Datenschutzkonforme Krankmeldung – alles elektronisch?

HUBIT Datenschutz

Am 01.01.2023 wurde die elektronische Arbeitsunfähigkeitsbescheinigung (eAUB) für gesetzlich Versicherte eingeführt. Das bedeutet Arbeitnehmerinnen und Arbeitnehmer sind nicht mehr verpflichtet, ihre Krankmeldung in Papierform bei ihrem Arbeitgeber einzureichen. Dieser kann stattdessen das Dokument elektronisch bei der Krankenkasse anfordern und es dann digital verarbeiten. Was allerdings nicht entfallen ist, ist die Pflicht des Arbeitnehmers zur Krankmeldung beim Arbeitgeber. Diese erfolgt bisher in den meisten Fällen telefonisch oder schriftlich. Aufgrund der Einführung der eAUB denken einige Unternehmen nun darüber nach, den Vorgang der Krankmeldung ebenfalls zu automatisieren – mithilfe einer geeigneten Software.

Der Ansatz ist nachvollziehbar, doch es gibt wichtige datenschutzrelevante Aspekte, die bei einem solchen Schritt berücksichtigt werden müssen. Die Krankmeldung eines Mitarbeitenden ist keine Banalität, denn sie enthält sogenannte Gesundheitsdaten, die gemäß DSGVO besonders schützenswert sind. Dadurch ergeben sich hohe Anforderungen an den Prozess, die genau geprüft und sorgfältig umgesetzt werden müssen.

Das ist bei einer technischen Lösung zu berücksichtigen

Bei der Einführung eines DSGVO-konformen elektronischen Krankmeldungsprozesses gibt es eine Reihe zentraler Aspekte, die berücksichtigt werden müssen. Zu den wichtigsten Punkten zählen:

  • Die technischen Strukturen müssen ein hohes Schutzniveau gemäß Art. 32 DSGVO gewährleisten.
  • Der Standort der Datenverarbeitung muss geklärt werden.
  • Die Grundsätze des Datenschutzes – Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht – müssen eingehalten werden.
  • Die Betroffenenrechte müssen eingehalten werden. Mehr Informationen dazu finden Sie hier: „Betroffenenrechte gemäß DSGVO – Teil 1“, „Betroffenenrechte gemäß DSGVO – Teil 2
  • Die Dokumentationspflichten müssen erfüllt werden.

Beispiele für technische Strukturen, die ein hohes Schutzniveau bieten, sind eine Transport- und Inhaltsverschlüsselung nach neuestem Stand der Technik sowie die Sicherstellung, dass keine anderen Dienste Zugang zu den Inhalten erhalten.

Bezüglich des Standorts der Datenverarbeitung sei angemerkt, dass aus Datenschutzsicht ein Anbieter in Deutschland beziehungsweise innerhalb der EU vorzuziehen ist, da dieser ebenfalls an die DSGVO gebunden ist. Sofern die Verarbeitung in einem Drittland erfolgt, erfordert dies erhebliche zusätzliche Maßnahmen zur Sicherstellung des erforderlichen Datenschutzniveaus.

Ein komplexer Vorgang – lassen Sie sich von HUBIT beraten

Sie sehen, es gibt eine Vielzahl von Kriterien, die im Zusammenhang mit der Krankmeldung eines Mitarbeitenden berücksichtigt werden müssen. Die meisten davon gelten auch bei der herkömmlichen Krankmeldung per Telefon oder in schriftlicher Form. Wir empfehlen also grundsätzlich, den Prozess der Krankmeldung in Ihrem Unternehmen zu überprüfen. Ist der Vorgang transparent, also weiß jeder Mitarbeitende, in welcher Form er sich krankzumelden hat? Wo werden die Informationen dokumentiert und wer hat Zugang zu diesen Informationen?

Gerne überprüfen wir Ihre Prozesse im Sinne der DSGVO, erarbeiten Optimierungsvorschläge und unterstützen bei der Implementierung neuer Verfahren. Nehmen Sie Kontakt zu uns auf!