Elektronische Arbeitsunfähigkeitsbescheinigung (eAU) und Datenschutz

18.01.2023. 13:07

 

Ab dem 1.1.2023 ist der Abruf von AU-Daten bei den Krankenkassen für Arbeitgeber verpflichtend. Arbeitnehmer müssen ihrem Arbeitgeber von da an auch keine AU-Bescheinigung mehr vorlegen. Der Arbeitnehmer hat natürlich weiterhin die Pflicht, dem Arbeitgeber seine Arbeitsunfähigkeit zu melden und diese spätestens nach dem dritten Tage ärztlich feststellen zu lassen (§ 5 EFzG).

Ein regelmäßiger oder pauschaler Abruf von eAU-Daten durch Arbeitgeber ist jedoch nicht zulässig. Die AU-Bescheinigungen (Erst- und Folgebescheinigungen) können nur individuell für den jeweiligen Arbeitnehmer angefordert werden.

Weitergehende Hinweise findet man hierzu auf der Seite der Bundesvereinigung der Deutschen Arbeitgeberverbände, welche eine FAQ-Seite online gestellt, die auch auf datenschutzrechtliche Aspekte eingeht.

Seitens der Datenschutzaufsichtsbehörden hat der Landesbeauftragte für den Datenschutz Niedersachsen ein Papier mit wichtigen Hinweisen zum Datenschutz in diesem Zusammenhang veröffentlicht. Es lohnt sich hier einen Blick reinzuwerfen.

Die Hinweise richten sich sowohl an Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO als auch an Betroffenen (Art. 4 Nr. 1 DSGVO) Arbeitnehmer und Arbeitnehmerinnen.

Dem LfD ist es wichtig, an dieser Stelle darauf hinzuweisen, dass bei der Umsetzung des Verfahrens stets Artikel 5 Absatz 1 lit. c) DSGVO (Grundsatz der „Datenminimierung“) sowie Art. 5 Abs. 1 lit. e) DSGVO (Grundsatz der „Speicherbegrenzung“) zu beachten sind.
Daneben ist bei der Einführung einer digitalen Personalakte darauf zu achten, dass sich der Verantwortliche – ausgerichtet an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten – mit den bei der Verarbeitung bestehenden Gefahren und Risiken auseinanderzusetzen habe (vgl. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO).
Der Verantwortliche  hat auch geeignete technische und organisatorische Sicherungsmaßnahmen zu ergreifen, um ein der jeweiligen Verarbeitungstätigkeit angemessenes Schutzniveau umzusetzen. Bei Datenübertragungen in Zusammenhang mit dem Abrufverfahren „eAU“ sind z.B. geeignete Schutzmaßnahmen zu treffen, hierzu zählt die Verschlüsselungen der besonderen Kategorien der personenbezogenen Daten im Sinne von Artikel 9 Abs. 1 DSGVO.

Die Ausführungen zum Abrufverfahren finden sich versteckt im Kontext der digitalen Personalakte. In der Tat hatte ich  bezüglich der Ausgestaltung der  Abrufverfahren bereits Mandantenfragen. Da die Krankenkassen ja ihrerseits den Abruf zur Verfügung stellen müssen, sehe ich diese aber primär in der Verantwortung diesen über einen ausreichend sicheren Weg zu ermöglichen.

 

 

Das könnte Sie auch interessieren

21 November 2023

DSGVO: Anspruch auf unentgeltliche…

Ein Patient hat nach Art. 12 Abs. 5, 15 Abs. 1 und 3 DSGVO das Recht, unentgeltlich eine erste Kopie…

Mehr Erfahren
28 August 2023

BAG: Datenschutzbeauftragter…

BAG: Datenschutzbeauftragter und Betriebsratsvorsitzender sind nicht in Personalunion möglich

Mehr Erfahren
20 März 2023

OLG Hamm: 100 EUR Schmerzensgeld…

OLG Hamm: 100 EUR Schmerzensgeld bei Fehlversand von Gesundheitsdaten

Mehr Erfahren
20 Januar 2023

DSK zu den Datenschutzanforderungen…

DSK zu den Datenschutzanforderungen im Rahmen der wissenschaftliche Forschung mit Gesundheitsdaten

Mehr Erfahren
18 Januar 2023

Neue Fassung der Orientierungshilfe…

Neue Fassung der Orientierungshilfe für Anbieter von Telemedien

Mehr Erfahren
13 Januar 2023

Branchenspezifischer…

Branchenspezifischer Sicherheitsstandard (B3S) für Krankenhäuser aktualisiert

Mehr Erfahren