Gesundheitsdaten bei Fortsetzungserkrankung als datenschutzrechtliche Herausforderung

Bei einer Fortsetzungserkrankung entfällt die Pflicht zur Lohnfortzahlung, wenn die neue Erkrankung mit der vorherigen in einem Zusammenhang steht.
Kategorien:
, ,
Bild von Marcus Belke

Marcus Belke

CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.

Die datenschutzrechtliche Bewertung von Gesundheitsdaten im Arbeitsverhältnis zählt zu den sensibelsten Aspekten moderner Compliance-Praxis. Ein aktueller Anlass zur vertieften Auseinandersetzung ist die Veröffentlichung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zur sogenannten Fortsetzungserkrankung. Im Zentrum steht die Frage, ob und in welchem Umfang ein Arbeitgeber berechtigt ist, gesundheitsbezogene Informationen von Beschäftigten zu erheben oder einzufordern, wenn der Verdacht besteht, dass mehrere Krankheitszeiträume miteinander zusammenhängen und daher keine neue Entgeltfortzahlung ausgelöst wird.

Gesundheitsdaten und ihre Schutzbedürftigkeit

Gesundheitsdaten unterfallen gemäß Art. 9 Abs. 1 DSGVO den besonderen Kategorien personenbezogener Daten. Sie dürfen grundsätzlich nicht verarbeitet werden, es sei denn, ein spezieller Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO greift. Im Arbeitsverhältnis kann eine solche Verarbeitung unter anderem durch Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG legitimiert sein, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist.

Die Formulierung „erforderlich“ ist dabei keine bloße Formalität: Sie verlangt eine datenschutzrechtliche Abwägung im Einzelfall. Arbeitgeber dürfen also nicht pauschal die Vorlage medizinischer Unterlagen verlangen oder eigene Diagnosen treffen lassen. Sie  müssen die Verhältnismäßigkeit der Maßnahme begründen können.

Fortsetzungserkrankung als Prüfstein datenschutzkonformer Praxis

Der Begriff der Fortsetzungserkrankung stammt aus dem Entgeltfortzahlungsrecht (§ 3 Abs. 1 Satz 2 EFZG). Danach entfällt die Pflicht zur Lohnfortzahlung, wenn ein Arbeitnehmer erneut erkrankt, die neue Erkrankung aber mit der vorherigen in einem ursächlichen Zusammenhang steht und der Sechs-Wochen-Zeitraum bereits ausgeschöpft ist. Ob ein solcher Zusammenhang besteht, bleibt häufig unklar. Arbeitgeber tragen in einem arbeitsgerichtlichen Streit die Darlegungs- und Beweislast für das Fortbestehen des ursächlichen Zusammenhangs.

Genau an dieser Stelle entstehen datenschutzrechtliche Spannungen: Um ihrer Beweislast nachzukommen, verlangen Arbeitgeber nicht selten eine medizinische Stellungnahme. Etwa vom behandelnden Arzt, vom Betriebsarzt oder über die Krankenkasse. Die LDI NRW weist jedoch darauf hin, dass solche Maßnahmen mit einem erheblichen Eingriff in die Rechte der betroffenen Beschäftigten verbunden sind und daher nur in besonders begründeten Ausnahmefällen zulässig sein können.

Die Rolle der Mitwirkungspflicht der Beschäftigten

Einen wesentlichen Impuls für die Praxis gibt die Entscheidung des Bundesarbeitsgerichts vom 18. Januar 2023 (Az. 5 AZR 93/22). Danach obliegt es dem Arbeitnehmer, konkret und nachvollziehbar darzulegen, dass zwischen den Krankheitszeiträumen kein Zusammenhang besteht. Diese abgestufte Darlegungslast verpflichtet ihn unter Umständen, behandelnde Ärztinnen und Ärzte von der Schweigepflicht zu entbinden. 

Die datenschutzrechtliche Relevanz dieser Entscheidung ist erheblich: Während Arbeitgeber selbst nur eingeschränkt zur Datenerhebung berechtigt sind, trifft die Beschäftigten eine prozessuale Obliegenheit zur Offenlegung. Es ist ein Spannungsverhältnis, das Compliance- und Datenschutzbeauftragte im Blick behalten müssen.

Lese-Tipp: BAG-Urteil zum Streit um Fortsetzungserkrankung: Warum die Vorlage einer AU nicht mehr alleine ausreicht

Datenschutzrechtliche Schutzmaßnahmen in der Praxis

Unabhängig davon, auf welchem Weg die Daten gewonnen werden, gelten für Gesundheitsdaten stets erhöhte Anforderungen an technische und organisatorische Schutzmaßnahmen. Dazu zählt insbesondere die getrennte Aufbewahrung von Gesundheitsdaten, der Ausschluss unbefugter Zugriffe durch Rollen- und Rechtekonzepte sowie der Einsatz von Verschlüsselung. Diese Maßnahmen sind nicht bloß empfohlene Best Practice, sondern gesetzlich zwingend vorgeschrieben, etwa nach Art. 32 DSGVO.

Darüber hinaus empfiehlt sich eine frühzeitige dokumentierte Risikoabwägung. Insbesondere wenn der Arbeitgeber eine betroffene Person zur Offenlegung drängen oder auf eine Auskunft der Krankenkasse zurückgreifen möchte. Diese Maßnahmen müssen im Verzeichnis von Verarbeitungstätigkeiten beschrieben und durch Datenschutz-Folgenabschätzungen (DSFA) flankiert sein, wenn die Risiken als hoch eingestuft werden.

Empfehlungen für Datenschutz- und Complianceverantwortliche

In der betrieblichen Praxis ist es essenziell, dass Datenschutz- und Compliancebeauftragte die rechtlichen Grenzen und Möglichkeiten bei Verdacht auf Fortsetzungserkrankungen aktiv mitgestalten. Die enge Kooperation mit HR-Abteilungen ist hierbei unverzichtbar. Insbesondere sollten standardisierte Verfahrensbeschreibungen entwickelt werden, die Kriterien für eine zulässige Erhebung definieren, alternative milde Mittel (etwa Stellungnahmen des Betriebsarztes) berücksichtigen und den Zugriff auf besonders schützenswerte Daten strikt regeln.

Darüber hinaus sollten interne Schulungen sicherstellen, dass Personalverantwortliche nicht vorschnell oder aus Routine Gesundheitsdaten erheben oder anfordern. Auch eine strukturierte Dokumentation von Einzelfällen, einschließlich der Erwägungen zur Erforderlichkeit und Verhältnismäßigkeit, ist dringend anzuraten. Nicht zuletzt im Hinblick auf mögliche Prüfungen durch Aufsichtsbehörden.

Datenschutzrechtliche Beurteilung der Fortsetzungserkrankung

Die datenschutzrechtliche Beurteilung der Fortsetzungserkrankung verlangt ein differenziertes Vorgehen. Arbeitgeber müssen sorgfältig zwischen arbeitsrechtlichem Interesse an Kostenkontrolle und dem datenschutzrechtlichen Schutzinteresse der Beschäftigten abwägen. Datenschutz- und Compliancebeauftragte nehmen dabei eine zentrale Rolle ein: Sie sorgen nicht nur für die rechtssichere Gestaltung der Prozesse, sondern schützen auch die Grundrechte der Beschäftigten. Es ist ein Balanceakt, der Fingerspitzengefühl und rechtliche Präzision gleichermaßen erfordert.

Link-Tipp: Gesundheitsdaten von Beschäftigten: Das dürfen Arbeitgeber*innen tun und wissen

Marcus Belke ist CEO von 2B Advice sowie Jurist und IT-Experte für Datenschutz und digitale Compliance. Er schreibt regelmäßig über KI-Governance, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge