Ab dem 1. Januar 2023 wurde bei den gesetzlichen Krankenversicherten der bisherige "gelbe Schein" für eine Krankmeldung durch die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) abgelöst. Was es hierbei aus datenschutzrechtlichen Gesichtspunkten zu beachten gilt, haben wir in unserem Newsletter zusammengefasst.
Kurze Darstellung:
Für Mitarbeitende, welche gesetzlich versichert sind, ist zum 01.01.2023 die Pflicht entfallen, dem Arbeitgeber schriftlich eine ärztliche Bescheinigung über die festgestellte Arbeitsunfähigkeit (dem s. g. „gelben Schein“) zukommen zu lassen. Denn das bisherige Verfahren der Ausstellung einer Arbeitsunfähigkeitsbescheinigung (AU) wurde nun durch die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) abgelöst. Ab nun sendet der Versicherte nicht mehr selbst die AU an die Krankenkasse, denn dies geschieht zukünftig nun unmittelbar über den ausstellenden Arzt. Dieser signiert direkt bei der Ausstellung der eAU das Dokument mit seinem elektronischen Arztausweis und sendet es im Anschluss direkt über seine IT-Systeme an die zuständige Krankenkasse. Somit müssen Arbeitgeber nur noch die Krankmeldung elektronisch bei der gesetzlichen Krankenkasse des Mitarbeitenden abrufen. Nun stellen sich jedoch viele Unternehmen die Frage, wie sie dies digital und datenschutzkonform umsetzen können. Doch aufgepasst, die Mitarbeitenden haben auch zukünftig die Pflicht, den Arbeitgeber direkt über ihre krankheitsbedingte Abwesenheit zu informieren.
Muss jede AU einzeln angefragt werden oder werden die Daten automatisch zur Verfügung gestellt?
Die Abfrage der elektronischen Arbeitsunfähigkeitsbescheinigung erfolgt für jeden Mitarbeitenden individuell, einzeln und für einen konkreten Zeitraum. Eine pauschale Anfrage für alle Mitarbeitenden Ihres Unternehmens ist nicht möglich. Viel eher ist für jede Arbeitsunfähigkeitsbescheinigung der aktuelle Zeitraum separat abzufragen.
Was gilt für privatversicherte Beschäftigte?
Für privatversicherte Beschäftigte ist derzeit keine elektronische Arbeitsunfähigkeitsbescheinigung vorgesehen. In diesen Fällen müssen Ihnen Ihre Mitarbeitenden die Krankmeldung weiterhin in Papierform selbst vorlegen.
Welche Besonderheiten ergeben sich für geringfügig Beschäftigte?
Auch bei geringfügig Mitarbeitenden ist eine eAU-Anfrage an die Krankenkasse möglich. Für eine konkrete Abfrage ist die Minijob-Zentrale jedoch nicht zuständig. Daher sollte das Unternehmen hier wissen, bei welcher konkreten Krankenkasse der Minijobber versichert ist.
Ausnahmen von der eAU
Das neue verpflichtende Verfahren der elektronischen Arbeitsunfähigkeitsbescheinigung gilt nicht für:
Zeiten von Rehabilitations- und Vorsorgemaßnahmen, sofern die Leistung nicht von der Krankenkasse bezahlt wird
Privat krankenversicherte Mitarbeitende
Minijobs in Privathaushalten
Fälle, in denen die Feststellung der Arbeitsunfähigkeit durch eine (Zahn-)Arztpraxis im In-bzw. Ausland erfolgt, die nicht an der vertragsärztlichen Versorgung teilnimmt.
Zählt eine Krankmeldung zu den besonderen Kategorien personenbezogener Daten?
Gemäß Art. 4 Abs. Nr. 15 DSGVO sind „Gesundheitsdaten“ personenbezogene Daten, die sich auf körperliche oder geistige Gesundheit von natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Mit diesen Daten kann man somit unmittelbar Rückschlüsse auf den Gesundheitszustand des Betroffenen ziehen. Außerdem gehören Gesundheitsdaten gemäß Art. 9 Abs. 1 DSGVO bekanntermaßen zu den besonderen Kategorien personenbezogener Daten. Hierbei muss man stehts beachten, dass es sich hierbei um besonders sensible Daten mit einer hohen Schutzbedürftigkeit handelt. Somit zählt sowohl eine einfache Krankmeldung, einschließlich einer Arbeitsunfähigkeitsbescheinigung auf Basis einer ärztlichen Untersuchung, zu den Gesundheitsdaten im Sinne der DSGVO.
Rechtsgrundlage
Die gültige Rechtsgrundlage für eine Verarbeitung von Gesundheitsdaten der Mitarbeitenden durch den Arbeitgeber erfolgt gemäß Art. 9 Abs. 2 b DSGVO und §26 Abs. 3 1 BDSG. Denn der Arbeitgeber benötigt diese Daten im Sinne des Beschäftigungsverhältnisses unter anderem zur Lohn-/Gehalts- abrechnung oder zur Prüfung der Erforderlichkeit des Angebots eines BEM-Verfahrens.
Aufbewahrungsfristen
Für die Aufbewahrung von Arbeitsunfähigkeitsbescheinigungen sind keine festen Aufbewahrungsfristen vorgegeben. Eine Aufbewahrung von 3 Jahren wird jedoch in der praktischen Umsetzung als angemessen angesehen.
Was sollte beim Implementieren einer technischen Lösung beachtet werden?
Sollte Ihr Unternehmen nun überlegen, auch für die Krankmeldung der Mitarbeitenden eine technische Lösung einzuführen, sollten vorher auch die datenschutzrechtlichen Aspekte mit in die Planung einbezogen werden.
Ein hohes Schutzniveaus sicherstellen
Da es sich bei den im Rahmen einer Krankmeldung übermittelten Daten um besonders schützenswerte Kategorien personenbezogener Daten gemäß Art. 9 DSGVO handelt, müssen auch die elektronischen Strukturen innerhalb des Unternehmens ein hohes und den sensiblen Gesundheitsdaten angepasstes Schutzniveau nach Art. 32 DSGVO einhalten. Dabei sollte insbesondere auf eine, dem Stand der Technik entsprechende Transport- und Inhaltsverschlüsselung der Daten, geachtet werden. Außerdem sollte weiteren Diensten kein Zugriff auf diese sensiblen Daten gewährt und auch ein Zugriff Dritter sollte hier strickt ausgeschlossen werden.
Grundsätze der Datenverarbeitung
Auch die allgemeinen Grundsätze des Datenschutzes gemäß Art. 5 DSGVO sollten weiterhin gewahrt werden. In diesem Zusammenhang müssen besonders die Grundsätze der Transparenz, der Integrität und der Vertraulichkeit gewahrt werden. Auch um die Integrität und Vertraulichkeit weiterhin gewährleisten zu können, sollte auch der Abruf der Arbeitsunfähigkeitsbescheinigungen so organisiert werden, dass möglichst wenige Personen mit diesen Daten in Berührung kommen und vom Unternehmen der Zugang zu diesen Daten nur zur Aufgabenerfüllung gestattet wird.
Anpassung der datenschutzrechtlichen Dokumentation
Wir empfehlen Ihnen, diese aktuellen Neuerungen zum Anlass zu nehmen und die bisherigen Prozesse rund um die Krankmeldung und Arbeitsunfähigkeit nicht nur anzupassen, sondern auch zu prüfen und neu zu bewerten. Daraus resultierende Änderungen sollten außerdem in dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO festgehalten werden.
Die bisher von Ihnen genutzten Informationspflichten für Mitarbeiter sollten überprüft und ggf. angepasst werden. Im Rahmen einer solchen Aktualisierung könnten die Mitarbeitenden auch gleich auf mögliche Änderungen bei der Mitteilung der Krankmeldung an Arbeitgeber hingewiesen werden.
Auch die Betroffenenrechte nach Art. 12 ff DSGVO müssen im Rahmen einer elektronischen Arbeitsunfähigkeitsmeldung weiterhin gewährleistet werden. Insbesondere gilt dies sowohl für das Recht auf Berichtigung nach Art. 16 DSGVO als auch für das Recht auf Löschung nach Art. 17 DSGVO. Hierbei muss der Arbeitgeber sicherstellen, dass die übermittelten Daten sowohl richtig als auch auf dem neuesten Stand weiterverarbeitet und nach Wegfall der Erforderlichkeit entsprechend gelöscht werden.
Darüber hinaus sollten die Risiken bei diesem Verarbeitungsvorgang mit Hilfe einer „Schwellenwertanalyse“ überprüft und möglicherweise im Anschluss daran dann eine Datenschutz-Folgenabschätzung angefertigt werden.
Es sollte überprüft werden, ob auch innerhalb des Unternehmens ergänzende Maßnahmen definiert und festgelegt werden müssen. Beispielsweise, dass die Information über die abgerufenen Krankmeldungen auch zeitnah der entsprechenden Abteilung mitgeteilt werden. Hierbei sollte jedoch darauf geachtet werden, dass der konkreten Abwesenheitsgrund möglichst jedoch nicht genannt wird. Erfassen Sie Abwesenheiten nur in einer allgemeinen Abwesenheitsliste, so reicht es aus, wenn dort nur zwischen anwesend und abwesend differenziert wird.
Sollte ein Dienstleister eingesetzt werden, beispielsweise durch Verwendung neuer oder Erweiterung einer bereits bestehenden Software, ist an den Abschluss bzw. eine Ergänzung des bisherigen Auftragsverarbeitungsvertrags zu denken. Hierbei sollte vor Abschluss eines Vertrages bereits auf ein passendes Schutzniveaus geachtet werden. Deshalb sollten bei dem beabsichtigten Dienstleister sowohl auf den Unternehmenssitz als auch auf den Serverstandort bei der Speicherung der personenbezogenen Daten geachtet werden. Denn gerade bei der Verarbeitung von Gesundheitsdaten sollte nicht das Risiko, nur ein geringeres Schutzniveau zu erfüllen, eingegangen werden. Wir empfehlen daher, von einer Zusammenarbeit mit einem Dienstleister aus einem Drittland abzusehen.
Sensibilisieren Sie daher die mit den Datenverarbeitungen betrauten Mitarbeitenden und beziehen Sie uns, als Ihren Datenschutzbeauftragten, frühzeitig in Ihre Überlegungen und Planungen mit ein.
Sie sehen also, die Verarbeitung von Gesundheitsdaten ist keine Banalität. Die elektronische Arbeitsunfähigkeitsbescheinigung ist nun zwar da, jedoch sollten Schnellschüsse vermieden werden. Eine möglicherweise voreilige Einführung einer technischen Lösung, nur damit die Mitarbeitenden die Krankmeldungen auch schnell digital bei dem Arbeitgeber melden können, führt in der Regel häufig zu datenschutzrechtlichen Problemen und Risiken für die sensiblen Daten der Mitarbeitenden.
Gerne sind wir Ihnen bei der Umsetzung der oben genannten Punkte behilflich – bitte kontaktieren Sie uns. Auch bei Fragen stehen wir ihnen gerne zur Verfügung. Ihr Team der RKM Data GmbH