Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) zum 1. Januar 2023 wurde der Prozess der Krankmeldung digitalisiert, um sowohl den administrativen Aufwand zu reduzieren als auch den Datenschutz besser zu gewährleisten. Nachfolgend wollen wir die datenschutzrechtlichen Rahmenbedingungen erörtern, die bei der Mitteilung einer Arbeitsunfähigkeit an den Arbeitgeber zu beachten sind, insbesondere in Bezug auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Die eAU und die Pflichten des Arbeitnehmers
Durch das eAU-Verfahren wurde die Kommunikation zwischen Arzt, Krankenkasse und Arbeitgeber digitalisiert. Der Arzt übermittelt die relevanten Informationen zur Arbeitsunfähigkeit eines Arbeitnehmers sicher und direkt an die Krankenkasse, welche der Arbeitgeber dann elektronisch abrufen kann. Diese Daten umfassen keine Diagnosen, sondern nur die für den Krankheitsfall notwendigen Informationen wie den Beginn und die voraussichtliche Dauer der Arbeitsunfähigkeit. Trotz des direkten Informationskanals ist der Arbeitnehmer jedoch weiterhin verpflichtet, den Arbeitgeber über die Arbeitsunfähigkeit und deren Dauer zu informieren, um sicherzustellen, dass notwendige organisatorische Maßnahmen im Betrieb rechtzeitig ergriffen werden können.
Probleme bei der Umsetzung der eAU: Beispiele aus Thüringen und Brandenburg
Ganz so glatt, wie vom Gesetzgeber vorgesehen, läuft es leider noch nicht immer in der Praxis. Ein Fall, der Ende Januar 2023 den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) erreichte, thematisierte z. B. die unzureichende Umsetzung der neuen eAU-Regelungen (vgl. TlfDI, Tätigkeitsbericht für den Berichtszeitraum 2023, S. 73 f.). Der Arbeitgeber des Anfragenden verlangte von seinen Beschäftigten, die Personalverwaltung und den direkten Vorgesetzten per E-Mail zu informieren. Konkret sollten Beginn und voraussichtliche Dauer der Arbeitsunfähigkeit sowie die Information, ob es sich um eine Erst- oder Folgebescheinigung handelt, übermittelt werden, sofern der Arzt keine Arbeitsunfähigkeitsbescheinigung (AU) in Papierform ausgestellt habe. Das Problem bestand damit zum einen darin, dass diese Daten per Vorgabe mittels E-Mail versendet werden sollten. Dies stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO dar, wie der TLfDI in seinem Bericht betonte, da sensible Gesundheitsdaten nur dann per E-Mail übermittelt werden dürfen, wenn eine angemessene Verschlüsselung zum Schutz der Daten vorhanden ist. Ungesicherte E-Mails bieten kein ausreichendes Schutzniveau. Zum anderen muss der direkte Vorgesetzte nur die Dauer der Arbeitsunfähigkeit zur Planung von Vertretungen erfahren, nicht aber weitere Details.
Ein weiterer Fall wurde im Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA) behandelt. Hier beschwerte sich ein Beschäftigter darüber, dass er seine Arbeitsunfähigkeitsdaten per E-Mail an eine externe Stelle, die als „Personalmanagement“ bezeichnet wurde, senden sollte (vgl. LDA Brandenburg, Tätigkeitsbericht für den Berichtszeitraum 2023, S. 81 ff.). Dabei war nicht klar, wer genau hinter dieser Stelle stand, und der Arbeitnehmer äußerte Bedenken hinsichtlich der Sicherheit bei der Übermittlung von Gesundheitsdaten per einfacher E-Mail. Der Beschwerdeführer kritisierte zudem, dass er nicht informiert worden sei, wer konkret die Daten verarbeite und welche technischen Maßnahmen zum Schutz der Daten ergriffen wurden.
Nach einer Untersuchung stellte sich heraus, dass die Verarbeitung der Krankmeldungen tatsächlich durch eine externe Servicegesellschaft erfolgte, die im Rahmen eines Auftragsverarbeitungsvertrags tätig war. Zwar wurden die E-Mails auf dem Transportweg verschlüsselt, aber es gab keine Möglichkeit für die Beschäftigten, eine Ende-zu-Ende-Verschlüsselung zu nutzen, um eine unbefugte Kenntnisnahme zu verhindern. Zudem wurde kritisiert, dass veraltete Verschlüsselungsverfahren verwendet wurden, deren Abschaltung dringend empfohlen wurde.
Das Unternehmen reagierte auf die Beschwerden, indem es die Möglichkeit zur postalischen Übermittlung der Krankmeldungen wieder einführte und ein neues E-Mail-Postfach innerhalb der Unternehmensdomäne bereitstellte, um sicherzustellen, dass die E-Mails direkt beim Arbeitgeber landeten. Auch wurde betont, dass nur berechtigte Mitarbeiter auf die E-Mails zugreifen durften und diese nach dem Abruf der eAU-Daten gelöscht wurden, um die Löschfristen einzuhalten.
Anforderungen an die Übermittlung von Gesundheitsdaten
Die beschriebenen Fälle aus Thüringen und Brandenburg verdeutlichen, dass die Übermittlung von Gesundheitsdaten wie Informationen zur Arbeitsunfähigkeit strengen datenschutzrechtlichen Anforderungen unterliegt. Diese beinhalten:
- Vertraulichkeit und Integrität der Daten: Der Versand von sensiblen Gesundheitsdaten, wie der Arbeitsunfähigkeitsbescheinigung, muss sicher erfolgen. Die Übermittlung per ungesicherter E-Mail ohne Verschlüsselung, ist nicht zulässig, da diese Daten besonders schutzbedürftig sind.
- Transparenz: Die Beschäftigten müssen darüber informiert werden, wer ihre Daten verarbeitet und welche Schutzmaßnahmen ergriffen werden. In Fällen, in denen externe Dienstleister involviert sind, ist sicherzustellen, dass diese im Rahmen eines Auftragsverarbeitungsvertrags tätig werden und strikt an die Weisungen des Arbeitgebers gebunden sind.
- Kommunikationswege: Arbeitnehmer müssen die Möglichkeit haben, ihre Arbeitsunfähigkeit auch auf anderen Wegen mitzuteilen, etwa durch postalische Übermittlung, falls sie Bedenken bezüglich der Datensicherheit bei der elektronischen Übermittlung haben.
- Technische und organisatorische Maßnahmen: Unternehmen müssen sicherstellen, dass sie moderne Verschlüsselungstechnologien einsetzen und veraltete kryptografische Verfahren ausschließen. Zusätzlich sollten klare Löschfristen für die erhobenen Daten definiert und eingehalten werden.
Fazit
Die Einführung der eAU stellt einen wichtigen Schritt zur Digitalisierung im Krankmeldungsprozess dar, bringt aber zugleich datenschutzrechtliche Herausforderungen mit sich. Arbeitgeber sind verpflichtet, den Schutz der sensiblen Gesundheitsdaten ihrer Beschäftigten zu gewährleisten, indem sie sichere Kommunikationswege und transparente Informationen bereitstellen. Die Übermittlung von Arbeitsunfähigkeitsdaten per E-Mail ist grundsätzlich unzulässig, es sei denn, entsprechende Schutzmaßnahmen wie Verschlüsselungen werden implementiert. Zugleich müssen alternative Wege der Datenübermittlung, wie der postalische Versand, angeboten werden. Es liegt in der Verantwortung der einzelnen Stellen, ihre internen Prozesse an die Anforderungen der DSGVO anzupassen, um den Schutz der personenbezogenen Daten ihrer Mitarbeiter zu gewährleisten.
Rolf
30. Dezember 2024 @ 18:03
Man sieht, wie wirklichkeitsfremd die Aufsichtsbehörden sind, da Arbeitgeber ohne die Kenntnis, wann eine Krankheit angefangen hat, die Bescheinigung nicht abrufen können. Bei einer Folgebescheinigung ist aber der Beginn der Erstbescheinigung anzugeben. Ferner gehen an der Pforte abgegebene Zettel gerne verloren, die Briefmarke wird in der Praxis nämlich gerne eingespart. Digitalisierung: Fehlanzeige. – Na, deshalb lieben wir alle den Datenschutz so sehr…