Wer sich angesichts der Überschrift fragt, ob die datenschutz nord Gruppe neben den Bereichen Informationssicherheit und Compliance zusätzlich auch noch das Lebensmittelrecht für sich zur Aufnahme ins Beratungsportfolio entdeckt hat, sei gleichermaßen beruhigt wie vergewissert: Dem ist nicht so. Aber es stellt sich aus bestimmten Anlässen (wird weiter unten erläutert) die Frage, wie lange Krankmeldungen (AU-Bescheinigungen) überhaupt Gültigkeit besitzen oder – besser vielleicht – wie lange sie verwertbar sind.
„Löschen an sich klingt gut …“
Doch von vorne: Befasst man sich im Unternehmen mit dem Themenkomplex des Löschens und Archivierens von Daten, so ist in der Regel der Personalbereich ein dankbarer erster Anlaufpunkt, um sich „auszuprobieren“ – wobei dieses Probieren weniger im Sinne von „Jugend forscht“ denn mehr als ein mit-der-Materie-warm-werden verstanden werden möchte. Es geht darum, sich in Abläufe und Prozesse – die berüchtigten und allseits bekannten Verarbeitungstätigkeiten – hinein zu denken und diese in den passenden Zusammenhang zu setzen.
Denn oftmals ist es nicht (allein) damit getan, einen Stapel alter Dateien in den virtuellen Papierkorb zu verschieben und mit einem bestätigenden Klick aus dem für die Nutzerinnen und Nutzer sichtbaren Bereich der Festplatte verschwinden zu lassen. Es gehört vor allem dazu, den beabsichtigten Zweck oder auch nur die schieren Möglichkeiten, die sich dem Betrachter aus dem „Anfassen“ (will sagen: Verarbeiten) von Informationen eröffnen, zu erkennen, zu hinterfragen und schließlich (datenschutzrechtlich) zu bewerten.
„… aber wir brauchen die Sachen!“
So hat es auch das Bundesarbeitsgericht (BAG) in seinem Urteil vom 25. April 2018 (Az. 2 AZR 6/18) exerziert, in dem es eine Aussage zur Haltbarkeit bzw. Verwendbarkeit von Krankmeldungen im Unternehmen getroffen hat. Betrachtet man diese scheinbar harmlosen und recht simpel gestalteten, früher gelben, heute rosafarbenen Scheine, mag man sich fragen, was daran eigentlich so spannend sein soll. Etwas deutlicher wird dies, wenn man sich vor Augen führt, was mit den Bescheinigungen im Einzelnen angestellt werden kann. Denn egal, ob ordentlich kündbar oder (wie in dem o. g. Fall zum Urteil aus dem Jahr 2018) nur noch außerordentlich – Krankheit kann jeden treffen und in einem Arbeitgeber den Wunsch nähren, diese Person loszuwerden.
Zu diesem Zweck ist die Chefin bzw. der Chef nicht nur gut beraten, belegbare Gründe dafür anführen zu können, sie bzw. er ist dazu sogar verpflichtet: § 1 Abs. 2 Satz 1, 4 Kündigungsschutzgesetz (KSchG) verlangt vom Verantwortlichen, eine Prognose anzustellen. Diese muss belegen, dass zum Zeitpunkt der Kündigung Tatsachen vorliegen, die es erwarten lassen, dass die betroffene Person auch in naher Zukunft wegen Krankheit ihre Arbeit in erheblichem Maße nicht wird erledigen können.
Damit dieser Blick in die Zukunft auch valide ausfällt, ist im Vorhinein ein angemessen langer Zeitraum bisheriger Erkrankungen zu betrachten. Aber wie lange genau? Und was heißt hier angemessen? Es bedeutet bspw., dass u. a. danach zu unterscheiden ist, ob es sich im Einzelfall um häufige Kurzzeiterkrankungen, eine Langzeiterkrankung oder eine dauerhafte Arbeitsunfähigkeit des Beschäftigten handelt. So auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem im Oktober 2021 veröffentlichten 3. Tätigkeitsbericht zur DSGVO.
Im Einzelfall: Drei Jahre
Da ein solches Verfahren stets eine sorgfältige Abwägung im Einzelfall erfordert, verbietet sich eine strikt schematische Festlegung bestimmter Zeiträume. Als Orientierung kann aber – wie hier vor Gericht – eine Dauer von drei Jahren herangezogen werden, innerhalb derer der Arbeitgeber die Krankmeldungen seines Beschäftigten „stapeln“ und auswerten darf. Dieser Maßstab dürfte ebenfalls auf Sachverhalte, in denen das KSchG nicht zur Anwendung kommt (so etwa bei Kleinstbetrieben, vgl. § 23 Abs. 1 S. 2, 3 KSchG), zu übertragen sein.
Die besagte Entscheidung verdeutlicht wieder einmal sehr anschaulich die Verquickung von Arbeitsrecht und Datenschutzrecht. Hier kann als Datenschutz-Fachkraft punkten, wer in dieser heiklen Situation die Belange von beiden Seiten – Beschäftigte wie Arbeitgeber – zu würdigen und akkurat abzuwägen weiß.