Generell erfordert der Umgang mit Gesundheitsdaten von Arbeitnehmern besondere Sorgfalt. Arbeitgeber sind im Zusammenhang mit Entgeltfortzahlung grundsätzlich berechtigt, Gesundheitsdaten zu verarbeiten, jedoch nur in engen Grenzen und bei entsprechender Erforderlichkeit. Pauschale Abfragen, eine Speicherung auf Vorrat oder vermeintlich freiwillige Einwilligungen können schnell zu rechtlichen Konflikten führen.
Gerade bei längeren und/oder häufigeren Erkrankungen können Arbeitgeber ein berechtigtes Interesse daran haben, mehr über den Gesundheitszustand ihrer Beschäftigten zu erfahren.
Auf welche Rechtsgrundlage das zu geschehen hat ist über die Herleitung mehrere Vorschriften zu beantworten. Da es sich um teilweise Gesundheitsdaten handelt (vgl. Art. 4 Nr. 15 DSGVO), die erhoben und verarbeitet werden müssen, reicht ein berechtigtes Interesse als Rechtsgundlage allein nicht aus. Diese sind nicht nur “einfache” personenbezogene Daten, sondern neben den allgemeinen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) besonders geschützte Daten nach Art. 9 DSGVO.
Generell gilt, dass der Arbeitgeber Gesundheitsdaten nur verarbeiten kann, wenn dies zur Wahrnehmung arbeitsrechtlicher Pflichten notwendig ist. Dies gilt etwa bei der Prüfung, ob eine Zahlungspflicht nach dem Entgeltfortzahlungsgesetz (EFZG) über den Zeitraum von sechs Wochen hinaus besteht. In solchen Fällen erlaubt etwa § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b DSGVO eine Datenverarbeitung. Die daneben erforderliche Rechtsgrundlage für die Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. b DSGVO in Kombination mit dem Beschäftigungsvertrag (Arbeitsvertrag).
Interessant ist in diesem Zusammenhang ein aktuelle Pressemitteilung der LDI NRW (unserer lokalen Datenschutzaufsichtsbehörde).
Diese weist darauf hin, dass allein der Verdacht, es könne eine Fortsetzungserkrankung vorliegen, genüge für die Verarbeitung von Gesundheitsdaten nicht. Vielmehr müsse eine „konkrete Vermutung“ vorliegen. Eine solche könne sich beispielsweise aus zeitlich eng aufeinander folgenden Erkrankungen oder inhaltlich Zusammenhängen ergeben. Arbeitgeber seien zudem verpflichtet, weniger einschneidende Mittel zu prüfen. Dazu zähle etwa die Nachfrage bei der Krankenkasse, ob eine Fortsetzungserkrankung vorliegt, oder die Einschaltung des Betriebsarztes, der eine medizinische Einschätzung abgeben kann, ohne Diagnosedaten direkt weiterzugeben.
Unternehmen sollen sich da also möglichst stark an dem Grundsatz der Datenminimierung und Datenssparsamkeit orientieren und die konkrete Erforderlichkeit der Daten steht immer im Vordergrund.
