Die Pilotphase für die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) ist abgelaufen. Arbeitgeber müssen seit 1. Januar 2023 die eAU elektronisch bei den Krankenkassen ihrer Beschäftigten abrufen. Was gilt es dabei datenschutzrechtlich zu beachten?
Gesundheitsdaten erfordern besonderen Schutz
Selbst wenn die Diagnosen nach wie vor nicht von den Krankenkassen auf der eAU übermittelt werden dürfen, handelt es sich bei dem Gesundheitsstatus um ein sensibles Datum, das unter die besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO (Datenschutz-Grundverordnung) fällt. Es sind daher besondere Maßnahmen zum Schutz dieser Daten geboten.
Die Betroffenen haben ein gesteigertes Interesse an der Vertraulichkeit ihrer sensiblen Informationen. Dies gilt umso mehr im Beschäftigungsverhältnis, da aufgrund der krankheitsbedingten Abwesenheit durch die Kollegen leicht auf den gesundheitlichen Zustand der abwesenden Person zu schließen ist. Verantwortliche Arbeitgeber sind demnach grundsätzlich angehalten, immer nur den Status „abwesend“ preiszugeben, nicht aber den Status „krankheitsbedingt abwesend“ oder „krankgemeldet“ etc.
Rechtsgrundlagen für die Verarbeitung von sensiblen Beschäftigtendaten
Die Rechtsgrundlage für die Verarbeitung sensibler Daten findet sich in Art. 9 Abs. 2 lit. b DSGVO, sowie im Beschäftigungskontext ebenfalls in § 26 Abs. 3 BDSG (Bundesdatenschutzgesetz). Der Arbeitgeber wird die Daten aus den eAU-Bescheinigungen weiterhin für Zwecke der Abführung von Sozialabgaben, für die Lohnabrechnung und ein sich möglicherweise dem Krankheitsstand anschließenden, verpflichtenden Verfahren zur beruflichen Eingliederung, verarbeiten müssen.
Verantwortlichkeit für die Datenverarbeitungen bei der eAU
An den rechtlichen Umständen ändert sich durch die Neueinführung der eAU nichts für verantwortliche Datenverarbeiter. Die Krankenkassen sind als Leistungserbringer Adressaten der Sozialgesetzgebung und haben den Arbeitgebern nach § 109 Abs. 1 Sozialgesetzbuch Viertes Buch (SGB IV) künftig eine Meldung zum Abruf zu erstellen.
Die Gesundheitseinrichtungen selbst sind ihrerseits nach § 295 Abs. 1 Nr. 1 SGB V zur Übermittlung der von ihnen festgestellten Arbeitsunfähigkeitsdaten an die Krankenkassen verpflichtet.
Aufgrund der jeweils eigenen Rechtsgrundlage für die Verarbeitungen dieser Daten treten die Akteure allesamt als eigenständige Verantwortliche auf. Aus der Sicht des jeweils einzelnen Verantwortlichen sind alle Parteien Dritte im Sinne des Art. 4 Nr. 10 DSGVO.
Folgen der eAU für die Praxis
Künftig besteht für Beschäftigte keine Vorlagepflicht der AU-Bescheinigung gegenüber dem Arbeitgeber mehr. Die Meldepflicht dagegen bleibt bestehen. Hierzu gilt nach wie vor, dass Beschäftigte grundsätzlich nach dem dritten Tag ihrer Arbeitsunfähigkeit verpflichtet sind, dem Arbeitgeber eine Arbeitsunfähigkeitsbescheinigung vorzulegen (§ 5 Abs. 1 Satz 2 EntgFG). Der Arbeitgeber darf sogar am ersten Tag ein Attest fordern.
Krankenkassen dürfen Arbeitgebern weiterhin keine konkreten Diagnosen nennen oder nähere Angaben über die Art der Erkrankung machen.
Darüber hinaus dürfen Arbeitgeber nicht pauschal eAU-Daten für Ihre Beschäftigten standardmäßig abrufen. Sie müssen für jeden Beschäftigten individuell eine Erst- oder Folgebescheinigungen anfordern. Bis auf die Umstellung des internen Prozesses ändert sich daher nichts für die Verantwortlichen.
Fazit und Tipps
Nehmen Sie die Umstellung auf die elektronische Arbeitsunfähigkeitsbescheinigung zum Anlass, ihren internen Prozess nochmals zu prüfen. Die technischen Anforderungen an die Abrufeinrichtung sollten Sie zusammen mit dem Datenschutzbeauftragten und IT-Fachleuten umsetzen. Die Informationspflichten gegenüber allen Mitarbeitern sind eventuell punktuell dahingehend anzupassen.
Der Einsatz einer neuen technischen Lösung erfordert die Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten (vgl. Art. 30 Abs. 1 DSGVO). Im Zuge dessen sollte auch das damit verbundene Risiko zumindest kursorisch geprüft werden.
Denken Sie immer an die Pflicht als Verantwortlicher, nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen. Letztere schließen auch die Sensibilisierung der an der Verarbeitung beteiligten Personalverantwortlichen, IT-Mitarbeiter und Geschäftsleitung ein. Aufgrund der sensiblen Daten ist stets ein hohes Schutzniveau zu gewährleisten. Greifen Sie dazu auf die Fachkunde ihres betrieblichen oder externen Datenschutzbeauftragten zurück.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!