„Vereinfachung“ der Krankmeldung nach § 5 EntgFG seit 01.01.2023 – aus eins mach zwei
Seit 2023 ist für gesetzlich versicherte Mitarbeiter im Normalfall die Pflicht entfallen, dem Arbeitgeber eine ärztliche Bescheinigung über die festgestellte Arbeitsunfähigkeit („Gelber Krankenschein“) zukommen zu lassen. Ob das nun eine Vereinfachung darstellt, liegt im Auge des Betrachters. Denn Arbeitnehmer müssen sich weiterhin ärztlich krankschreiben lassen und ihren Arbeitgeber über Arbeitsunfähigkeit und die erwartete Dauer benachrichtigen. Für diese Benachrichtigung gibt es nunmehr zwei Wege, statt bisher nur einen. Viele Personalabteilungen fragen sich jetzt, wie sie dies (digital) datenschutzkonform ausgestalten können.
Grundsätzlich fällt eine Krankmeldung unter die besonders geschützten Kategorien personenbezogener Daten aus Art. 9 Abs. 1, Art. 4 Nr. 15 DSGVO, da sie Rückschlüsse auf die Gesundheit einer Person zulässt. Die Rechtsgrundlage der Datenverarbeitung ist daher Art. 6 Abs. 1 b), c), Art. 9 Abs. 2 b) DSGVO, mit dem Zusatz für Personal: § 26 BDSG. Zur Erleichterung der Verarbeitung besonderer Datenkategorien ist hier § 26 Abs. 3, Satz 1 zu beachten, der die Rechtfertigung vereinfacht. Wir brauchen keine Einwilligung oder Vertragsänderung, weil der Arbeitgeber diese Daten unter anderem zur Lohnabrechnung, oder zur Prüfung der Erforderlichkeit des Angebots eines BEM-Verfahrens § 167 Abs. 2 SGB IX benötigt.
Bei der Umsetzung dieser Gesetzesänderung gilt es dreierlei zu beachten: erstens den weiter bestehenden schriftlichen Meldeweg, zweitens den zusätzlichen neuen Meldeweg und drittens die neue Informationspflicht.
1. Der alte Meldeweg musste schon immer dem besonderen Schutzbedürfnis der Gesundheitsdaten nach Art. 9 DSGVO technisch und organisatorisch (TOM) gerecht werden. Das war einfach, weil die Meldung schriftlich erfolgt. Ein Briefumschlag „an die Personalabteilung“ reicht. Dieser Weg bleibt zusätzlich, denn er wird weiter für freiwillig Versicherte, für Tätigkeitsverbote, für „Kind krank“, für Auslandsaufenthalte etc. benötigt.
2. Der neue Meldeweg erfordert kein Schriftstück mehr, da der Mitarbeiter nur noch die Information, dass er arbeitsunfähig ist, sowie eine Prognose zur Dauer mitteilen muss. Dafür würde ein Telefonat ausreichen, das hat aber für beide Seiten oft den Makel, dass es nicht automatisch dokumentiert wird und nur zu den Sprechzeiten durchführbar ist. Ein Brief ist vielen zu langsam.
Falls Sie die Daten deshalb digital übermitteln möchten, müssen Sie, dem Stand der Technik entsprechend, während Transport, Speicherung und Gebrauch („at transit“, „at rest“ und „in use“) verschlüsselt oder anderweitig gesichert werden, sodass ein Zugriff Dritter ausgeschlossen werden kann. Eine Privatmail scheidet damit regelmäßig als vorgeschriebener Weg aus, darf aber freiwillig von Ihrem Personal genutzt werden, solange Sie zusätzlich einen geschützten Weg, anbieten. Sollten Sie betriebliche E-Mail-Konten haben, sind diese zumeist geschützt und sie können nach Rücksprache mit Ihrem Datenschutzbeauftragten (DSB) in der Regel zur Krankmeldung verwendet werden. WhatsApp ist immer noch verboten, aber seriöse Messenger, wie Threema, Signal kommen in Frage.
Wie immer sollten Sie den Einsatz von digitalen Dienstleistern mit Ihrem DSB besprechen, da dabei deren Standort und Verflechtung zu beachten sind und sensible Daten in der Regel nicht in Drittstaaten, ohne sicheren Datenschutz gelangen sollten (z.B. Vereinigte Staaten). Wenn Sie einen Dienstleiter als Auftragsverarbeiter benötigen, sollten Sie den entsprechenden Auftragsverarbeitungsvertrag vorab von Ihrem DSB prüfen lassen und dann natürlich abschließen.
Wenn sie doch einen potenziell unsicheren Dienst, beispielsweise aus den USA nutzen möchten, ist es notwendig, dass Sie erhöhten Schutz- und Begründungsaufwand betreiben und eine Datenschutzfolgeabschätzung, speziell für das Recht unsicherer Drittländer (TIA) durchführen.
Zum Dritten ändern sich Ihre Informationspflichten. Der Transparenzgrundsatz aus Art. 5 Abs. 1 a) i.V.m. Art. 14 DSGVO verlangt von Ihnen, dass Sie dem Mitarbeiter mitteilen, wenn Sie Daten über Ihn nicht bei Ihm direkt, sondern auf Umwegen künftig bei der Krankenkasse erheben. Sie müssen also (a) Ihre Datenschutzerklärung für neue Mitarbeiter ergänzen und (b) das bestehende Personal einmalig informieren, dass Sie sich die Bestätigung der Krankmeldung selbst von der Krankenkasse besorgen.
Bitte achten Sie darauf, dass Sie den Arbeitnehmern mitteilen, dass er Ihnen keine Diagnose mitteilen muss und Sie für gegenwärtiges Personal von der Krankenkasse im Gegensatz zur alten Bescheinigung nicht mehr erfahren, welcher Arzt ihn krankgeschrieben hat.
Wenn Sie als Vorgesetzter trotzdem gerne wissen würden, was Ihr Mitarbeiter hat und wie es ihm geht, hätten Sie durch die Pflicht einer telefonischen Krankmeldung eine höhere Chance, das freiwillig und damit legal zu erfahren. Kollegen, die privat miteinander verkehren, dürfen in Pausen solche Informationen ebenfalls austauschen. Bitte beachten Sie aber, dass Sie solche freiwilligen Daten in der Regel nicht dienstlich speichern oder weiter tragen dürfen.
Eine Information ihrer Mitarbeiter könnte so aussehen:
Liebe Kollegen,
wie Ihr sicher bereits mitbekommen habt, ist seit 01.01.2023 ein neues Verfahren zum elektronischen Abruf der Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) verpflichtend.
Daraus ergibt sich folgender Ablauf gemäß § 5 EntgFG:
- Ihr erhaltet von Eurem Arzt nur noch eine Ausfertigung der AU-Bescheinigung für Eure Unterlagen.
- Meldet Euch (weiterhin) unverzüglich telefonisch oder schriftlich bei uns und teilt eure Arbeitsunfähigkeit und deren voraussichtliche Dauer mit. Kurznachrichtendienste (Messenger), wie WhatsApp, sind grundsätzlich nicht zur Mitteilung an den Arbeitgeber geeignet.
- Die Informationen für uns und die Krankenkasse werden vom Arzt elektronisch an die Krankenkasse übermittelt (eAU).
- Wir oder unser Steuerberater rufen diese Informationen direkt bei der Krankenkasse ab.
Sie sollten als Unternehmen die Neuerung zum Anlass nehmen, ihr bisheriges Verfahren zu überprüfen und neu zu bewerten. Insbesondere sollten Sie überdenken, wie sie eine zügige Verarbeitung gewährleisten können und welche Abteilungen wirklich informiert werden müssen. Wie immer gilt der Grundsatz der Datenminimierung. Es dürfen nur so viele Personen diese Daten verarbeiten, wie nötig. Stimmen die E-Mail-Verteiler? Bitte prüfen Sie, ob es außerhalb des Personalbüros Listen oder andere Kommunikation gibt, in die fälschlicherweise „krank“ statt abwesend und ggf. noch die voraussichtliche Dauer steht. Sie müssen dieses Verfahren im Verarbeitungsverzeichnis dokumentieren und dort Kriterien hinterlegen, wann die Daten nicht mehr erforderlich sind und daher gelöscht werden.
Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 2023
