Krankmeldungen sind Alltag im Handwerk – doch beim Umgang mit Gesundheitsdaten gilt Vorsicht. Dieser Überblick zeigt, was Chefs wissen müssen, um DSGVO und BDSG einzuhalten.
Fallen Mitarbeitende krankheitsbedingt aus, müssen Arbeitgeber Lohnfortzahlung leisten oder prüfen, ob Krankengeld durch die Krankenkasse einsetzt. Dafür brauchen sie bestimmte Angaben rund um die Arbeitsunfähigkeit. Gesundheitsdaten sind jedoch besonders sensible Informationen und stehen unter dem strengen Schutz der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Für Handwerksbetriebe bedeutet das: Ein falscher Umgang mit Krankmeldungen kann schnell zu Datenschutzverstößen führen – mit allen rechtlichen Folgen.
Fortsetzungserkrankung
Nach dem Entgeltfortzahlungsgesetz besteht grundsätzlich für sechs Wochen Anspruch auf Lohnfortzahlung. Doch was passiert, wenn mehrere Krankschreibungen hintereinander ausgestellt werden?
Handelt es sich jeweils um dieselbe Erkrankung, spricht man von einer Fortsetzungserkrankung. In diesem Fall wird nicht jedes Mal die Sechswochenfrist neu gestartet, sondern die Fehlzeiten werden addiert. Arbeitgeber müssen also prüfen, ob eine Fortsetzungserkrankung vorliegt und ob sie weiterhin zur Lohnfortzahlung verpflichtet sind.
Um das festzustellen, können Gesundheitsinformationen nötig sein – allerdings nur in einem sehr begrenzten Rahmen.
Welche Daten dürfen Arbeitgeber wirklich abfragen?
Arbeitgeber dürfen laut § 5 Entgeltfortzahlungsgesetz (EntgFG), § 26 BDSG und Art. 9 DSGVO nur solche Daten erheben und speichern, die für die Klärung der Entgeltfortzahlungspflicht zwingend erforderlich sind.
Erlaubt sind insbesondere:
- Vorliegen und Zeitraum der Arbeitsunfähigkeit (Beginn, Ende, voraussichtliche Dauer)
- Ob es sich um eine Erst- oder Folgebescheinigung handelt (Fortsetzungserkrankung)
- Die zuständige Krankenkasse
- Ob ein Arbeitsunfall oder eine Berufskrankheit vorliegt (sofern in der Bescheinigung markiert)
Nicht erlaubt sind dagegen:
- Konkrete Diagnosen oder medizinische Details
- Angaben zu Vorerkrankungen, Behandlungsverläufen oder Therapien
- Informationen über chronische Beschwerden oder zusätzliche Gesundheitsdaten, die nicht unmittelbar relevant sind
Diese Angaben reichen in der Regel aus, um die Lohnfortzahlung korrekt zu prüfen. Alles darüber hinaus ist unzulässig. Arbeitgeber sollten außerdem immer prüfen, ob mildere Alternativen existieren, etwa eine Rückfrage bei der Krankenkasse oder die Einschätzung des Betriebsarztes.
Grenzen der Einwilligung von Beschäftigten
Auch wenn Mitarbeitende freiwillig zusätzliche Diagnosedaten offenlegen möchten – etwa, um Konflikte zu vermeiden – dürfen Arbeitgeber diese Informationen in der Regel nicht speichern. Hintergrund: Eine Einwilligung ist im Arbeitsverhältnis selten wirklich freiwillig, da Beschäftigte schnell unter Druck geraten könnten. Deshalb ist die Verarbeitung solcher Daten rechtlich nicht zulässig.
Aufbewahrung und Sicherheit der Daten
Im Umgang mit Gesundheitsdaten gelten erhöhte Sicherheits- und Vertraulichkeitsstandards.
- Strikte Trennung: Gesundheitsdaten dürfen nicht in der Personalakte oder zusammen mit den AU-Bescheinigungen abgelegt werden, sondern separat und besonders gesichert.
- Schutzmaßnahmen: Betriebe müssen geeignete technische und organisatorische Maßnahmen treffen, um eine unbefugte Einsichtnahme auszuschließen.
- Speicherdauer: Daten dürfen nur solange aufbewahrt werden, wie dies für die Prüfung der Entgeltfortzahlung erforderlich ist.
Wie lange dürfen Gesundheitsdaten gespeichert werden?
Hier greifen verschiedene rechtliche Grundlagen:
- Nach DSGVO dürfen Daten nur so lange gespeichert werden, wie der Zweck besteht (Prüfung der Entgeltfortzahlung).
- Nach dem EntgFG endet der Zweck, sobald die Entgeltfortzahlungspflicht geklärt ist.
- Daneben sind gesetzliche Verjährungsfristen zu beachten: Ansprüche aus dem Entgeltfortzahlungsrecht verjähren grundsätzlich nach drei Jahren (§ 195 BGB).
- Zusätzlich können tarifliche oder arbeitsvertragliche Ausschlussfristen gelten, die oft kürzer sind (z. B. drei bis sechs Monate).
Wichtig: Ein bloßer Verdacht auf Rechtsstreit oder Auffälligkeiten im Krankheitsmuster rechtfertigt keine längere Speicherung. Nur im Fall eines tatsächlichen Verfahrens dürfen die Daten für dessen Dauer genutzt werden.
Weitergabe an Dritte: nur sehr eingeschränkt möglich
Gesundheitsdaten dürfen grundsätzlich nicht weitergegeben werden – auch nicht an Vorgesetzte im eigenen Betrieb, wenn dies nicht zwingend erforderlich ist.
Ausnahmen gibt es nur, wenn Arbeitgeber:
- sich gegen geltend gemachte Ansprüche verteidigen müssen,
- ihre Rechtsvertretung einschalten (z. B. interne oder externe Anwälte),
- oder den Arbeitgeberverband mit der rechtlichen Vertretung beauftragen.
Auch hier gilt: Es dürfen ausschließlich die notwendigen Daten weitergegeben werden, nicht mehr.
Die wichtigsten Regeln im Überblick
- Nur das erforderliche Minimum an Daten erheben (z. B. Dauer der AU, Erst- oder Folgebescheinigung, Krankenkasse).
- Keine Diagnosen oder medizinischen Details anfordern oder speichern.
- Bei Fortsetzungserkrankung prüfen, aber nicht ohne Anhaltspunkte Daten speichern.
- Mildere Mittel nutzen: Rückfragen bei Krankenkasse oder Betriebsarzt.
- Strenge Trennung und sichere Aufbewahrung – niemals in der Personalakte.
- Speichern nur solange wie nötig, Löschung nach Wegfall des Zwecks.
- Keine Weitergabe innerhalb des Betriebs oder nach außen – Ausnahme nur bei zwingender rechtlicher Notwendigkeit.
- Freiwillige Einwilligungen von Beschäftigten in der Regel unzulässig.
Ersparen Sie sich unnötigen Ärger
Ob kleine Werkstatt oder mittelgroßer Betrieb: Wer mit Krankmeldungen sensibel und rechtssicher umgeht, schützt nicht nur die Gesundheit seiner Mitarbeitenden, sondern auch den eigenen Betrieb vor teuren Folgen durch Datenschutzverstöße.
Die Handreichung der LDI NRW bietet Handwerkschefs dabei praxisgerechte Unterstützung. Klar ist: Nur wer so wenig Daten wie möglich erhebt, sie sicher verwahrt und zeitnah löscht, handelt DSGVO-konform – und spart sich unnötigen Ärger. avs