Immer dann, wenn Beschäftigte länger erkranken, stellt sich für Arbeitgeber die Frage, ob der jeweilige Arbeitnehmer weiterhin einen Anspruch auf Entgeltfortzahlung hat. Das ist insbesondere relevant, wenn eine Erkrankung über sechs Wochen hinaus andauert – oder es zu mehreren Erkrankungen innerhalb kurzer Zeit kommt. Arbeitgeber möchten dann wissen, ob es sich um sog. Fortsetzungserkrankungen handelt. Denn Lohnfortzahlung gilt in der Regel nur für die ersten sechs Wochen einer Erkrankung. Danach gibt es Krankengeld durch die Krankenkasse. Handelt es sich nun hintereinander um die gleiche Krankheit, läuft nicht bei jeder Erkrankung wieder neu die Sechs-Wochen-Lohnfortzahlung. Vielmehr werden die Zeiten der „fortgesetzten“ Erkrankungen addiert.

Für die Beurteilung, ob eine solche „Fortsetzungserkrankung“ vorliegt, sind u.U. Gesundheitsdaten erforderlich. Da diese Informationen jedoch besonders sensibel sind, sehen die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) strenge Regelungen vor.

Verarbeitung nur, wenn zur Prüfung der Entgeltfortzahlungspflicht erforderlich

Grundsätzlich dürfen Arbeitgeber Gesundheitsdaten nur dann verarbeiten, wenn sie zur Erfüllung arbeitsrechtlicher Pflichten erforderlich sind. Bei der Entgeltfortzahlung im Krankheitsfall ergibt sich diese Erforderlichkeit aus der gesetzlichen Verpflichtung von Arbeitgeber zur Lohnfortzahlung im Krankheitsfall, die im Entgeltfortzahlungsgesetz (EFZG) zu finden ist. Rechtsgrundlagen für die Verarbeitung dieser besonderen Kategorie personenbezogener Daten sind insbesondere § 26 Absatz 3 BDSG i.V.m. Art. 9 Absatz 2 Buchstabe b DS-GVO. Die Verarbeitung erfolgt zur Ausübung von Rechten und zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis. Die zusätzlich notwendige Rechtsgrundlage i.S.v. Art. 6 Absatz 1 DS-GVO ist im Fall von Gesundheitsdaten Art. 6 Absatz 1 UAbs. 1 Buchstabe b DS-GVO in Verbindung mit dem Arbeitsvertrag. Danach ist die Verarbeitung erlaubt, sofern sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“, erforderlich“ ist.

Arbeitgeber unterliegen in diesem Zusammenhang allerdings häufiger einem Irrtum. Die Verarbeitung ist nämlich nur insoweit zulässig, als sie tatsächlich erforderlich ist. Der bloße Verdacht, dass es sich um eine Fortsetzungserkrankung handeln könnte, reicht nicht aus. Es muss vielmehr eine konkrete Vermutung im Einzelfall vorliegen – etwa aufgrund zeitlicher Nähe oder inhaltlicher Hinweise, dass die Erkrankungen zusammenhängen. Arbeitgeber sind zudem angehalten, mildere Mittel zu prüfen. So kann es in bestimmten Fällen ausreichend sein, bei der Krankenkasse eine Einschätzung einzuholen, ob aus ihrer Sicht eine Fortsetzungserkrankung vorliegt. Eine weitere schonendere Alternative kann die Einschaltung des Betriebsarztes sein, der eine medizinische Einschätzung abgibt, ohne dass sensible Gesundheitsdaten direkt an den Arbeitgeber gelangen. Während das BAG diese Maßnahmen im gerichtlichen Verfahren zur Entgeltfortzahlung nicht für ausreichend hält, sind sie im Rahmen der vorprozessualen Datenverarbeitung durchaus vorzuziehen und zu prüfen (BAG v. 18.1.2023 – 5 AZR 93/22).

Einwilligung regelmäßig nicht möglich

Ebenfalls unklar ist manchen Arbeitgebern, dass eine ausdrückliche Einwilligung der oder des Beschäftigten in die Offenlegung von Diagnosedaten gegenüber dem Arbeitgeber – etwa, um einem möglichen Streit über die Fortsetzungserkrankung zuvorzukommen – die Datenverarbeitung in der Regel nicht rechtfertigt. Denn eine Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt. In einem Beschäftigungsverhältnis kann davon aber selten die Rede sein. Gerade im Fall einer Erkrankung stehen Beschäftigte häufig unter Druck, weil sie befürchten, ohne Offenlegung ihrer Daten keine weiteren Lohnzahlungen zu erhalten. Insofern scheitert die Wirksamkeit ihrer Einwilligung an der fehlenden Freiwilligkeit der Einwilligungserklärung.

Aufbewahrung: Sicher und getrennt

Zu beachten ist außerdem, dass der Umgang mit Gesundheitsdaten bei Entgeltfortzahlungsansprüchen besonders hohe Anforderungen an Sicherheit und Vertraulichkeit verlangt. Arbeitgeber müssen angemessene technische und organisatorische Maßnahmen treffen, um die betroffenen Beschäftigten zu schützen. Dazu gehört insbesondere, dass die betreffenden Daten getrennt von der eigentlichen Personalakte aufbewahrt werden. Auch eine gemeinsame Ablage mit den üblichen ärztlichen Arbeitsunfähigkeitsbescheinigungen, wie sie nach § 5 Absatz 1 Satz 2 EFZG vorzulegen sind, dürfte datenschutzrechtlich unzulässig sein. Denn diese Bescheinigungen enthalten lediglich Informationen über Beginn und Dauer der Arbeitsunfähigkeit, nicht jedoch über Diagnosen oder chronische Leiden. Sobald Gesundheitsdaten verarbeitet werden, etwa im Rahmen ärztlicher Gutachten oder durch eigene Erhebung des Arbeitgeber, sind diese getrennt und besonders geschützt zu speichern – vergleichbar mit den Regelungen zum betrieblichen Eingliederungsmanagement.

Die Daten dürfen zudem nur so lange aufbewahrt werden, wie sie für die Prüfung des Entgeltfortzahlungsanspruchs erforderlich sind. Die Dauer der Speicherung richtet sich nach den Fristen, die das Entgeltfortzahlungsgesetz vorsieht. Darüber hinaus kann sich die Speicherfrist etwa aus tarifvertraglichen oder gesetzlichen Verjährungs- und Ausschlussfristen ergeben. Auf einen Verdacht, dass ein Beschäftigter rechtliche Schritte einleitet, kommt es nicht an. Auch wenn Arbeitgeber glauben, in Krankheitsmustern bestimmte Auffälligkeiten zu erkennen, berechtigt sie das nicht zur längeren Speicherung.

Die Weitergabe von Gesundheitsdaten an Dritte ist zudem im Regelfall ausgeschlossen. Auch innerhalb des Unternehmens ist eine Weitergabe an Vorgesetzte oder andere Stellen nur dann zulässig, wenn sie zur Zweckerfüllung erforderlich ist – was bei Fragen der Lohnfortzahlung in der Regel nicht der Fall ist. Anders sieht es aus, wenn sich Arbeitgeber gegen geltend gemachte Ansprüche verteidigen müssen. In einem solchen Fall ist die Weitergabe an interne Juristinnen oder Juristen sowie an externe Rechtsanwältinnen oder Anwälte oder den Arbeitgeberverband – wenn dieser die rechtliche Vertretung übernimmt – zulässig. Dies ergibt sich aus Art. 6 Absatz 1 Satz 1 Buchstabe f DS-GVO, da die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ein berechtigtes Interesse darstellt, das eine Weitergabe erlaubt. Auch hier gilt jedoch: Die Weitergabe darf sich nur auf die Daten erstrecken, die tatsächlich erforderlich sind.

Chefs dürfen nicht alles wissen

Um es noch einmal kurz zu fassen: Arbeitgeber sind im Zusammenhang mit der Entgeltfortzahlung durchaus berechtigt, bestimmte Gesundheitsdaten zu verarbeiten – allerdings nur dann, wenn dies wirklich erforderlich ist und keine milderen Alternativen bestehen. Eine pauschale Erhebung von Diagnosen oder die Abfrage nach chronischen Vorerkrankungen außerhalb des Entgeltfortzahlungszeitraums ist aber unzulässig. Besonders sensible Gesundheitsdaten müssen zudem sicher verwahrt, frühzeitig gelöscht und dürfen nicht beliebig weitergegeben werden. Datenschutz gilt auch im Krankheitsfall – und schützt damit die Gesundheitsdaten der Beschäftigten gegenüber Arbeitgebern.