Newsletter

Gesundheitsabfrage nach Krankheit

Der Umgang mit Gesundheitsdaten von Beschäftigten gehört zu den sensibelsten Bereichen betrieblicher Datenverarbeitung. Ein am 10.06.2025 erlassenes Bußgeld der italienischen Datenschutzaufsichtsbehörde zeigt, welche rechtlichen Risiken entstehen, wenn Arbeitgeber bei der Rückkehr von Mitarbeitenden nach längerer Krankheit ohne ausreichende Rechtsgrundlage eine detaillierte Gesundheitsabfrage einholen. Im deutschen Kontext hat der Fall Relevanz im Rahmen des betrieblichen Eingliederungsmanagements (BEM).

Weiterlesen: Gesundheitsabfrage nach Krankheit

Besondere Schutzbedürftigkeit von Gesundheitsdaten

Gesundheitsdaten genießen unter der Datenschutzgrundverordnung (DSGVO) einen besonderen Schutz, da sie Rückschlüsse auf den körperlichen oder psychischen Zustand einer Person zulassen. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen vor. Im Beschäftigungskontext sind es vor allem nationale arbeitsrechtliche Regelungen, die eine Verarbeitung zulassen können. Fehlt eine solche Grundlage, ist eine rechtssichere Verarbeitung nicht möglich.

Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis

Gerade bei längeren und/oder häufigeren Erkrankungen können Arbeitgeber ein Interesse daran haben, mehr über den Gesundheitszustand ihrer Beschäftigten zu erfahren. Das kann etwa daran liegen, dass bei Fortsetzungserkrankungen nach sechs Wochen, der Entgeltfortzahlungsanspruch entfällt. Andererseits sind Kenntnisse über den Gesundheitszustand auch im Rahmen des BEM von Entscheidung. Zu diesem Zweck verarbeiten Arbeitgeber dann meist Gesundheitsdaten.

Im Beschäftigungskontext ist besonderes Augenmerk auf eine wirksame Einwilligung zu legen. Aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer gehen Aufsichtsbehörden regelmäßig davon aus, dass eine Freiwilligkeit nicht vorliegen kann. Eine Einwilligung kann daher nur in eng begrenzten Ausnahmefällen tragfähig sein. Deshalb bedarf es häufig einer gesetzlichen Rechtsgrundlage, die dann in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO in Kombination mit dem Beschäftigungsvertrag die Datenverarbeitung gestattet.

Zugrundeliegender Fall

Hintergrund des Bußgelds war ein Fall, in dem ein italienisches Unternehmen den internen Prozess etabliert hatte, von Beschäftigten nach längerer krankheitsbedingter Abwesenheit ein persönliches Gespräch zu verlangen. Ziel war es, sowohl den mentalen als auch den physischen Gesundheitszustand der zurückkehrenden Person zu erfassen. Diese Informationen wurden anschließend an den zuständigen Arzt weitergegeben, um bei Bedarf Arbeitsplatzanpassungen zu ergreifen.

Entscheidung der italienischen Datenschutzbehörde

Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) stellte fest, dass diese Verarbeitung in mehrfacher Hinsicht rechtswidrig war. Zum einen fehle eine tragfähige Rechtsgrundlage nach Art. 9 DSGVO für die Verarbeitung besonders schützenswerter Gesundheitsdaten. Zum anderen sei die Information der Beschäftigten unzureichend erfolgt, was einen klareren Verstoß gegen Art. 13 DSGVO darstelle. Die Einwilligung der Betroffenen wertete die Behörde als unwirksam, da sie aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Beschäftigten nicht als freiwillig angesehen werden könne. Aufgrund dieses Verstoßes verhängte die Datenschutzbehörde eine Geldbuße in Höhe von 50.000 Euro.

Parallelen zum deutschen BEM

In Deutschland ist der Arbeitgeber verpflichtet, Beschäftigten nach längerer Krankheit ein BEM anzubieten. Von Seiten der Arbeitnehmer ist die Teilnahme allerdings freiwillig und die betroffene Person muss darüber umfassend informiert werden. Dazu gehört auch eine Mitteilung darüber, welche Daten erhoben, wie sie verarbeitet werden und wer Zugriff darauf haben wird.

Fazit

Unternehmen sollten bei der Rückkehr von Beschäftigten aus längerer Krankheit besondere Vorsicht walten lassen. Auch wenn die Absicht, etwa zur Unterstützung der Wiedereingliederung, positiv ist, darf die Verarbeitung von Gesundheitsdaten nur auf einer klaren rechtlichen Grundlage erfolgen. Eine Einwilligung ist im Beschäftigungsverhältnis nur in seltenen Ausnahmefällen wirksam. Unerlässlich sind zudem transparente Informationen an die betroffenen Mitarbeitenden, bevor Daten erhoben werden. Die Parallelen zum BEM in Deutschland verdeutlichen, dass Verstöße nicht nur arbeitsrechtliche Konsequenzen haben, sondern auch zu empfindlichen behördlichen Bußgeldern führen können. Unternehmen sollten daher ihre Prozesse im Umgang mit Gesundheitsdaten kritisch prüfen und gegebenenfalls anpassen, um sowohl datenschutzrechtliche als auch arbeitsrechtliche Risiken zu minimieren.

Das könnte Sie auch interessieren..

Im Trend

BSI übernimmt Marktüberwachung für Cyber Resilience Act
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Palantir: Übermittlung in die USA technisch ausgeschlossen
Data Act: Standardvertragsklauseln für Cloud Switching & Exit
Data Act: Standardvertragsklauseln für Cloud Switching & Exit