- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Mit Arbeitsunfähigkeits­bescheinigungen & Co. richtig umgehen

In der Praxis ist immer wieder zu beobachten, wie sorglos Mitarbeiter mit Gesundheitsdaten wie der Arbeitsunfähigkeitsbescheinigung umgehen. Was können Datenschutzbeauftragte dagegen tun? Wie können sie hier die Prozesse analysieren, sie dokumentieren und die Mitarbeiter sensibilisieren? Welche Vorgehensweisen können sie vorschlagen und umsetzen helfen?

Der Beitrag erläutert in der Folge am Beispiel der Arbeitsunfähigkeits­bescheinigung, wie Mitarbeiter und Unternehmen mit Gesundheitsunterlagen umgehen sollten. Entsprechendes gilt für Eignungsuntersuchungen, arbeitsmedizinische Vorsorgeuntersuchungen und ggf. vorliegende andere Dokumente mit Gesundheitsangaben, etwa im Zusammenhang mit dem Betrieblichen Eingliederungsmanagement (BEM).

Eigentlich wäre alles ganz einfach

Ein Mitarbeiter ist arbeitsunfähig erkrankt. Die Krankheit wird voraussichtlich länger als drei Tage dauern. Nach geltenden arbeitsrechtlichen Bestimmungen müssen Beschäftigte spätestens am dritten Tag der Arbeitsunfähigkeit dem Arbeitgeber eine Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) vorlegen.

Diese Arbeitsunfähigkeitsbescheinigungen erstellt der behandelnde Arzt des Arbeitnehmers. Erkrankte Beschäftigte erhalten ein Exemplar, das sie dem Arbeitgeber vorlegen. In eine AU-Bescheinigung trägt der Arzt nur ein, wie lange der Beschäftigte voraussichtlich zur Arbeit unfähig sein wird. Außerdem befindet sich – neben Angaben zur Person des arbeitsunfähig Erkrankten – noch der Stempel des (Fach-)Arztes auf der Bescheinigung.

Schon allein deshalb enthalten AU-Bescheinigungen Gesundheitsdaten, die zu den besonderen Arten von Daten nach § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) zählen. Entsprechend sorgfältig sind diese Unterlagen vor unbefugten Zugriffen zu schützen.

Wenn jetzt alle Beteiligten die erforderliche Sorgfalt walten lassen, ist alles in Butter.

Doch die Praxis sieht meist ganz anders aus:

Ohne konkrete Regelungen geht es drunter und drüber

Zugegeben, das Beispiel ist extrem. Aber zumindest Teile davon kommen jedem Datenschutzbeauftragten bekannt vor. Daher ist es wichtig, dass Sie sich die Prozesse, wie das Unternehmen mit Gesundheitsdaten und den dazugehörigen Unterlagen umgeht, näher ansehen und Schwachstellen beseitigen.

Arbeitsanweisung Arbeitsunfähigkeitsbescheinigungen [1]

Grundsätzliches zu AU-Bescheinigungen – die Rechtslage

Das Gesetz über die Zahlung des Arbeitsentgelts an Feiertagen und im Krankheitsfall (Entgeltfortzahlungsgesetz, EntgFG) regelt die Modalitäten der Arbeitsunfähigkeitsbescheinigung (§ 5 EntgFG):

Wie kommen die Bescheinigungen ins Unternehmen?

AU-Bescheinigungen können auf den unterschiedlichsten Wegen ins Unternehmen gelangen. Der Regelfall sollte sein, dass Krankmeldungen im verschlossenen Umschlag bei der Personalabteilung ankommen. Kommen sie mit der Post, muss bei einer ggf. zentral erfolgenden Postöffnung beachtet werden, dass es sich bei AU-Bescheinigungen um besonders schützenswerte Unterlagen handelt, die nicht für jedermanns Augen gedacht sind.

Verschlossene Umschläge sind das Mittel der Wahl

Kommt ein Kollege aus der Nachbarschaft vor der Arbeit kurz vorbei, um die AU-Bescheinigung ins Unternehmen mitzunehmen, sorgen Sie dafür, dass er sie in einem verschlossenen Umschlag erhält. Leider ist das oft nicht der Fall. Häufig gibt der Überbringer die AU-Bescheinigung offen dem Werkmeister oder dem Vorgesetzten des arbeitsunfähig Erkrankten.

Selbst wenn die AU-Bescheinigung ihrerseits offen überbracht wurde, heißt das noch lange nicht, dass Vorgesetzte, die sie in Empfang nehmen, sie offen weiterleiten. Sensibilisieren Sie also alle Beteiligten, dass sie zu verschlossenen Umschlägen greifen müssen.

Bescheinigungen nicht offen herumliegen lassen

Nicht selten ist zu beobachten, dass der Vorgesetzte zwar die Personalabteilung darüber informiert, dass er eine Arbeitsunfähigkeitsbescheinigung des betreffenden Kollegen in Empfang genommen hat. Dann kann es aber vorkommen, dass die Krankmeldung noch eine ganze Weile offen auf seinem Schreibtisch liegt, je nach seiner Selbstorganisation.

Unterbinden Sie das z.B. durch eine Clean Desk Policy, die alle Vorgesetzten verpflichtet, Unterlagen über Beschäftigte für Dritte unzugänglich aufzubewahren und bei automatisierter Verarbeitung dafür zu sorgen, dass Bildschirme gesperrt werden, wenn Unbefugte zugegen sind oder der Raum unbeaufsichtigt ist.

Sind Kopien der AU-Bescheinigung erlaubt?

Immer wieder machen Mitarbeiter Kopien von AU-Bescheinigungen oder scannen sie in das Dokumentenmanagement ein. Hier stellt sich die Frage nach der Rechtsgrundlage, also dem Erlaubnistatbestand zur Datenverarbeitung im konkreten Fall.

Das Anfertigen von Kopien ist eine automatisierte Verarbeitung. Sie ist gemäß § 4 BDSG nur erlaubt, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die AU-Bescheinigung enthält Gesundheitsdaten von Beschäftigten gemäß § 3 Abs. 11 BDSG. Sie dürfen laut § 32 BDSG nur für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn das für dessen Durchführung oder Beendigung erforderlich ist.

Ja, wenn für Durchführung des Beschäftigungsverhältnisses erforderlich

Dass der Erkrankte die AU-Bescheinigung im Unternehmen abgibt, ist für die Durchführung des Beschäftigungsverhältnisses in den Zeiten der Arbeitsunfähigkeit objektiv erforderlich. Und auch Kopien können für die Durchführung des Beschäftigungsverhältnisses erforderlich sein. Das ist z.B. der Fall, wenn das Unternehmen nicht selbst die Lohn- und Gehaltsabrechnung durchführt, sondern die zentrale Personalverwaltung in einem anderen konzernzugehörigen Unternehmen stattfindet. Dann kann es vorkommen, dass die Bescheinigung in Kopie an die zentrale Personalabteilung geschickt werden muss.

Prüfen Sie die Erforderlichkeit

Aber auch in diesem Fall müssen Sie datenschutztechnisch prüfen, ob die Kopie der Bescheinigung tatsächlich erforderlich ist oder ob nicht eine andere Organisationsform sinnvoll sein kann, z.B. die Mitteilung der Tatsache und die voraussichtliche Dauer der Arbeitsunfähigkeit an die Zentrale. So ließe sich den Grundsätzen von Datensparsamkeit und Datenvermeidung gerecht werden.

Werden die Unterlagen für das Dokumentenmanagement eingescannt und liegen die Voraussetzungen für das rechtskonforme Scannen von Gesundheitsdaten vor, können so auch AU-Bescheinigungen revisionssicher aufbewahrt werden.

Vertretung datenschutzkonform organisieren

Wenn Beschäftigte arbeitsunfähig erkranken, muss in der Regel ein Ersatz her. Die Vertretung muss wie der Vorgesetzte die voraussichtliche Dauer der Arbeitsunfähigkeit kennen. Dazu reicht aber die reine Kenntnis. Die AU-Bescheinigung selbst muss er nicht sehen oder gar als Kopie erhalten. Auch nähere Umstände zur Erkrankung, die dem Vorgesetzten möglicherweise bekannt sind, gehen Stellvertreter in aller Regel nichts an. Verlängerungen der Arbeitsunfähigkeit müssen der Stellvertretung dagegen bekannt gemacht werden.

Kolleginnen und Kollegen informieren

Je nach Umständen kann auch eine Information der Kolleginnen und Kollegen erforderlich werden, z.B. in Projekten, wenn der arbeitsunfähig Erkrankte eine zentrale Rolle einnimmt, die nun verschiedene andere Projektbeteiligte auffangen müssen. Auch hier gilt, dass sich die Information auf die voraussichtliche Abwesenheitsdauer zu beschränken hat, es sei denn, der Erkrankte hat weitere Informationen selbst ausgelöst oder in deren Weitergabe freiwillig eingewilligt.

Externe wie Kunden oder Lieferanten informieren

Kunden und Lieferanten müssen ebenso informiert werden, zumindest wenn fest vereinbarte Termine mangels Ersatzkraft verlegt werden müssen. Wenn Kollegen einspringen können, ist nur zu kommunizieren, dass der eigentlich erwartete Gesprächspartner für eine gewisse Zeit ausfällt. Je komplexer die Situation, desto eher empfiehlt es sich, mit dem Arbeitsunfähigen eine gemeinsame Lesart zu entwickeln, soweit dies nach den Umständen des Einzelfalls möglich ist.

Keine Rundmails!

Nicht selten gehen Abteilungs-Mails zu erkrankten Kollegen herum, die teilweise verbreiten, warum die Arbeitsunfähigkeit vorliegt. Derartige Praktiken verstoßen gegen den Datenschutz, es sei denn, der arbeitsunfähig Erkrankte hat dies ausdrücklich so gewollt, beispielsweise weil er sich für die Anteilnahme an seiner Erkrankung bedanken oder Besuch erhalten möchte. Die Weitergabe entsprechender Informationen ist auf die faktischen Erfordernisse zu beschränken.

Wie lange aufbewahren?

Für die Aufbewahrung der AU-Bescheinigungen gibt es keine ausdrückliche rechtliche Regelung. Somit müssen Sie die Zweckbestimmung ermitteln, die Grundlage für die Aufbewahrung der Unterlagen sein soll. Hier kommt v.a. ein Erstattungsanspruch aus der Lohnfortzahlung im Krankheitsfall gegenüber der Krankenkasse infrage.

In der Regel vier Jahre

Für kleinere Unternehmen mit im Schnitt nicht mehr als 30 Beschäftigten – das betrifft weit über 90 % aller Unternehmen – gilt das Gesetz über den Ausgleich der Arbeitgeber-aufwendungen für Entgeltfortzahlung (Aufwendungsausgleichsgesetz, AAG). Nach diesem Gesetz erhalten Unternehmen einen bestimmten Anteil der Lohnfortzahlung von der zuständigen Krankenkasse erstattet, derzeit bis zu 80 %. Auslöser für den Erstattungsantrag ist die AU-Bescheinigung, ggf. ergänzt um Anschlussbescheinigungen.

Da die Ansprüche mit Ablauf des vierten Kalenderjahres nach Eintritt der Arbeitsunfähigkeit verjähren (§ 6 AAG), können Sie diesen Zeitraum als Richtschnur für die Aufbewahrungsdauer heranziehen. Somit könnten AU-Bescheinigungen aus dem Jahr 2011 mit Ablauf des Jahres 2015 vernichtet werden. Andere Aufbewahrungsregeln gelten für Ärzte: Sie erhalten von den Krankenkassen die Empfehlung, ihr Exemplar der AU-Bescheinigung nach einem Jahr zu vernichten.

Wo aufbewahren?

Da es sich um besonders sensible personenbezogene Daten handelt, sind sie vor unbefugtem Zugriff auch besonders zu schützen. Daher bietet es sich an, AU-Bescheinigungen in der Personalakte in einem gesonderten Umschlag aufzubewahren. Ist die Personalakte hinreichend vor unbefugten Zugriffen geschützt, können Sie hierauf verzichten. Dann muss allerdings anderweitig sichergestellt sein, dass keine unbefugten Zugriffe auf die Unterlagen erfolgen können.

Da viele Unternehmen eigene Akten für die Entgeltabrechnung der Beschäftigten führen, lassen sich AU-Bescheinigungen auch hier aufbewahren. Je nachdem, wer den Erstattungsanspruch für die Lohnfortzahlung im Krankheitsfall gegenüber den Krankenkassen bearbeitet, ist eine sichere Aufbewahrung der AU-Bescheinigungen auch dort möglich. Hier gilt ebenfalls, dass unbefugte Zugriffe durch Dritte zu verhindern sind.

Entsorgung regeln und überwachen

Und nicht zuletzt: Da es sich um Gesundheitsdaten handelt, müssen die AU-Bescheinigungen entsprechend vernichtet werden. Hierfür können geeignete Schredder zum Einsatz kommen. Oder die Entsorgung erfolgt über entsprechende Datentonnen, jeweils gemäß DIN 66399. Für deren Leerung und für die Unterlagenvernichtung muss dann ein Vertrag über Auftragsdatenverarbeitung existieren.

Die wichtigsten Punkte zum datenschutzkonformen Umfang mit Unterlagen, die Gesundheitsdaten enthalten, fasst das Muster einer Arbeitsanweisung [2] zusammen (zu finden unter den Arbeitshilfen).

Eberhard Häcker