Die eAU aus datenschutzrechtlicher Sicht

Zum 01. Januar 2023 entfällt für gesetzlich versicherte Arbeitnehmer die Pflicht, dem Arbeitgeber eine ärztliche Bescheinigung über die festgestellte krankheitsbedingte Arbeitsunfähigkeit zukommen zu lassen. Stattdessen müssen Arbeitnehmer die Arbeitsunfähigkeit vom Arzt nur noch feststellen lassen; der Arbeitgeber ruft das Attest dann elektronisch bei der Krankenkasse des Arbeitnehmers ab. Davon unberührt bleibt die bisherige Informationspflicht, nach welcher Beschäftigte ihren Arbeitgeber über ihre krankheitsbedingte Abwesenheit in Kenntnis setzen müssen. Die datenschutzkonforme Ausgestaltung des Abrufverfahrens bei der Krankenkasse stellt nun viele Unternehmen vor Herausforderungen.

 

Die eAU aus datenschutzrechtlicher Sicht

Die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) ist ein digitales Verfahren für Krankmeldungen von gesetzlich Versicherten, welches deutschlandweit gilt. Gesundheitsdaten gehören zu den besonders sensiblen personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO und sind gemäß Art. 4 Nr. 15 DSGVO Informationen über den körperlichen oder geistigen Zustand eines Betroffenen. Zu diesen Gesundheitsdaten zählen neben Arbeitsunfähigkeitsbescheinigungen, die auf einer ärztlichen Untersuchung basieren, auch einfache Krankmeldungen an den Arbeitgeber.

 

Was ist beim Implementieren einer technischen Krankmeldungs-Lösung zu beachten?

Wenn ein Unternehmen eine technische Lösung für die Krankmeldung der Beschäftigten einführen möchte, müssen dabei einige datenschutzrechtliche Aspekte berücksichtigt werden. Hierzu gehört beispielsweise die Sicherstellung eines hohen Schutzniveaus. Weiterhin sind die Grundsätze des Datenschutzes zu wahren, welche in Art. 5 DSGVO näher beschrieben sind. Dies sind insbesondere der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) und der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO). Wie bisher beim Umgang mit den ärztlichen Attesten auf Papier muss die technische Lösung für den Datenabruf also auch dem besonderen Schutzbedürfnis der Daten gerecht werden. Bei der Implementierung dieser technischen Lösung muss die Sicherheit der Daten nach Art. 32 DSGVO durch geeignete technische- und organisatorische Maßnahmen (TOM) gewährleistet werden.

Weiterhin müssen auch die Betroffenenrechte und Dokumentationspflichten eingehalten werden. Hierbei ist zu beachten, dass die Daten nach von den Aufsichtsbehörden vertretener Auffassung nicht mehr direkt vom Mitarbeiter als Betroffenem erhoben werden, sondern von einem Dritten, nämlich der Krankenkasse. Wenn der Datenabruf nicht direkt vom Arbeitgeber, sondern etwa von seinem Steuerberater als Lohnbuchhalter durchgeführt wird, ist Dritter ggf. auch der Steuerberater. Entsprechend sind die Mitarbeiter zu informieren und das Verarbeitungsverzeichnis zu erweitern.