Seit dem 1. Januar 2023 ist in § 5 des Entgeltfortzahlungsgesetzes (EntgFG) zur Regelung der Anzeige- und Nachweispflichten bei Eintritt von Arbeitsunfähigkeiten eine – auch für den Datenschutz – nicht unbedeutende gesetzliche Änderung in Kraft getreten. Mit Blick auf die möglichen datenschutzrechtlichen Aspekte der Gesetzesänderung hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) Hinweise zu Datenverarbeitungen im Zusammenhang mit der Vorlage von Arbeitsunfähigkeitsbescheinigungen sowie Entgeltfortzahlungen im Krankheitsfall veröffentlicht. Hierauf soll im nachfolgenden Beitrag näher eingegangen werden.
Was hat sich geändert?
Zuvorderst ist festzuhalten, dass die bisherige Regelung des § 5 Abs. 1 EntgFG in seiner Fassung bestehen bleibt:
„Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Dauert die Arbeitsunfähigkeit länger als drei Kalendertage, hat der Arbeitnehmer eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer spätestens an dem darauffolgenden Arbeitstag vorzulegen. Der Arbeitgeber ist berechtigt, die Vorlage der ärztlichen Bescheinigung früher zu verlangen. Dauert die Arbeitsunfähigkeit länger als in der Bescheinigung angegeben, ist der Arbeitnehmer verpflichtet, eine neue ärztliche Bescheinigung vorzulegen. Ist der Arbeitnehmer Mitglied einer gesetzlichen Krankenkasse, muss die ärztliche Bescheinigung einen Vermerk des behandelnden Arztes darüber enthalten, dass der Krankenkasse unverzüglich eine Bescheinigung über die Arbeitsunfähigkeit mit Angaben über den Befund und die voraussichtliche Dauer der Arbeitsunfähigkeit übersandt wird.“
Daneben ist jedoch § 5 Abs. 1a EntgFG neu eingeführt wurden:
„Absatz 1 Satz 2 bis 5 gilt nicht für Arbeitnehmer, die Versicherte einer gesetzlichen Krankenkasse sind. Diese sind verpflichtet, zu den in Absatz 1 Satz 2 bis 4 genannten Zeitpunkten das Bestehen einer Arbeitsunfähigkeit sowie deren voraussichtliche Dauer feststellen und sich eine ärztliche Bescheinigung nach Absatz 1 Satz 2 oder 4 aushändigen zu lassen. Die Sätze 1 und 2 gelten nicht
- für Personen, die eine geringfügige Beschäftigung in Privathaushalten ausüben (§ 8a des Vierten Buches Sozialgesetzbuch), und
- in Fällen der Feststellung der Arbeitsunfähigkeit durch einen Arzt, der nicht an der vertragsärztlichen Versorgung teilnimmt.“
Aus den Regelungen wird deutlich, dass Beschäftigte im Krankheitsfall weiterhin verpflichtet bleiben, dem Arbeitgeber eine bestehende Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Jedoch besteht die Verpflichtung künftig (zunächst) für Beschäftigte, welche in einer gesetzlichen Krankenkasse versichert sind, lediglich dahingehend, die Arbeitsunfähigkeit und deren Dauer feststellen und sich selbst eine ärztliche Bescheinigung aushändigen zu lassen. Insbesondere aufgrund des nunmehr erfolgenden Ablaufs wird die Umstellung von einigen Stimmen als Belastung für Unternehmen empfunden.
Im Wesentlichen erfolgt ein dreistufiges Vorgehen: (1) Meldung der Arbeitsunfähigkeit der beschäftigten Person nach Feststellung durch die Arztpraxis bzw. das Krankenhaus an die Krankenkasse. Der Arbeitnehmende erhält dabei wie gewohnt einen Durchschlag in Papierform. (2) Anschließend meldet sich die beschäftigte Person wie bisher unverzüglich bei seiner zuständigen Führungskraft unter Angabe der voraussichtlichen Dauer arbeitsunfähig. (3) Da nun die Pflicht zur Vorlage der Bescheinigung seitens der Arbeitnehmenden entfällt, darf der Arbeitgeber nun nach erfolgter Information eine Abfrage bei der zuständigen Krankenkasse einholen. Eine automatische Übermittlung erfolgt dagegen nicht.
Was bedeuten die Änderungen für den Datenschutz?
Bei der Feststellung der Arbeitsunfähigkeit der betroffenen Beschäftigten kommt es unstreitig zur Verarbeitung personenbezogener Daten. Dies trifft jedenfalls auf Namen und Vornamen, Kontaktdaten und näheren Informationen zur jeweiligen Krankenkasse zu. Darüber hinaus liegt eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO vor, z.B. die Feststellung und voraussichtliche Dauer der Arbeitsunfähigkeit, die Information ob es sich um eine Neuerkrankung oder um eine Wiederholungserkrankung, konkret um die Fortdauer einer Arbeitsunfähigkeit oder eine erneute Arbeitsunfähigkeit beruhend auf derselben Krankheit handelt und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall bzw. einer Berufskrankheit oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht. Gesundheitsdaten sind als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO zu qualifizieren.
Aus den Hinweisen geht zunächst hervor, dass bei nicht-öffentlichen Stellen die Verarbeitungen der Beschäftigtendaten im Zusammenhang mit dem gesetzlich vorgesehenen Abrufverfahren für die eAU auf Grundlage von § 26 Abs. 1 und Abs. 3 BDSG in Verbindung mit den Regelungen zum EntgFG zum Zwecke der Durchführung des Beschäftigungsverhältnisses erfolgt (am Rande sei erwähnt, dass die Hinweise weitere Ausführungen für öffentliche Stellen in Niedersachsen enthalten, auf welche im Folgenden jedoch nicht näher eingegangenen werden soll). Ein Abruf einer eAU ist zur Erfüllung arbeitsrechtlicher Pflichten seitens des Arbeitgebers erforderlich, konkret zur Erfüllung der Verpflichtung zur Entgeltfortzahlung im Krankheitsfall aus § 3 EntgFG. Hervorgehoben wird noch, dass „ein Abruf nur dann erforderlich ist, wenn der oder die Beschäftigte zu diesem Zeitpunkt bereits verpflichtet ist, eine Arbeitsunfähigkeit durch eine Ärztin oder einen Arzt feststellen zu lassen.“
Die Möglichkeit zum Abruf der eAU folgt aus § 109 Abs. 1 Viertes Buch Sozialgesetzbuch. Diese Meldung enthält den Namen des Beschäftigten, den Beginn und das Ende der Arbeitsunfähigkeit, das Datum der ärztlichen Feststellung der Arbeitsunfähigkeit, die Kennzeichnung als Erst- oder Folgemeldung und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht.
Gesetzliche Krankenkassen sind gemäß § 69 Abs. 4 Zehntes Buch Sozialgesetzbuch befugt, den Arbeitgebern die erforderlichen Daten zu übermitteln. Dies betrifft die Fortdauer einer Arbeitsunfähigkeit oder ob eine erneute Arbeitsunfähigkeit eines Arbeitnehmers auf derselben Krankheit beruht. Nicht erforderlich ist jedoch die Übermittlung von Diagnosedaten. Weitergehende Datenverarbeitungen, z.B. Direktabfragen bei den behandelnden Ärzten, sind dagegen nur mit Einwilligung der betroffenen Beschäftigten möglich.
Fazit
Die grundsätzlichen Datenverarbeitungen im Zusammenhang mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung dürften für die datenschutzrechtlich Verantwortlichen nur wenig Probleme ergeben. Allerdings sind noch weitere Verpflichtungen zu beachten. Zuvorderst sind die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit hat in Ziff. 4.25 in seinem Tätigkeitsbericht 2020 eine entsprechende Empfehlung für die Aufbewahrungsdauer von Arbeitsunfähigkeitsbescheinigungen gegeben.
Weiterhin muss der Verantwortliche z.B. sicherstellen, dass bei der Verarbeitung der Beschäftigtendaten der Grundsatz der Sicherheit der Verarbeitung gemäß Art. 5 Abs. 1 lit. f) DS-GVO gewahrt wird. Dies bedeutet u.a., dass nur denjenigen Personen Zugang zu den Daten gewährt wird, als dies zur Aufgabenerfüllung erforderlich ist. Die Daten sind gleichwohl durch geeignete technische und organisatorische Maßnahmen nach Art. 25 und Art. 32 DS-GVO vor dem Zugriff von Unbefugten zu schützen. Schließlich ist die Erfüllung der Informationspflichten seitens der Arbeitgeber nach den Vorgaben des Art. 14 DS-GVO erforderlich, da die betroffenen personenbezogenen Daten nicht bei der betroffenen Person selbst, sondern bei den Krankenkassen erhoben werden.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.