Gratis
21. Dezember 2015 - Arbeitnehmerdatenschutz

Mit Arbeitsunfähigkeits­bescheinigungen & Co. richtig umgehen

Drucken

In der Praxis ist immer wieder zu beobachten, wie sorglos Mitarbeiter mit Gesundheitsdaten wie der Arbeitsunfähigkeitsbescheinigung umgehen. Was können Datenschutzbeauftragte dagegen tun? Wie können sie hier die Prozesse analysieren, sie dokumentieren und die Mitarbeiter sensibilisieren? Welche Vorgehensweisen können sie vorschlagen und umsetzen helfen?

Arbeitsunfähigkeitsbescheinigungen sind Gesundheitsdaten Und irgendwo obendrauf die AU-Bescheinigung ... (Bild: Casanowe / iStock / Thinkstock)

Der Beitrag erläutert in der Folge am Beispiel der Arbeitsunfähigkeits­bescheinigung, wie Mitarbeiter und Unternehmen mit Gesundheitsunterlagen umgehen sollten. Entsprechendes gilt für Eignungsuntersuchungen, arbeitsmedizinische Vorsorgeuntersuchungen und ggf. vorliegende andere Dokumente mit Gesundheitsangaben, etwa im Zusammenhang mit dem Betrieblichen Eingliederungsmanagement (BEM).

Eigentlich wäre alles ganz einfach

Ein Mitarbeiter ist arbeitsunfähig erkrankt. Die Krankheit wird voraussichtlich länger als drei Tage dauern. Nach geltenden arbeitsrechtlichen Bestimmungen müssen Beschäftigte spätestens am dritten Tag der Arbeitsunfähigkeit dem Arbeitgeber eine Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) vorlegen.

Diese Arbeitsunfähigkeitsbescheinigungen erstellt der behandelnde Arzt des Arbeitnehmers. Erkrankte Beschäftigte erhalten ein Exemplar, das sie dem Arbeitgeber vorlegen. In eine AU-Bescheinigung trägt der Arzt nur ein, wie lange der Beschäftigte voraussichtlich zur Arbeit unfähig sein wird. Außerdem befindet sich – neben Angaben zur Person des arbeitsunfähig Erkrankten – noch der Stempel des (Fach-)Arztes auf der Bescheinigung.

Schon allein deshalb enthalten AU-Bescheinigungen Gesundheitsdaten, die zu den besonderen Arten von Daten nach § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) zählen. Entsprechend sorgfältig sind diese Unterlagen vor unbefugten Zugriffen zu schützen.

Wenn jetzt alle Beteiligten die erforderliche Sorgfalt walten lassen, ist alles in Butter.

Doch die Praxis sieht meist ganz anders aus:

  • Da geben Kollegen AU-Bescheinigungen offen beim Vorgesetzten ab.
  • Dieser muss die Vertretung organisieren, und weil er gerade keine Zeit hat, macht er sich rasch eine Kopie der Bescheinigung.
  • Dann schreibt er dem Gruppenverteiler eine E-Mail, dass Kollege XY bis zum soundsovielten erkrankt ist, je nach Betriebsklima vielleicht noch mit einem Kommentar versehen, der im besten Fall gute Wünsche zur baldigen Genesung, im schlechtesten Fall einen Kommentar zu den Lebensgewohnheiten des Erkrankten enthält („was ja abzusehen war, bei seiner Lebensweise“).
  • Sodann leitet er die AU-Bescheinigung offen an die Personalabteilung weiter. Dort liegt sie einsehbar im Postfach, sodass jeder, der es wissen möchte, sich direkt informieren kann.
  • Und weil wir gerade dabei sind, landet auch noch die Eignungsfeststellung des Betriebsarztes im gleichen Postfach. Aus ihr geht hervor, dass der betreffende Kollege bestimmte Einschränkungen bei der Arbeit aufweist.

Ohne konkrete Regelungen geht es drunter und drüber

Zugegeben, das Beispiel ist extrem. Aber zumindest Teile davon kommen jedem Datenschutzbeauftragten bekannt vor. Daher ist es wichtig, dass Sie sich die Prozesse, wie das Unternehmen mit Gesundheitsdaten und den dazugehörigen Unterlagen umgeht, näher ansehen und Schwachstellen beseitigen.

Arbeitsanweisung Arbeitsunfähigkeitsbescheinigungen

Grundsätzliches zu AU-Bescheinigungen – die Rechtslage

Das Gesetz über die Zahlung des Arbeitsentgelts an Feiertagen und im Krankheitsfall (Entgeltfortzahlungsgesetz, EntgFG) regelt die Modalitäten der Arbeitsunfähigkeitsbescheinigung (§ 5 EntgFG):

  • Zum einen muss der Arbeitnehmer danach die Tatsche der (krankheitsbedingten) Arbeitsunfähigkeit mitteilen, und zwar „unverzüglich“, also ohne selbst verschuldete Verzögerung. Der Weg dieser Mitteilung ist nicht vorgegeben. In der Regel erfolgt ein Telefonanruf. Denkbar sind jedoch auch andere Wege wie E-Mail oder eine Benachrichtigung über eine andere Person, also per Bote.
  • Zum anderen muss der Erkrankte bei Vorliegen bestimmter Umstände eine ärztliche Bescheinigung vorlegen. Die näheren Bestimmungen dazu sind eher von arbeitsrechtlichem Interesse. In jedem Fall ist das Original des für den Arbeitgeber bestimmten Durchschlags der Arbeitsunfähigkeitsbescheinigung vorzulegen. Ob es zunächst in einer Kopie übermittelt und das Original später nachgereicht wird, ist nicht vorgegeben.

Wie kommen die Bescheinigungen ins Unternehmen?

AU-Bescheinigungen können auf den unterschiedlichsten Wegen ins Unternehmen gelangen. Der Regelfall sollte sein, dass Krankmeldungen im verschlossenen Umschlag bei der Personalabteilung ankommen. Kommen sie mit der Post, muss bei einer ggf. zentral erfolgenden Postöffnung beachtet werden, dass es sich bei AU-Bescheinigungen um besonders schützenswerte Unterlagen handelt, die nicht für jedermanns Augen gedacht sind.

Verschlossene Umschläge sind das Mittel der Wahl

Kommt ein Kollege aus der Nachbarschaft vor der Arbeit kurz vorbei, um die AU-Bescheinigung ins Unternehmen mitzunehmen, sorgen Sie dafür, dass er sie in einem verschlossenen Umschlag erhält. Leider ist das oft nicht der Fall. Häufig gibt der Überbringer die AU-Bescheinigung offen dem Werkmeister oder dem Vorgesetzten des arbeitsunfähig Erkrankten.

Selbst wenn die AU-Bescheinigung ihrerseits offen überbracht wurde, heißt das noch lange nicht, dass Vorgesetzte, die sie in Empfang nehmen, sie offen weiterleiten. Sensibilisieren Sie also alle Beteiligten, dass sie zu verschlossenen Umschlägen greifen müssen.

Bescheinigungen nicht offen herumliegen lassen

Nicht selten ist zu beobachten, dass der Vorgesetzte zwar die Personalabteilung darüber informiert, dass er eine Arbeitsunfähigkeitsbescheinigung des betreffenden Kollegen in Empfang genommen hat. Dann kann es aber vorkommen, dass die Krankmeldung noch eine ganze Weile offen auf seinem Schreibtisch liegt, je nach seiner Selbstorganisation.

Unterbinden Sie das z.B. durch eine Clean Desk Policy, die alle Vorgesetzten verpflichtet, Unterlagen über Beschäftigte für Dritte unzugänglich aufzubewahren und bei automatisierter Verarbeitung dafür zu sorgen, dass Bildschirme gesperrt werden, wenn Unbefugte zugegen sind oder der Raum unbeaufsichtigt ist.

Sind Kopien der AU-Bescheinigung erlaubt?

Immer wieder machen Mitarbeiter Kopien von AU-Bescheinigungen oder scannen sie in das Dokumentenmanagement ein. Hier stellt sich die Frage nach der Rechtsgrundlage, also dem Erlaubnistatbestand zur Datenverarbeitung im konkreten Fall.

Das Anfertigen von Kopien ist eine automatisierte Verarbeitung. Sie ist gemäß § 4 BDSG nur erlaubt, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die AU-Bescheinigung enthält Gesundheitsdaten von Beschäftigten gemäß § 3 Abs. 11 BDSG. Sie dürfen laut § 32 BDSG nur für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn das für dessen Durchführung oder Beendigung erforderlich ist.

Ja, wenn für Durchführung des Beschäftigungsverhältnisses erforderlich

Dass der Erkrankte die AU-Bescheinigung im Unternehmen abgibt, ist für die Durchführung des Beschäftigungsverhältnisses in den Zeiten der Arbeitsunfähigkeit objektiv erforderlich. Und auch Kopien können für die Durchführung des Beschäftigungsverhältnisses erforderlich sein. Das ist z.B. der Fall, wenn das Unternehmen nicht selbst die Lohn- und Gehaltsabrechnung durchführt, sondern die zentrale Personalverwaltung in einem anderen konzernzugehörigen Unternehmen stattfindet. Dann kann es vorkommen, dass die Bescheinigung in Kopie an die zentrale Personalabteilung geschickt werden muss.

Prüfen Sie die Erforderlichkeit

Aber auch in diesem Fall müssen Sie datenschutztechnisch prüfen, ob die Kopie der Bescheinigung tatsächlich erforderlich ist oder ob nicht eine andere Organisationsform sinnvoll sein kann, z.B. die Mitteilung der Tatsache und die voraussichtliche Dauer der Arbeitsunfähigkeit an die Zentrale. So ließe sich den Grundsätzen von Datensparsamkeit und Datenvermeidung gerecht werden.

Werden die Unterlagen für das Dokumentenmanagement eingescannt und liegen die Voraussetzungen für das rechtskonforme Scannen von Gesundheitsdaten vor, können so auch AU-Bescheinigungen revisionssicher aufbewahrt werden.

Vertretung datenschutzkonform organisieren

Wenn Beschäftigte arbeitsunfähig erkranken, muss in der Regel ein Ersatz her. Die Vertretung muss wie der Vorgesetzte die voraussichtliche Dauer der Arbeitsunfähigkeit kennen. Dazu reicht aber die reine Kenntnis. Die AU-Bescheinigung selbst muss er nicht sehen oder gar als Kopie erhalten. Auch nähere Umstände zur Erkrankung, die dem Vorgesetzten möglicherweise bekannt sind, gehen Stellvertreter in aller Regel nichts an. Verlängerungen der Arbeitsunfähigkeit müssen der Stellvertretung dagegen bekannt gemacht werden.

Kolleginnen und Kollegen informieren

Je nach Umständen kann auch eine Information der Kolleginnen und Kollegen erforderlich werden, z.B. in Projekten, wenn der arbeitsunfähig Erkrankte eine zentrale Rolle einnimmt, die nun verschiedene andere Projektbeteiligte auffangen müssen. Auch hier gilt, dass sich die Information auf die voraussichtliche Abwesenheitsdauer zu beschränken hat, es sei denn, der Erkrankte hat weitere Informationen selbst ausgelöst oder in deren Weitergabe freiwillig eingewilligt.

Externe wie Kunden oder Lieferanten informieren

Kunden und Lieferanten müssen ebenso informiert werden, zumindest wenn fest vereinbarte Termine mangels Ersatzkraft verlegt werden müssen. Wenn Kollegen einspringen können, ist nur zu kommunizieren, dass der eigentlich erwartete Gesprächspartner für eine gewisse Zeit ausfällt. Je komplexer die Situation, desto eher empfiehlt es sich, mit dem Arbeitsunfähigen eine gemeinsame Lesart zu entwickeln, soweit dies nach den Umständen des Einzelfalls möglich ist.

Keine Rundmails!

Nicht selten gehen Abteilungs-Mails zu erkrankten Kollegen herum, die teilweise verbreiten, warum die Arbeitsunfähigkeit vorliegt. Derartige Praktiken verstoßen gegen den Datenschutz, es sei denn, der arbeitsunfähig Erkrankte hat dies ausdrücklich so gewollt, beispielsweise weil er sich für die Anteilnahme an seiner Erkrankung bedanken oder Besuch erhalten möchte. Die Weitergabe entsprechender Informationen ist auf die faktischen Erfordernisse zu beschränken.

Wie lange aufbewahren?

Für die Aufbewahrung der AU-Bescheinigungen gibt es keine ausdrückliche rechtliche Regelung. Somit müssen Sie die Zweckbestimmung ermitteln, die Grundlage für die Aufbewahrung der Unterlagen sein soll. Hier kommt v.a. ein Erstattungsanspruch aus der Lohnfortzahlung im Krankheitsfall gegenüber der Krankenkasse infrage.

In der Regel vier Jahre

Für kleinere Unternehmen mit im Schnitt nicht mehr als 30 Beschäftigten – das betrifft weit über 90 % aller Unternehmen – gilt das Gesetz über den Ausgleich der Arbeitgeber-aufwendungen für Entgeltfortzahlung (Aufwendungsausgleichsgesetz, AAG). Nach diesem Gesetz erhalten Unternehmen einen bestimmten Anteil der Lohnfortzahlung von der zuständigen Krankenkasse erstattet, derzeit bis zu 80 %. Auslöser für den Erstattungsantrag ist die AU-Bescheinigung, ggf. ergänzt um Anschlussbescheinigungen.

Da die Ansprüche mit Ablauf des vierten Kalenderjahres nach Eintritt der Arbeitsunfähigkeit verjähren (§ 6 AAG), können Sie diesen Zeitraum als Richtschnur für die Aufbewahrungsdauer heranziehen. Somit könnten AU-Bescheinigungen aus dem Jahr 2011 mit Ablauf des Jahres 2015 vernichtet werden. Andere Aufbewahrungsregeln gelten für Ärzte: Sie erhalten von den Krankenkassen die Empfehlung, ihr Exemplar der AU-Bescheinigung nach einem Jahr zu vernichten.

Wo aufbewahren?

Da es sich um besonders sensible personenbezogene Daten handelt, sind sie vor unbefugtem Zugriff auch besonders zu schützen. Daher bietet es sich an, AU-Bescheinigungen in der Personalakte in einem gesonderten Umschlag aufzubewahren. Ist die Personalakte hinreichend vor unbefugten Zugriffen geschützt, können Sie hierauf verzichten. Dann muss allerdings anderweitig sichergestellt sein, dass keine unbefugten Zugriffe auf die Unterlagen erfolgen können.

Da viele Unternehmen eigene Akten für die Entgeltabrechnung der Beschäftigten führen, lassen sich AU-Bescheinigungen auch hier aufbewahren. Je nachdem, wer den Erstattungsanspruch für die Lohnfortzahlung im Krankheitsfall gegenüber den Krankenkassen bearbeitet, ist eine sichere Aufbewahrung der AU-Bescheinigungen auch dort möglich. Hier gilt ebenfalls, dass unbefugte Zugriffe durch Dritte zu verhindern sind.

Entsorgung regeln und überwachen

Und nicht zuletzt: Da es sich um Gesundheitsdaten handelt, müssen die AU-Bescheinigungen entsprechend vernichtet werden. Hierfür können geeignete Schredder zum Einsatz kommen. Oder die Entsorgung erfolgt über entsprechende Datentonnen, jeweils gemäß DIN 66399. Für deren Leerung und für die Unterlagenvernichtung muss dann ein Vertrag über Auftragsdatenverarbeitung existieren.

Die wichtigsten Punkte zum datenschutzkonformen Umfang mit Unterlagen, die Gesundheitsdaten enthalten, fasst das Muster einer Arbeitsanweisung zusammen (zu finden unter den Arbeitshilfen).

Eberhard Häcker