Wenn Mitarbeitende krank werden, stellt sich für Arbeitgeber schnell die Frage: Besteht weiterhin Anspruch auf Lohnfortzahlung – oder springt schon die Krankenkasse ein?
Damit ein Unternehmen das prüfen kann, werden manchmal Gesundheitsdaten benötigt. Doch der Umgang mit diesen Informationen ist heikel. Die Landesdatenschutzbeauftragte NRW (LDI NRW) hat nun erstmals konkret erklärt, was Arbeitgeber wissen dürfen – und wo die Grenzen liegen.
Wann die Verarbeitung von Gesundheitsdaten zulässig ist
Gesundheitsdaten gehören zu den besonders sensiblen Informationen im Sinne der Datenschutz-Grundverordnung (Art. 9 DSGVO). Ihre Verarbeitung ist daher nur in eng begrenzten Ausnahmefällen erlaubt – zum Beispiel, wenn sie unbedingt erforderlich ist, um arbeitsrechtliche Pflichten zu erfüllen.
Das ist etwa bei der Entgeltfortzahlung im Krankheitsfall der Fall: Arbeitgeber müssen prüfen, ob der Anspruch auf Lohnfortzahlung besteht oder bereits Krankengeld gezahlt wird.
Rechtsgrundlage hierfür sind § 26 Abs. 3 BDSG in Verbindung mit Art. 9 Abs. 2 b DSGVO und Art. 6 Abs. 1 b DSGVO.
Doch Vorsicht:
Nicht jeder Verdacht rechtfertigt den Zugriff auf Gesundheitsdaten. Nur wenn konkrete Anhaltspunkte bestehen – etwa, dass mehrere Erkrankungen zeitlich oder inhaltlich miteinander zusammenhängen – darf eine nähere Prüfung erfolgen.
Die LDI NRW rät Arbeitgebern, dabei zunächst schonendere Wege zu wählen, zum Beispiel:
- eine Rückfrage bei der Krankenkasse, ob eine Fortsetzungserkrankung vorliegt, oder
- eine Einschätzung durch den Betriebsarzt, ohne dass Diagnosen offengelegt werden.
Einwilligung – nur theoretisch möglich
Viele Unternehmen verlassen sich fälschlicherweise auf Einwilligungen ihrer Mitarbeitenden, um Gesundheitsdaten erheben zu dürfen. In der Praxis ist das kaum haltbar.
Denn eine Einwilligung muss freiwillig erfolgen – und genau daran scheitert es meist im Arbeitsverhältnis.
Wenn Beschäftigte befürchten, dass ohne Einwilligung keine Lohnfortzahlung erfolgt, steht diese Freiwilligkeit infrage. Eine auf Druck abgegebene Einwilligung ist damit nicht rechtswirksam.
Datensicherheit: Trennung ist Pflicht
Besondere Vorsicht gilt bei der Aufbewahrung von Gesundheitsdaten.
Sie müssen getrennt von der Personalakte gespeichert und besonders geschützt werden. Auch die gemeinsame Ablage mit Arbeitsunfähigkeitsbescheinigungen ist nicht erlaubt, da diese nur den Zeitraum der Erkrankung, nicht aber Diagnosen enthalten dürfen.
Die LDI NRW empfiehlt, Gesundheitsdaten so zu behandeln wie Informationen im Rahmen des betrieblichen Eingliederungsmanagements (BEM) – also streng vertraulich und mit hohem technischen Schutz.
Ebenso wichtig ist die Löschung: Die Daten dürfen nur so lange gespeichert werden, wie sie zur Prüfung der Entgeltfortzahlung notwendig sind. Eine längere Aufbewahrung – etwa, weil „Auffälligkeiten“ vermutet werden – ist nicht erlaubt.
Weitergabe nur im Ausnahmefall
Die Weitergabe von Gesundheitsdaten ist nur in sehr engen Grenzen möglich.
Innerhalb des Unternehmens dürfen sie nur weitergegeben werden, wenn dies unbedingt erforderlich ist. In der Regel betrifft das allein die Personalabteilung.
Eine Weitergabe an externe Stellen – etwa Rechtsanwälte oder Arbeitgeberverbände – ist nur dann erlaubt, wenn sich das Unternehmen gegen Ansprüche verteidigen muss.
Hier greift Art. 6 Abs. 1 f DSGVO: das berechtigte Interesse an der Geltendmachung oder Verteidigung von Rechtsansprüchen. Auch dann gilt: Nur notwendige Informationen dürfen offengelegt werden.
Fazit: Datenschutz endet nicht beim Krankenschein
Arbeitgeber dürfen Gesundheitsdaten nicht beliebig abfragen, speichern oder weitergeben. Zulässig ist nur, was für die Prüfung des Entgeltfortzahlungsanspruchs tatsächlich erforderlich ist – und selbst dann nur unter strengen Sicherheitsvorkehrungen.
Diagnosen, Vorerkrankungen oder „Verdachtsmuster“ sind Tabu.
Oder, wie die LDI NRW betont:
Datenschutz gilt auch im Krankheitsfall – und schützt die Gesundheitsdaten der Beschäftigten gegenüber Arbeitgebern.
Wer hier sorgfältig vorgeht, wahrt nicht nur die Rechte seiner Mitarbeitenden, sondern schützt auch das eigene Unternehmen vor rechtlichen Risiken und Vertrauensverlust.
Wenn Sie Unterstützung bei der datenschutzkonformen Verarbeitung von Gesundheitsdaten benötigen, stehen wir Ihnen gern beratend zur Seite.