Haufe Online Redaktion
Haufe Online Redaktion
Datenschutz und Fortsetzungserkrankung
Bild: AdobeStock Beim Umgang mit Gesundheitsdaten von Beschäftigten müssen Arbeitgeber einiges beachten - auch wenn die Informationen für die Prüfung der Entgeltfortzahlungspflicht nötig sind.

Arbeitgeber brauchen oft Angaben zur Krankheit von Beschäftigten, um zu beurteilen, ob sie ihnen weiter Arbeitsentgelt zahlen müssen. Aber wie weit darf der Einblick in den Gesundheitszustand gehen? Wann ist die Verarbeitung der Informationen erlaubt? Nun wurde vom Bundesland Nordrhein-Westfalen ein Überblick zum richtigen Umgang mit Gesundheitsdaten von Beschäftigten veröffentlicht.

Wenn Beschäftigte länger krank sind, stellt sich für Arbeitgeber die Frage, ob ihnen das Entgelt weitergezahlt werden muss. Fortsetzungserkrankung oder nicht? Um das zu beurteilen sind  bestimmte Informationen zum Gesundheitszustand des jeweiligen Mitarbeitenden nötig. Was in dem Zusammenhang erlaubt ist und was nicht, bereitet Personalverantwortlichen regelmäßig Kopfzerbrechen - denn Gesundheitsdaten sind besonders sensible Daten.

Wie weit darf der Einblick in den Gesundheitszustand von Beschäftigten gehen? Wann ist die Verarbeitung von Gesundheitsdaten erlaubt und welche Grenzen setzt das Datenschutzrecht?  Antworten auf diese Fragen hat die Landesdatenschutzbeauftragte in NRW (LDI NRW), Bettina Gayk, veröffentlicht:

Fortgesetzte Krankheit oder nicht: Zur Beurteilung sind Gesundheitsdaten nötig

Die Frage, ob der jeweilige Arbeitnehmende weiterhin einen Anspruch auf Entgeltfortzahlung hat, ist besonders relevant, wenn eine Erkrankung über sechs Wochen hinaus andauert - oder es zu mehreren Erkrankungen innerhalb kurzer Zeit kommt. Arbeitgeber möchten dann wissen, ob es sich um sogenannte Fortsetzungserkrankungen handelt. Denn Lohnfortzahlung gibt es in der Regel nur für die ersten sechs Wochen einer Erkrankung. Danach gibt es Krankengeld durch die Krankenkasse. Handelt es sich hintereinander um die gleiche Krankheit, läuft nicht bei jeder Erkrankung wieder neu die Sechs-Wochen-Lohnfortzahlung. Vielmehr werden die Zeiten der "fortgesetzten" Erkrankungen addiert.  

Um beurteilen zu können, ob eine solche Fortsetzungserkrankung vorliegt, sind unter Umständen Gesundheitsdaten erforderlich. Da diese Informationen jedoch besonders sensibel sind, sehen die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) strenge Regelungen vor.

Verarbeitung von Gesundheitsdaten zur Prüfung der Entgeltfortzahlungspflicht

Grundsätzlich dürfen Arbeitgeber Gesundheitsdaten nur dann verarbeiten, wenn sie zur Erfüllung arbeitsrechtlicher Pflichten erforderlich sind. Bei der Entgeltfortzahlung im Krankheitsfall ergibt sich diese Erforderlichkeit aus der gesetzlichen Verpflichtung von Arbeitgebern zur Lohnfortzahlung im Krankheitsfall, die im Entgeltfortzahlungsgesetz (EFZG) zu finden ist. Rechtsgrundlagen für die Verarbeitung dieser besonderen Kategorie personenbezogener Daten sind insbesondere § 26 Absatz 3 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit Artikel 9 Absatz 2 Buchstabe b der Datenschutz-Grundverordnung (DSGVO).

Die Verarbeitung erfolgt zur Ausübung von Rechten und zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis. Die zusätzlich notwendige Rechtsgrundlage im Sinne von Art. 6 Absatz 1 DSGVO ist im Fall von Gesundheitsdaten Artikel 6 Absatz 1 UAbs. 1 Buchstabe b DSGVO in Verbindung mit dem Arbeitsvertrag. Danach ist die Verarbeitung erlaubt, sofern sie "für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist".

Vorsicht: Bloßer Verdacht auf Fortsetzungserkrankung reicht nicht

Arbeitgeber unterliegen in diesem Zusammenhang allerdings häufig einem Irrtum. Die Verarbeitung ist nämlich nur insoweit zulässig, als sie tatsächlich erforderlich ist. Der bloße Verdacht, dass es sich um eine Fortsetzungserkrankung handeln könnte, reicht nicht aus. Es muss vielmehr eine konkrete Vermutung im Einzelfall vorliegen, etwa aufgrund zeitlicher Nähe oder inhaltlicher Hinweise, dass die Erkrankungen zusammenhängen.

Arbeitgeber sind zudem angehalten, mildere Mittel zu prüfen. So kann es in bestimmten Fällen ausreichend sein, bei der Krankenkasse eine Einschätzung einzuholen, ob aus ihrer Sicht eine Fortsetzungserkrankung vorliegt. Eine weitere schonendere Alternative kann die Einschaltung des Betriebsarztes sein, der eine medizinische Einschätzung abgibt, ohne dass sensible Gesundheitsdaten direkt an den Arbeitgeber gelangen. Während das Bundesarbeitsgericht diese Maßnahmen im gerichtlichen Verfahren zur Entgeltfortzahlung nicht für ausreichend hält, sind sie im Rahmen der vorprozessualen Datenverarbeitung durchaus vorzuziehen und zu prüfen (BAG, Urteil vom 18. Januar 2023, Az. 5 AZR 93/22).

Offenlegung von Diagnosedaten: Einwilligung regelmäßig nicht möglich

Ebenfalls unklar ist manchen Arbeitgebern, dass eine ausdrückliche Einwilligung der oder des Beschäftigten in die Offenlegung von Diagnosedaten gegenüber dem Arbeitgeber – etwa, um einem möglichen Streit über die Fortsetzungserkrankung zuvorzukommen – die Datenverarbeitung in der Regel nicht rechtfertigt. Denn eine Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt. In einem Beschäftigungsverhältnis kann davon aber selten die Rede sein. Gerade im Fall einer Erkrankung stehen Beschäftigte häufig unter Druck, weil sie befürchten, ohne Offenlegung ihrer Daten keine weiteren Lohnzahlungen zu erhalten. Insofern scheitert die Wirksamkeit ihrer Einwilligung an der fehlenden Freiwilligkeit der Einwilligungserklärung.

Gesundheitsdaten sicher und getrennt aufbewahren

Zu beachten ist außerdem, dass der Umgang mit Gesundheitsdaten bei Entgeltfortzahlungsansprüchen besonders hohe Anforderungen an Sicherheit und Vertraulichkeit verlangt. Arbeitgeber müssen angemessene technische und organisatorische Maßnahmen treffen, um die betroffenen Beschäftigten zu schützen. Dazu gehört insbesondere, dass die betreffenden Daten getrennt von der eigentlichen Personalakte aufbewahrt werden.

Auch eine gemeinsame Ablage mit den üblichen ärztlichen Arbeitsunfähigkeitsbescheinigungen, wie sie nach § 5 Absatz 1 Satz 2 EFZG vorzulegen sind, dürfte datenschutzrechtlich unzulässig sein. Denn diese Bescheinigungen enthalten lediglich Informationen über Beginn und Dauer der Arbeitsunfähigkeit, nicht jedoch über Diagnosen oder chronische Leiden. Sobald Gesundheitsdaten verarbeitet werden, etwa im Rahmen ärztlicher Gutachten oder durch eigene Erhebung des Arbeitgebers, sind diese getrennt und besonders geschützt zu speichern – vergleichbar mit den Regelungen zum betrieblichen Eingliederungsmanagement.

Keine endlose Speicherung von Gesundheitsdaten

Die Daten dürfen zudem nur so lange aufbewahrt werden, wie sie für die Prüfung des Entgeltfortzahlungsanspruchs erforderlich sind. Die Dauer der Speicherung richtet sich nach den Fristen, die das Entgeltfortzahlungsgesetz vorsieht. Darüber hinaus kann sich die Speicherfrist etwa aus tarifvertraglichen oder gesetzlichen Verjährungs- und Ausschlussfristen ergeben. Auf einen Verdacht, dass ein Mitarbeiter oder eine Mitarbeiterin rechtliche Schritte einleitet, kommt es nicht an. Auch wenn Arbeitgeber glauben, in Krankheitsmustern bestimmte Auffälligkeiten zu erkennen, berechtigt sie das nicht zur längeren Speicherung. 

Die Weitergabe von Gesundheitsdaten an Dritte ist zudem im Regelfall ausgeschlossen. Auch innerhalb des Unternehmens ist eine Weitergabe an Vorgesetzte oder andere Stellen nur dann zulässig, wenn sie zur Zweckerfüllung erforderlich ist – was bei Fragen der Lohnfortzahlung in der Regel nicht der Fall ist.

Anders sieht es aus, wenn sich Arbeitgeber gegen geltend gemachte Ansprüche verteidigen müssen. In einem solchen Fall ist die Weitergabe an interne Juristinnen oder Juristen sowie an externe Rechtsanwältinnen oder Anwälte oder den Arbeitgeberverband – wenn dieser die rechtliche Vertretung übernimmt - zulässig. Dies ergibt sich aus Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO, da die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ein berechtigtes Interesse darstellt, das eine Weitergabe erlaubt. Auch hier gilt jedoch: Die Weitergabe darf sich nur auf die Daten erstrecken, die tatsächlich erforderlich sind.

Gesundheitsdaten: Arbeitgeber dürfen nicht alles wissen

Um es noch einmal kurz zu fassen: Arbeitgeber sind im Zusammenhang mit der Entgeltfortzahlung durchaus berechtigt, bestimmte Gesundheitsdaten zu verarbeiten – allerdings nur dann, wenn dies wirklich erforderlich ist und keine milderen Alternativen bestehen. Eine pauschale Erhebung von Diagnosen oder die Abfrage nach chronischen Vorerkrankungen außerhalb des Entgeltfortzahlungszeitraums ist aber unzulässig. Besonders sensible Gesundheitsdaten müssen zudem sicher verwahrt sowie frühzeitig gelöscht werden und dürfen nicht beliebig weitergegeben werden. 


Das könnte Sie auch interessieren: 

Grundsätze zum Beschäftigtendatenschutz im Unternehmen

Entgeltfortzahlung: Wenn unterschiedliche Krankheiten aufeinander folgen

Entgeltfortzahlung: Vorerkrankungen richtig anrechnen


Landesdatenschutzbeauftragte in NRW (LDI NRW)
Schlagworte zum Thema:  Beschäftigtendatenschutz , Datenschutz-Grundverordnung , Entgeltfortzahlung , Arbeitsunfähigkeit
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Arbeitsrecht
Arbeitsunfähigkeit: Entgeltfortzahlung: Vorerkrankungen richtig anrechnen
Grippe Schnupfen Krankheit Fieber Homeoffice

Sechs Wochen lang haben Arbeitgeber Entgeltfortzahlung zu leisten, wenn ihre Beschäftigten arbeitsunfähig sind. Unter Umständen dürfen sie Vorerkrankungen auf die Gesamtdauer der Entgeltfortzahlung für eine erneute Erkrankung des Arbeitnehmers anrechnen. Doch nicht immer ist eindeutig, welche Vorerkrankungen angerechnet werden dürfen.
EuGH: EuGH zum Begriff der Gesundheitsdaten und wettbewerbsrechtlichen Abmahnbarkeit von DSGVO-Verstößen
Hängeregister einer Adressenkartei

Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) jüngst in einem Vorabentscheidungsverfahren wegweisende Fragen zur Auslegung der Definition von Gesundheitsdaten und zur Abmahnbarkeit von DSGVO-Verstößen durch Wettbewerber gestellt (BGH, Beschl. v. 12.1.2022, Az. I ZR 223/19). 
Datenschutzverstoß: Unzulässige Liste über Beschäftigte in der Probezeit
Sicherheit Vorhängeschloss

Die Berliner Datenschutzbeauftragte hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Dieses hatte unter anderem sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert.
Haufe Shop: Die Management-Toolbox
Die Management-Toolbox

Dieses Buch enthält alles, was Führungskräfte für ihre Führungsaufgaben brauchen: Umfassende Strategien und Tools zur effektiven Umsetzung von Innovation, Change Management, Produktivität und Digitalisierung. Es werden Methoden und Tools vorgestellt, die sich in der Praxis bewährt haben.
Datenschutz und Gesundheitsdaten von Beschäftigten
Datenschutz und Gesundheitsdaten von Beschäftigten

Zusammenfassung Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses ...

4 Wochen testen