Wenn Beschäftigte krankheitsbedingt länger ausfallen, stehen Arbeitgeber häufig vor der Herausforderung, die Pflicht zur Entgeltfortzahlung rechtlich korrekt zu beurteilen. In diesem Zusammenhang stellt sich die Frage, in welchem Umfang Gesundheitsdaten der Beschäftigten verarbeitet werden dürfen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) hat deshalb am 17.07.2025 eine Pressemitteilung veröffentlicht, in der sie den datenschutzkonformen Umgang mit Gesundheitsdaten von Arbeitnehmern erklärt.
Weiterlesen: Umgang mit Gesundheitsdaten von ArbeitnehmernInteresse von Arbeitgebern an Gesundheitsdaten
Gerade bei längeren und/oder häufigeren Erkrankungen können Arbeitgeber ein Interesse daran haben, mehr über den Gesundheitszustand ihrer Beschäftigten zu erfahren. Das liegt zum Beispiel daran, dass bei Fortsetzungserkrankungen nach sechs Wochen, der Entgeltfortzahlungsanspruch entfällt und das Krankengeld der Krankenkassen an dessen Stelle tritt. Auch bei wiederholtem Auftreten der gleichen Erkrankung beginnt dieser Zeitraum nicht neu zu laufen, sondern wird addiert.
Rechtliche Grundlage
Um zu ermitteln, ob es sich um eine Fortsetzungserkrankung handelt, müssen Arbeitnehmer teilweise Gesundheitsdaten verarbeiten. Diese sind nicht nur personenbezogene Daten, sondern neben den allgemeinen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) besonders geschützt nach Art. 9 DSGVO.
Generell gilt, dass Arbeitgeber Gesundheitsdaten nur verarbeiten, wenn dies zur Wahrnehmung arbeitsrechtlicher Pflichten notwendig ist. Dies gilt etwa bei der Prüfung, ob eine Zahlungspflicht nach dem Entgeltfortzahlungsgesetz (EFZG) über den Zeitraum von sechs Wochen hinaus besteht. In solchen Fällen erlaubt etwa § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b DSGVO eine Datenverarbeitung. Die daneben erforderliche Rechtsgrundlage für die Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. b DSGVO in Kombination mit dem Beschäftigungsvertrag.
Exakte Prüfung der Erforderlichkeit
Zu beachten ist laut der Pressemitteilung der LDI NRW jedoch, dass stets eine genaue Prüfung der Erforderlichkeit der Datenverarbeitung erfolgen muss. Allein der Verdacht, es könne eine Fortsetzungserkrankung vorliegen, genüge für die Verarbeitung von Gesundheitsdaten nicht. Vielmehr müsse eine „konkrete Vermutung“ vorliegen. Eine solche könne sich beispielsweise aus zeitlich eng aufeinander folgenden Erkrankungen oder inhaltlich Zusammenhängen ergeben.
Arbeitgeber seien zudem verpflichtet, weniger einschneidende Mittel zu prüfen. Dazu zähle etwa die Nachfrage bei der Krankenkasse, ob eine Fortsetzungserkrankung vorliegt, oder die Einschaltung des Betriebsarztes, der eine medizinische Einschätzung abgeben kann, ohne Diagnosedaten direkt weiterzugeben. Zwar verlangt das Bundesarbeitsgericht im gerichtlichen Verfahren zur Entgeltfortzahlung detailliertere Angaben, doch für die vorgelagerte Datenverarbeitung könne eine zurückhaltendere Handhabung erforderlich und angemessen sein (Urt. v. 18.01.2023 – 5 AZR 93/22).
Einwilligung selten datenschutzkonform
In der Praxis setzten Arbeitgeber teilweise auf ausdrückliche Einwilligungen der Beschäftigten bezüglich der Verarbeitung medizinischer Informationen. Doch eine solche Einwilligung ist laut der Pressemitteilung der LDI NRW im Beschäftigungskontext regelmäßig nicht wirksam. Die DSGVO verlangt nämlich für eine rechtswirksame Einwilligung Freiwilligkeit. Dieses Kriterium sei im Arbeitsverhältnis selten erfüllt, da besonders im Krankheitsfall Beschäftigte unter dem Eindruck stünden, sie müssten sensible Daten preisgeben, um Nachteile bei der Lohnfortzahlung zu vermeiden. Dieser bestehende Druck lasse häufig die Freiwilligkeit im Arbeitsverhältnis entfallen.
Technische und organisatorische Maßnahmen
Auch die Art der Aufbewahrung und der Umgang mit Gesundheitsdaten von Arbeitnehmern stelle hohe „Anforderungen an Sicherheit und Vertraulichkeit“. Zunächst dürften solche Informationen nicht gemeinsam mit regulären Personalunterlagen oder Arbeitsunfähigkeitsbescheinigungen abgelegt werden. Vielmehr seien sie räumlich und technisch getrennt zu speichern. Denn die Arbeitsunfähigkeitsbescheinigung nach § 5 Abs. 1 S. 2 EFZG enthalte keine Angaben über die konkrete Diagnose. Sobald medizinische Gutachten oder ärztliche Stellungnahmen hinzukommen, sei eine besonders geschützte Speicherung erforderlich.
Außerdem seien die Daten nach Zweckerfüllung zu löschen. Die Dauer der Speicherung richte sich nach dem Zweck, also der Prüfung des Anspruchs auf Entgeltfortzahlung, und ende mit Ablauf etwaiger arbeitsrechtlicher oder tariflicher Ausschlussfristen. Eine Speicherung auf Vorrat oder wegen bloßer Annahmen über zukünftige Auseinandersetzungen sei nicht zulässig. Auch der Versuch, durch längere Speicherung vermeintliche Muster in Krankheitsverläufen zu identifizieren, sei datenschutzrechtlich nicht gedeckt.
Weitergabe von Gesundheitsdaten
Ebenso strikt seien die Grenzen für die Weitergabe von Gesundheitsdaten. Eine Weiterleitung innerhalb des Unternehmens, etwa an Vorgesetzte oder in andere Fachbereiche, sei in der Regel unzulässig, da sie für die Prüfung des Entgeltfortzahlungsanspruchs nicht erforderlich sei.
Eine Ausnahme könne bestehen, wenn Arbeitgeber sich gegen geltend gemachte Ansprüche wehren müssen. In solchen Fällen sei eine Weiterreichung an interne oder externe Rechtsvertretung zulässig, sofern sie sich auf den zur Anspruchsabwehr konkret notwendigen Umfang beschränkt. Grundlage sei hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
Fazit
Die Mitteilung der LDI NRW zeigt, dass der Umgang mit Gesundheitsdaten von Arbeitnehmern besondere Sorgfalt erfordert. Arbeitgeber sind im Zusammenhang mit Entgeltfortzahlung grundsätzlich berechtigt, Gesundheitsdaten zu verarbeiten, jedoch nur in engen Grenzen und bei entsprechender Erforderlichkeit. Pauschale Abfragen, eine Speicherung auf Vorrat oder vermeintlich freiwillige Einwilligungen seien mit dem Datenschutzrecht nicht vereinbar. Für Unternehmen empfiehlt es sich, bestehende Verfahren zur Erhebung und Verarbeitung von Gesundheitsdaten zu überprüfen und mit den Vorgaben der Aufsichtsbehörden abzugleichen.
