Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) informiert auf seiner Website über die datenschutzrechtlichen Anforderungen im Zusammenhang mit sogenannten Fortsetzungserkrankungen von Beschäftigten. Gemeint sind Fälle, in denen eine erneute Krankmeldung möglicherweise auf derselben Ursache beruht wie eine frühere Erkrankung, wodurch arbeitsrechtlich die Entgeltfortzahlung begrenzt, bleiben kann.
Um dies zu beurteilen, greifen Arbeitgeber mitunter auf Gesundheitsdaten der betroffenen Personen, ihrer Beschäftigten zurück: Ein Vorgehen, das datenschutzrechtlich nur unter engen Voraussetzungen zulässig ist.
Gesundheitsdaten unterliegen dem besonderen Schutz des Art. 9 Abs. 1 DSGVO (Datenschutz-Grundverordnung). Eine Verarbeitung ist ausschließlich dann rechtmäßig, wenn sie nach Art. 9 Abs. 2 Buchst. b DSGVO in Verbindung mit § 26 Abs. 3 BDSG (Bundesdatenschutzgesetz) zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist.
Voraussetzung ist stets das Vorliegen konkreter Anhaltspunkte für eine Fortsetzungserkrankung. Eine bloße Vermutung oder pauschale Verdachtsmomente genügen nicht. Vor dem Zugriff auf Gesundheitsdaten ist daher zu prüfen, ob mildere Mittel zur Klärung des Sachverhalts zur Verfügung stehen, beispielsweise durch Rückfragen bei der Krankenkasse oder die Einschaltung des Betriebsarztes.
Einwilligungen von Beschäftigten sind in diesem Zusammenhang mit besonderer Vorsicht zu behandeln. Aufgrund des bestehenden Abhängigkeitsverhältnisses im Arbeitsverhältnis ist regelmäßig davon auszugehen, dass eine Einwilligung nicht freiwillig erfolgt und somit unwirksam ist. Arbeitgeber sollten sich daher nicht auf diese Rechtsgrundlage verlassen.
Besondere Anforderungen gelten auch an die Aufbewahrung und Sicherheit von Gesundheitsdaten. Sie sind strikt getrennt von der übrigen Personalakte aufzubewahren und durch angemessene technische und organisatorische Maßnahmen zu schützen.
Die Daten dürfen nur solange gespeichert werden, wie dies für den jeweiligen Zweck erforderlich ist, und sind anschließend zu löschen. Eine Weitergabe kommt nur in Betracht, wenn sie zur Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich ist (z.B. arbeitsgerichtliche Verfahren).
Fazit
Arbeitgeber sind daher gut beraten, datenschutzkonforme Prozesse für den Umgang mit Fortsetzungserkrankungen zu etablieren.
Dazu gehören
- die Definition klarer Prüfkriterien,
- der Ausschluss unzulässiger Datenerhebungen auf Verdacht,
- die sichere und getrennte Aufbewahrung von Gesundheitsdaten sowie
- die Schulung von Personalverantwortlichen im Umgang mit sensiblen Informationen.
- Die Dokumentation der Entscheidungsprozesse und Löschfristen sollten ebenfalls Teil des Datenschutzmanagements sein.
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz und Compliance-Management?
Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
Weitere Informationen finden Sie auf der Website des LfDI NRW https://www.ldi.nrw.de/Fortsetzungserkrankung
