Ab dem 1.1.2023 ist der Abruf von AU-Daten bei den Krankenkassen für Arbeitgeber verpflichtend. Arbeitnehmer müssen ihrem Arbeitgeber von da an auch keine AU-Bescheinigung mehr vorlegen. Der Arbeitnehmer hat natürlich weiterhin die Pflicht, dem Arbeitgeber seine Arbeitsunfähigkeit zu melden und diese spätestens nach dem dritten Tage ärztlich feststellen zu lassen (§ 5 EFzG).
Ein regelmäßiger oder pauschaler Abruf von eAU-Daten durch Arbeitgeber ist jedoch nicht zulässig. Die AU-Bescheinigungen (Erst- und Folgebescheinigungen) können nur individuell für den jeweiligen Arbeitnehmer angefordert werden.
Weitergehende Hinweise findet man hierzu auf der Seite der Bundesvereinigung der Deutschen Arbeitgeberverbände, welche eine FAQ-Seite online gestellt, die auch auf datenschutzrechtliche Aspekte eingeht.
Seitens der Datenschutzaufsichtsbehörden hat der Landesbeauftragte für den Datenschutz Niedersachsen ein Papier mit wichtigen Hinweisen zum Datenschutz in diesem Zusammenhang veröffentlicht. Es lohnt sich hier einen Blick reinzuwerfen.
Die Hinweise richten sich sowohl an Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO als auch an Betroffenen (Art. 4 Nr. 1 DSGVO) Arbeitnehmer und Arbeitnehmerinnen.
Dem LfD ist es wichtig, an dieser Stelle darauf hinzuweisen, dass bei der Umsetzung des Verfahrens stets Artikel 5 Absatz 1 lit. c) DSGVO (Grundsatz der „Datenminimierung“) sowie Art. 5 Abs. 1 lit. e) DSGVO (Grundsatz der „Speicherbegrenzung“) zu beachten sind.
Daneben ist bei der Einführung einer digitalen Personalakte darauf zu achten, dass sich der Verantwortliche – ausgerichtet an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten – mit den bei der Verarbeitung bestehenden Gefahren und Risiken auseinanderzusetzen habe (vgl. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO).
Der Verantwortliche hat auch geeignete technische und organisatorische Sicherungsmaßnahmen zu ergreifen, um ein der jeweiligen Verarbeitungstätigkeit angemessenes Schutzniveau umzusetzen. Bei Datenübertragungen in Zusammenhang mit dem Abrufverfahren „eAU“ sind z.B. geeignete Schutzmaßnahmen zu treffen, hierzu zählt die Verschlüsselungen der besonderen Kategorien der personenbezogenen Daten im Sinne von Artikel 9 Abs. 1 DSGVO.
Die Ausführungen zum Abrufverfahren finden sich versteckt im Kontext der digitalen Personalakte. In der Tat hatte ich bezüglich der Ausgestaltung der Abrufverfahren bereits Mandantenfragen. Da die Krankenkassen ja ihrerseits den Abruf zur Verfügung stellen müssen, sehe ich diese aber primär in der Verantwortung diesen über einen ausreichend sicheren Weg zu ermöglichen.
