Zwar müssen sich Beschäftigte auch weiterhin bei ihrem Arbeitgeber arbeitsunfähig melden. Seit dem 1. Januar 2023 sind gesetzlich krankenversicherte Arbeitnehmer jedoch nicht mehr dazu verpflichtet, ihre Arbeitsunfähigkeitsbescheinigung an den Arbeitgeber weiterzuleiten. Stattdessen übermittelt die Arztpraxis oder das Krankenhaus die Arbeitsunfähigkeitsbescheinigung direkt an die jeweilige Krankenkasse. Die Krankenkassen stellen anschließend die Arbeitsunfähigkeitsdaten dem Arbeitgeber elektronisch zum Abruf zur Verfügung. Die Arbeitgeber erhalten diese Daten also nur noch, indem sie sie elektronisch bei den Krankenkassen ihrer Beschäftigten aktiv abrufen. Daraus ergeben sich bestimmte Anforderungen im Hinblick auf den Datenschutz.
Im Rahmen der Prüfverfahren zur Feststellung der Arbeitsunfähigkeit sowie zur Festsetzung der Entgeltfortzahlung im Krankheitsfall werden sowohl personenbezogene Daten der Beschäftigten (wie zum Beispiel Kontaktdaten der Betroffenen oder nähere Informationen zu ihrer Krankenversicherung) als auch besondere Kategorien personenbezogener Daten, zum Beispiel Gesundheitsdaten, verarbeitet (vgl. Art. 4 Nummer 1 und 15, Art. 9 Abs. 1 DS-GVO / § 4 Nr.1 und 17 KDG/ § 4 Nr. 1 und 17 DSG-EKD). Aufgrund der Einführung der eAU ist es also erforderlich, sich erneut mit der Verarbeitung von Beschäftigtendaten zu befassen.
Um in diesem Zusammenhang einen datenschutzkonformen Umgang mit Daten der Beschäftigten zu gewährleisten, ist Folgendes zu beachten:
- Die gesetzlichen Krankenkassen sind befugt, den Arbeitgebern die erforderlichen Daten zu einer Arbeitsunfähigkeit ihrer Arbeitnehmer zu übermitteln (vgl. § 69 Abs. 4 SGB X). Hierfür ist die Einwilligung der betroffenen Arbeitnehmer also nicht erforderlich. Die Übermittlung von Diagnosedaten an Arbeitgeber ist allerdings nicht zulässig. Zur Abfrage dieser Daten bei den behandelnden Ärzten bedarf es weiterhin einer Einwilligung der Betroffenen.
- Arbeitgeber dürfen die eAU erst dann abrufen, wenn der Arbeitnehmer verpflichtet ist, eine Arbeitsunfähigkeitsbescheinigung vorzulegen.
- Arbeitgeber erhalten die Daten zu einer Arbeitsunfähigkeit ihrer gesetzlich krankenversicherten Beschäftigten nicht mehr von diesen persönlich, sondern von einem Dritten, in diesem Fall der Krankenversicherung des Arbeitnehmers. Die Datenschutz-Informationen für Beschäftigte sind entsprechend anzupassen.
- Durch technische und organisatorische Maßnahmen ist der Schutz der digitalen Arbeitsunfähigkeitsbescheinigung durch den Arbeitgeber sicherzustellen. Die eAU sollte verschlüsselt übertragen werden. Ihre Speicherung, Integrität und Vertraulichkeit sowie spätere Löschung sollten sichergestellt werden. Die eAU darf beim Arbeitgeber nur von befugten Personen abgerufen werden. Die abgerufene Bescheinigung ist so abzulegen, dass nur befugte Personen in sie Einsicht nehmen können.
Praxis-Hinweis
Damit Sie das neue digitale Verfahren optimal nutzen können, ist es wichtig, dass Sie Ihre internen Abläufe anpassen. Dabei sind die geltenden Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten zu beachten. Auch die Datenschutz-Informationen für Ihre Beschäftigten sind zu aktualisieren. Wenden Sie sich bei Fragen zu diesem Thema oder Unterstützungsbedarf gerne an uns.
