Datenschutz bei Krankheit von Kollegen: Das müssen Unternehmen bei der Krankmeldung wissen

Letztes Update:
03
.
02
.
2023
Lesezeit:
0
Min
Krankheitsbedingte Ausfälle in Unternehmen sind nichts Ungewöhnliches. Um mit den sensiblen Gesundheitsdaten von Mitarbeiter:innen gesetzeskonform umzugehen, sollten Sie folgende Hinweise beachten.
Datenschutz bei Krankheit von Kollegen: Das müssen Unternehmen bei der Krankmeldung wissen
Die wichtigsten Erkenntnisse
  • Arbeitgeber dürfen nur notwendige Gesundheitsdaten erheben und speichern.
  • Kopien von Krankmeldungen sind unzulässig und müssen fachgerecht entsorgt werden.
  • Die Nutzung von WhatsApp für Krankmeldungen widerspricht dem Datenschutz.
  • Krankmeldungen dürfen nur mit Einwilligung der betroffenen Person kommuniziert werden.
  • Mitarbeiter müssen regelmäßig Datenschutzschulungen durchlaufen.

Die Einhaltung der DSGVO gilt auch bei Krankheitsfällen von Mitarbeiter:innen. Bei der innerbetrieblichen Kommunikation und Handhabung persönlicher Daten müssen Arbeitgeber:innen einige wichtige Voraussetzungen erfüllen. 
 

Arbeitsunfähigkeitsbescheinigung: DSGVO-konformer Umgang mit Krankschreibungen 

Im Laufe der Jahre haben Unternehmen aus den unterschiedlichsten Gründen eine große Anzahl von Daten ihrer Mitarbeiter:innen gesammelt. Zum Teil aus Verwaltungszwecken oder zur Organisation des Betriebsalltags. Laut Art. 13 und Art. 14 DSGVO sind sie aber dazu verpflichtet anzugeben, welche Daten ihrer Angestellten erhoben, beziehungsweise verarbeitet werden. Allgemeine personenbezogene Daten sind laut Art. 4 Nr. 1 DSGVO zum Beispiel: 

  • Demografische Daten wie Alter, Geschlecht, Geburtsdatum. 
  • Kennnummern wie vom Personal- oder Sozialversicherungsausweis. 
  • Bankdaten wie Kreditkarten- oder Kontonummer. 

Eine weitere Kategorie stellen hier die besonders schutzwürdigen persönlichen Daten dar. Zu ihnen gehören neben Angaben wie die zu religiöser oder sexueller Orientierung auch die Gesundheitsdaten. Personenbezogene Daten beider Kategorien dürfen nur so lange gespeichert werden, bis der Zweck ihrer Erhebung erfüllt ist. So wird im Falle eines ärztlichen Attests dem Datenschutz entsprochen, wenn dieses nur so lange aufbewahrt wird, bis Ansprüche der Arbeitnehmer:in auf beispielsweise Krankengeld abgegolten sind.  
Neben Begründung und Dauer der Erhebung von persönlichen Daten sind auch ihre Aufbewahrung und der Umgang mit ihnen entscheidend. So gilt für Krankmeldungen, die dem Datenschutz entsprechend behandelt werden: 

  • Kopien von Arbeitsunfähigkeitsbescheinigungen sind nicht zulässig. 
  • Die Entsorgung muss fachgerecht ausgeführt und überwacht werden. 
  • Informationen zu Gesundheitsdaten- oder status der betroffenen Mitarbeiter:innen dürfen nicht an Dritte weitergegeben werden. 
  • Die Nutzung von WhatsApp für die Übermittlung einer Krankmeldung widerspricht dem Datenschutz-Gesetz. 

Datenschutzschulungen im Unternehmen

Datenschutz kann in Unternehmen nur so gut umgesetzt werden, wie die Mitarbeiter über das Thema informiert sind. Um auch bei dem Thema "Krankheit von Mitarbeitern" zu jeder Zeit datenschutzkonform zu agieren, sollten Ihre Mitarbeiter eine regelmäßige Datenschutzschulung durchlaufen.

Datenschutz bei Krankmeldung: Welche Informationen dürfen Betriebe einfordern?

Auch im Falle einer Krankmeldung muss der Datenschutz nach DSGVO also eingehalten werden. Dennoch ist es von Vorteil zu wissen, welche Angaben Arbeitgeber:innen einfordern dürfen.  

Generell haben Unternehmen nach § 32 Abs. 1 S. 1 BDSG ein berechtigtes Interesse an der genauen Ermittlung von Fehl- bzw. Abwesenheitszeiten ihrer Angestellten. Dies gilt sowohl für Krankheitsfälle als auch für ein unentschuldigtes Fernbleiben. Arbeitnehmer:innen sind in diesem Fall laut § 5 Entgeltfortzahlungsgesetz (EntgFG) dazu verpflichtet, der arbeitgebenden Instanz die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Beginnt der normale Arbeitstag also um 8 Uhr morgens, wäre eine Krankmeldung um 13 Uhr ein Grund zur Abmahnung. Zudem müssen Arbeitnehmer:innen ab dem 3. Krankheitstag ein ärztliches Attest einreichen. Dieses muss lediglich über die Dauer des Fernbleibens vom Arbeitsplatz informieren – der genaue Grund ist gesetzlich nicht erforderlich. Durch individuelle Vereinbarungen im Arbeitsvertrag kann jedoch festgelegt werden, dass ein Attest noch vor dem Ablauf von 3 Tagen vorgelegt werden muss. Doch auch die Frage, wer in einem Unternehmen alles über die Krankheit eines Teammitglieds informiert werden darf, drängt sich oft auf. Das ist beispielsweise der Fall, wenn es um eine passende Vertretung geht. 

Krankmeldung & Datenschutz: Wie darf der Chef die Erkrankung an Kolleg:innen kommunizieren?

Wir wissen nun, dass Krankmeldungen seitens der Geschäftsverwaltung mit besonderer Sorgfalt aufbewahrt und rechtzeitig gelöscht werden müssen. Doch wie verhält es sich mit dem Datenschutz am Arbeitsplatz bei Krankmeldungen unter den Kolleg:innen? Wenn ein Teammitglied ausfällt, müssen Abläufe verändert oder Zuständigkeiten auf andere Kolleg:innen übertragen werden. Welche Informationen dürfen Arbeitgeber:innen oder die Personalabteilung aber in diesem Fall an die Mitarbeiter:innen weitergeben? 

Da Krankmeldungen oder Arbeitsunfähigkeitsbescheinigungen nach DSGVO etwas über den Gesundheitszustand einer Person aussagen, gehören sie der Kategorie der besonderen personenbezogenen Daten an. Ob auch der bloße Hinweis auf die Erkrankung von Mitarbeiter:innen im Betrieb bereits gegen den Datenschutz verstößt, kann durch Art. 4 Nr. 15 DSGVO beantwortet werden. Demnach gehören in die Kategorie Gesundheitsdaten alle Angaben, die erkennen lassen, in welchem gesundheitlichen Zustand sich eine Person befand, zurzeit befindet oder befinden wird. Dies bedeutet also, dass auch die Mitteilung über die Erkrankung von Angestellten als problematisch anzusehen ist. Im Krankheitsfall kann dem Datenschutz bei Krankmeldungen von Kolleg:innen zwar Genüge getan werden, wenn: 

  • Die betroffene Person einwilligt, dass andere Angestellte über ihren Gesundheitszustand informiert werden. 
  • Eine solche Verarbeitung zur Erfüllung der arbeitsvertraglichen Verpflichtungen erforderlich ist. 

Eine Aussage wie „Herr X fällt diese Woche aus gesundheitlichen Gründen aus, ich vertrete ihn so lange“ gegenüber Geschäftskund:innen oder Kolleg:innen ist jedoch datenschutzrechtlich nicht zulässig. 
  
Wenn es um den Datenschutz bei einem Fernbleiben aufgrund von Urlaub oder Krankheit geht, müssen sich Unternehmen also an die gültigen gesetzlichen Vorschriften halten. Denn gerade die Verarbeitung von Gesundheitsdaten von Mitarbeiter:innen gehören zu den sensiblen persönlichen Informationen und sind deshalb besonders schützenswert. 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!