Datenschutzkonforme Handhabung von Krankentagen im Aushang

Geschrieben von Sophie Petzhold, veröffentlicht am 06.06.2024

Was Unternehmen wissen sollten: Die Erfassung sowie Darstellung von Krankentagen in Unternehmen sind ein sensibles Thema, welches nicht nur das Arbeitsrecht, sondern auch das Datenschutzrecht betrifft. Denn Gesundheitsdaten sind personenbezogene Daten. Werden diese verarbeitet, ist der sachliche Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) eröffnet. Gerade im Umgang mit personenbezogenen Daten sind daher strenge Regelungen zu beachten. Dieser Blogbeitrag befasst sich mit den datenschutzrechtlichen Grundlagen zum Thema „Krankentage im Aushang“ und zeigt, welche Regeln Unternehmen dabei beachten müssen.

Datenschutzrechtliche Grundlagen

Die DSGVO ist das grundlegende Regelwerk für den Schutz personenbezogener Daten in den Mitgliedstaaten der Europäischen Union. Die Verordnung, die im Mai 2018 in Kraft trat, regelt, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen.

Personenbezogen sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Besonders schutzwürdig sind zudem die sogenannten „besonderen Kategorien personenbezogener Daten“ gem. Art. 9 DSGVO, zu denen gem. Art. 9 Abs. 1 DSGVO auch Gesundheitsdaten gehören.
Krankentage lassen Rückschlüsse auf den Gesundheitszustand einer Person zu und gelten somit zu den besonderen Kategorien personenbezogener Daten.

Diese besonderen Kategorien personenbezogener Daten dürfen gem. Art. 9 Abs. 2 DSGVO aber nur unter ganz bestimmten Voraussetzungen verarbeitet werden – wie etwa beim Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person (Art. 9 Abs. 2 a) DSGVO) oder zur Erfüllung rechtlicher Pflichten im Arbeitskontext (Art. 9 Abs. 2 b) DSGVO).

Der Aushang von Krankentagen: Was ist erlaubt?

Der Aushang von Krankentagen, beispielsweise zur internen Information oder im Rahmen von Arbeitsplänen, stellt potenziell einen Verstoß gegen die Grundsätze der Datenverarbeitung gemäß Art. 5 DSGVO dar. Dies betrifft etwa die Rechtmäßigkeit (Art. 5 Abs. 1 lit.a DSGVO). Wenn Krankentage öffentlich sichtbar sind oder auf eine Weise veröffentlicht werden, die es anderen ermöglicht, personenbezogene Daten zu ermitteln, kann dies folglich gegen die DSGVO verstoßen.

Ob auch der bloße Hinweis auf die Erkrankung von Mitarbeiterinnen und Mitarbeitern im Betrieb bereits gegen die Rechtmäßigkeit der Datenverarbeitung verstößt, kann durch Art. 5 Abs. 1 lit.a, Art. 6 DSGVO in Verbindung mit Art. 9 DSGVO beantwortet werden.

Demnach ist die Verarbeitung personenbezogener Daten, insbesondere solcher, die als besondere Kategorien im Sinne des Art. 9 Abs. 1 DSGVO gelten, nur in Ausnahmefällen und nur unter speziellen Bedingungen zulässig. Eine rechtmäßige Verarbeitung wäre daher nur dann möglich, wenn eine klare Rechtsgrundlage vorliegt, wie zum Beispiel eine Einwilligung (Art. 9 Abs. 2 lit.a DSGVO).

Einschränkungen und Voraussetzungen

Einwilligung und Transparenz:

Wenn eine Verarbeitung von Gesundheitsdaten erforderlich ist, muss eine ausdrückliche Einwilligung der betroffenen Personen vorliegen. Dabei ist zu beachten, dass die Wirksamkeit der Einwilligung regelmäßig durch das Ungleichgewicht im Arbeitnehmerverhältnis eingeschränkt sein kann, vornehmlich wenn Arbeitnehmer sich gezwungen fühlen könnten, eine Einwilligung zu geben. Darüber hinaus müssen die betroffenen Personen über die Verarbeitung informiert werden, einschließlich des Zwecks und der Rechtsgrundlage.

Anonymisierung:

Unternehmen müssten sicherstellen, dass Krankentage anonymisiert dargestellt werden, sodass keine Rückschlüsse auf einzelne Mitarbeitende möglich sind. Statt der Namen der betroffenen Personen könnten beispielsweise nur aggregierte Zahlen oder andere anonymisierte Daten angezeigt werden.

Dies kann jedoch eine Herausforderung sein, insbesondere für kleine Unternehmen oder Organisationen mit wenigen Abteilungen oder Standorten. In solchen Fällen ist die Wahrscheinlichkeit höher, dass selbst durch allgemeine Angaben wie Abteilungs- oder Standortzugehörigkeit Rückschlüsse auf einzelne Personen gezogen werden können. Dies führt dazu, dass statt einer vollständigen Anonymisierung eher eine Pseudonymisierung vorgenommen werden sollte. Einzelne Mitarbeitende lassen sich dann nur mithilfe von zusätzlichen Informationen wie Codes oder Identifikationsnummern identifizieren.

Unternehmen müssen daher besonders vorsichtig sein und sicherstellen, dass jegliche Datenverarbeitung die Privatsphäre der Mitarbeiterinnen und Mitarbeiter schützt und keine ungewollte Offenlegung persönlicher Informationen stattfindet. Das bedeutet auch, dass sie alternative Ansätze in Betracht ziehen sollten, um Krankentage zu verwalten, ohne sensible Informationen preiszugeben, wie beispielsweise durch individuelle Kommunikation oder zentralisierte Planung ohne öffentliche Aushänge.

Notwendigkeit:

Die Verarbeitung personenbezogener Daten muss verhältnismäßig und für den jeweiligen Zweck notwendig sein. Unternehmen sollten sicherstellen, dass der Aushang von Krankentagen tatsächlich notwendig ist oder darüber nachdenken, ob es alternative Methoden gibt, die den Datenschutz besser gewährleisten. Eine solche Notwendigkeit könnte vorliegen, wenn es keine anderen geeigneten Mittel gibt, um beispielsweise die Personalplanung oder die Arbeitsorganisation sicherzustellen.

Allerdings sind die Hürden dafür hoch, weil eine solche Verarbeitung tiefer in die Privatsphäre der Mitarbeitenden eingreift und leicht Rückschlüsse auf einzelne Personen zulässt. Deshalb muss die Entscheidung, Krankentage öffentlich auszuhängen, sorgfältig abgewogen werden und kann nicht einfach bejaht werden. Unternehmen müssen sich dabei strikt an die DSGVO halten und sicherstellen, dass die Interessen und Grundrechte der betroffenen Personen nicht überwogen werden. Eine Einwilligung oder ein zwingender rechtlicher Grund könnten mögliche Voraussetzungen sein, aber die Wahrung der Verhältnismäßigkeit ist stets vorrangig.

Bußgelder und Sanktionen:

Ein Verstoß gegen die Datenschutzbestimmungen kann zu erheblichen Bußgeldern führen. Die DSGVO sieht Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens vor. Unternehmen, die Krankentage im Aushang oder in anderer Form öffentlich machen, ohne die datenschutzrechtlichen Bestimmungen zu beachten, riskieren nicht nur Bußgelder, sondern auch rechtliche Ansprüche von betroffenen Personen.

Fazit

Unternehmen sollten beim Umgang mit Krankentagen im Aushang besonders vorsichtig sein. Denn gerade die Verarbeitung von Gesundheitsdaten von Mitarbeitenden gehören zu den sensiblen persönlichen Informationen und sind deshalb besonders schützenswert. Der Schutz personenbezogener Daten ist daher von entscheidender Bedeutung und Verstöße können schwerwiegende Konsequenzen haben. Anonymisierung, Verhältnismäßigkeit, Transparenz und Einwilligung sind Schlüsselprinzipien, die bei der Verarbeitung von Krankentagen beachtet werden müssen. Im Zweifelsfall ist es ratsam, sich rechtlich beraten zu lassen oder einen Datenschutzbeauftragten hinzuzuziehen, um die Einhaltung der DSGVO sicherzustellen.