten, ist damit bis zum Ablauf der einschlägigen Verjährungsfrist zu rechnen. Die Frist beginnt mit der Fälligkeit des Anspruchs und Kenntnisnahme des Gläubigers. Die regelmäßige Verjährungsfrist beginnt immer erst ab dem Ende des jeweiligen Jahres, in dem der Anspruch entstanden ist, d. h. auch bei der Beendigung des Arbeitsverhältnisses mit dem Jahresende, unabhängig vom genauen Zeitpunkt der Kündigung oder dem Abschluss des Aufhebungsvertrags. Es ist die Verpflichtung des Vorgesetzten die Personalakte des jeweiligen Arbeitnehmers sorgfältig aufzubewahren.

Vor allem Informationen über den Gesundheitszustand und Äußerungen zur Persönlichkeit des AN sollten verstärkt geschützt und vertraulich behandelt werden.

Datenschutz bei Krankschreibung: der konforme Umgang

Im richtigen Umgang mit einer Krankmeldung – auch Arbeitsunfähigkeitsbescheinigung genannt – sollten einige wichtige Punkte beachtet werden.

Der Datenschutz bei Krankschreibung sieht folgende Aspekte vor:

  • Es dürfen keine Kopien von Arbeitsunfähigkeitsbescheinigungen erstellt werden
  • die Arbeitsunfähigkeit bzw. Krankheit darf nicht von der Personalabteilung an dritte Personen weitergeleitet werden, da sie der der Schweigepflicht unterliegt (siehe auch DSGVO Personalmanagement)
  • Keine Erstellung von Rundmails über den erkrankten Mitarbeiter
  • Informationen auf die faktische Notwendigkeit eingrenzen wie z.B. die Dauer seiner Abwesenheit
  • Entsorgung fachgerecht durchführen und überwachen
  • Es empfiehlt sich regelmäßige Schulungen mit der Personalabteilung bzw. der HR durchzuführen (Datenschutz HR)

Wann Sie über den Arbeitsausfall unterrichtet werden müssen

Nicht nur der Arbeitnehmer muss wissen, wie er sich sachgemäß krankmeldet, auch Sie müssen wissen was und wann sie welche Unterlagen und Informationen benötigen, damit die Krankmeldung richtig von statten geht.

Datenschutz, Krankschreibung, DSGVO, Arbeitsausfall, Krankmeldung
Die Krankmeldung muss schnellstmöglich beim Arbeitgeber eingehen © mpix-foto – Adobe Stock

Zuallererst ist die Frage zu klären, wann der Arbeitnehmer sich spätestens krank zu melden hat, wenn sein Arbeitsantritt nicht möglich ist.

In Paragraph 5 Entgeltfortzahlungsgesetz (EntgFG) heißt es: 

Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen.

Doch was bedeutet das konkret? Unverzüglich meint, so schnell wie möglich und, das sogar möglichst vor Arbeitsbeginn. Erfolgt die Krankmeldung demnach nicht so schnell wie möglich, kann der Arbeitgeber eine Abmahnung erteilen. Sollte beispielsweise der Arbeitnehmer um zwölf Uhr mittags Bescheid sagen, dass er nicht arbeitsfähig ist, obwohl der Arbeitstag um sieben Uhr beginnt, können Sie als Arbeitgeber eine Abmahnung schreiben.

Übersteigt die Anzahl der Krankheitstage mehr als drei, ist ein ärztliches Attest notwendig. Es gibt individuelle Vertragsvereinbarungen in denen festgehalten werden kann, dass ein Attest unverzüglich vorgelegt werden muss. Sie müssen allerdings nicht darüber unterrichtet werden, was die Ursache des Arbeitsausfalls ist. Die Bescheinigung muss nur über die Angabe und die Dauer der Abwesenheit informieren.

Datenschutz bei Krankschreibung: Kommunikationswege zur Mitteilung über Abwesenheit

Allgemein kann jeder Betrieb individuell darüber bestimmen wie genau die Krankmeldung zu erfolgen hat. Hierzu gibt es keine Rechtsgrundlage oder gesetzliche Vorschrift. Festgehalten werden die Regelungen hier im Arbeitsvertrag. Die erste Krankmeldung kann sogar zunächst formlos erfolgen. Von besonderer Wichtigkeit ist vor allem dem Arbeitgeber unverzüglich, also so schnell wie möglich Bescheid zu gebe.

Wenn nichts anderes vertraglich geregelt, kann dies per Telefon, SMS, Mail oder auch WhatsApp erfolgen. Das Unterrichten des Arbeitsabwesenheit kann somit verschiedenartig stattfinden, das Übersenden der AU sollte allerdings nicht leichtfertig über beliebige Wege erfolgen, weil auch der Datenschutz bei Krankmeldung gewährleistet werden muss.

Nachdem der Vorgesetzte über die Dauer des Arbeitsausfalls und der Krankheitstage erfahren hat und die genannte Zeit zur zu erwarteten Genesung verstrichen ist, ist es die Pflicht des Arbeitnehmers bei verlängertem Fernbleiben proaktiv und lückenlos eine Fortschreibung der Krankmeldung – und ein neues Attest (sogenannte ,,Folgebescheinigung“) einzureichen.

Arbeitsunfähigkeitsbescheinigung via E-Mail und WhatsApp

Gerade im Laufe der Digitalisierung kommt es des Öfteren vor, dass digitale Dienste für die Übermittlung sensibler Daten genutzt werden. Das hat den Vorteil, dass Arbeitsabläufe einfacher und flexibler gestaltet werden können, zieht allerdings massives Streitpotential im Arbeitsverhältnis mit sich. Denn es wird befürchtet, dass dem Datenschutz bei Krankmeldung nicht Folge geleistet wird.

Beispielsweise hat die Landesbeauftragte für Datenschutz NRW (LDI NRW) entschieden, dass die Nutzung von WhatsApp durch den Arbeitgeber zur Übersendung sensibler Arbeitnehmerdaten – insbesondere Gesundheitsdaten – datenschutzrechtlich unzulässig ist und daher nicht mit dem Datenschutz bei Krankmeldung vereinbar ist.

Es wird somit abgeraten WhatsApp im Beschäftigtenverhältnis hinsichtlich der Übersendung sensibler Daten zu nutzen. Dahinter steht vor allem die Gefahr, dass unbefugte Dritte Zugriff auf diese Daten erhalten – der Datenschutz bei Krankmeldung wäre demnach nicht gegeben. Nicht vergessen werden darf, dass WhatsApp immerhin zu Facebook gehört und somit auch die Verkehrsdaten von Facebook abgerufen werden können.

Insbesondere bei besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO ist zu sicherzustellen, dass ausschließlich sichere Kommunikationswege, die Zugriffe Dritter ausschließen, verwendet werden. Da der Arbeitgeber allerdings keine Einflussnahme auf die Datenverarbeitungsvorgänge bei genannten Plattformen hat, verstoßen Arbeitgeber gegen die Grundsätze der Datensicherheit nach Art. 32 und Art. 5 Abs1, lit. F) DSGVO.

Wenn Sie also auf Nummer sicher gehen möchten, sollten Sie WhatsApp als arbeitsbezogene Anwendung zur Übermittlung sensibler Beschäftigtendaten völlig ausschließen.
Datenschutz, Krankschreibung, DSGVO, Arbeitsausfall, Krankmeldung
Von der Übermittlung sensibler Daten über Whats App sollte abgesehen werden © zinkevych – Adobe Stock

Einreichung der Arbeitsunfähigkeitsbescheinigung: verspätet oder gar nicht

Wie sieht es aus, wenn die eindeutig festgelegten Fristen zur Abgabe der AU verpasst wurden? Zunächst einmal hat der Vorgesetzte das Recht, die Fortzahlung des Lohnes einzustellen, wenn die AU nicht fristgerecht bei ihm eingeht. Die Rechtsgrundlage dazu bietet ihm § 7 EntgFG. Legt der erkrankte Mitarbeiter später jedoch ein Attest vor, das seine Arbeitsunfähigkeit beweist, muss der Arbeitgeber rückwirkend den Lohn für den gesamten als Krankheit bescheinigten Zeitraum nachzahlen.

Nichtsdestotrotz kann die eine verspätete AU unter Umständen eine Abmahnung nach sich ziehen. Hier liegt die nicht erfüllte Nachweispflicht zugrunde. Hier verhält es sich ähnlich wie bei der zuvor erwähnten verspäteten Bekanntgabe der Krankschreibung, erfolgt diesen nicht unverzüglich, verstößt der Arbeitnehmer gegen die Anzeigepflicht. Der Arbeitgeber muss nur genau benennen können, ob ein Verstoß gegen Anzeige- oder Nachweispflicht vorliegt.

Kontrolle der Arbeitsunfähigkeit meines Angestellten zulässig?

Tatsächlich darf der Arbeitgeber bei Anzweiflung seinen Arbeitnehmer besuchen. Er darf sogar einen Detektiv beauftragen. Das Bundesarbeitsgericht (BAG) hat allerdings diese Form von Mitarbeiterüberwachung stark eingegrenzt. Nur bei einem konkreten Verdacht schwerer Pflichtverletzung, die auf Tatsachen basieren, darf der Arbeitgeber zur Kontrolle Detektive einsetzen.

Bei Bestätigung seines Verdachts die Kosten auf den Arbeitnehmer umwälzen, wenn durch keine andere Möglichkeit ein Verstoß nachgewiesen werden konnte. Dabei muss das Verhältnis von Lohn und Detektivkosten in einem angemessenen Rahmen entsprechen (AZ: 8 AZR 5/97).

Der Arbeitgeber darf dem Arbeitnehmer allerdings nicht vorschreiben, wo er sich während seiner Krankschreibung aufzuhalten hat. Spaziergänge sind definitiv erlaubt.

Wie lange müssen Arbeitsunfähigkeitsbescheinigungen seitens Arbeitgeber aufbewahrt werden?

Entgegen der Annahme, dass nach Einreichung der Krankmeldung beim Arbeitgeber diese nicht weiter bedeutsam ist, sieht es im realen Leben anders aus. Aus rechtlicher Sicht ist eine Ermittlung der Zweckbestimmung notwendig, welche die Aufbewahrungslänge bestimmt. Dies ist auch im Hinblick auf die Lohnfortzahlung von Bedeutung.

Die Aufbewahrungsfrist “gelber Scheine“ ist im Allgemeinen nicht vorgegeben. Bezogen auf die Regellöschfrist wird allerdings dazu geraten, so lange im Besitz der Krankmeldung zu bleiben, wie ein Ersatzanspruch auf Lohnfortzahlung gegenüber den Krankenkassen bestehen könnte. Daraus leitet sich ein Zeitraum von etwa fünf Jahren ab.

Digitale Lösungen der Arbeitsunfähigkeitsbescheinigung im Krankheitsfall

Noch dieses Jahr möchte das Kabinett eine digitale Rechtsgrundlage zu den Arbeitsunfähigkeitsbescheinigungen bei gesetzlich versicherten Arbeitnehmern anstreben, sodass auch im digitalen Raum der Datenschutz bei Krankmeldung gewährleistet ist. Die Ausstellung einer Arbeitsunfähigkeitsbescheinigung in Papierform wird es in der Form folglich nicht mehr geben und wird durch ein EDV-Verfahren, ersetzt. Das elektronische Meldeverfahren würde dann parallel zum BEG III (dritten Bürokratieentlastungsgesetz) eingeführt werden.

FAQ – Häufig gestellte Fragen zum Datenschutz bei Krankschreibung

Wann muss sich der Mitarbeiter beim Arbeitgeber krankmelden?

In Paragraph 5 Entgeltfortzahlungsgesetz (EntgFG) heißt es: “Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen.”  Unverzüglich meint, so schnell wie möglich und dass sogar möglichst vor Arbeitsbeginn, ansonsten können Sie mit einer Abmahnung drohen.

Was sollte der Arbeitgeber beachten, um die Krankschreibung bei Mitarbeitern datenschutzkonform zu erfassen?

Die wichtigsten Punkte, die zu beachten sind: Es dürfen keine Kopien der Arbeitsunfähigkeitsbescheinigung erstellt werden. Sowohl Sie als auch die Mitarbeiter der HR- Abteilung dürfen die Arbeitsunfähigkeit nicht an dritte weitergeben. Geteilte Informationen sollten sich auf die faktische Notwendigkeit begrenzen. Entsorgung sollte sachgerecht stattfinden und es empfiehlt sich die AU Bescheinigung 5 Jahre aufzubewahren, danach müssen sie aufgrund der nicht mehr notwendigen datenbezogenen Weiterverarbeitung vernichtet werden. en keine Kopien von AU-Bescheinigungen erstellt werden

Kann der Arbeitgeber kündigen, wenn der Arbeitnehmer nicht zur Arbeit erscheint?

Eine Kündigung oder Abmahnung kann nur dann erfolgen, wenn der Arbeitnehmer seiner Anzeige- oder Nachweispflicht nicht unverzüglich nachgegangen ist. Der Arbeitgeber muss nur genau benennen können, ob ein Verstoß gegen Anzeige- oder Nachweispflicht vorliegt.

Autor: Redaktion Personalwissen