Krankheitsdaten sind Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO und unterliegen dem grundsätzlichen Verarbeitungsverbot für besondere Kategorien personenbezogener Daten.
Was der Arbeitgeber verarbeiten darf:
- Arbeitsunfähigkeitsbescheinigung (AU): Der Arbeitgeber darf die AU entgegennehmen und die Tatsache der Arbeitsunfähigkeit sowie deren Dauer verarbeiten. Die Diagnose steht auf der AU nicht (diese geht nur an die Krankenkasse). Die Rechtsgrundlage ist Paragraph 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b DSGVO (Arbeits- und Sozialrecht).
- Krankenquote und Fehlzeiten: Die aggregierte Erfassung von Fehltagen für die Personalplanung ist zuläßig (Paragraph 26 Abs. 1 BDSG).
- BEM-Daten: Im Rahmen des Betrieblichen Eingliederungsmanagements (Paragraph 167 Abs. 2 SGB IX) dürfen Gesundheitsdaten verarbeitet werden - allerdings nur mit Einwilligung des Beschäftigten und unter strikter Zweckbindung.
Was der Arbeitgeber nicht darf:
- Diagnosen oder Krankheitsbilder erfragen (Ausnahme: wenn für die Gefährdungsbeurteilung am Arbeitsplatz zwingend erforderlich)
- Gesundheitsdaten für andere Zwecke verwenden als die Durchführung des Arbeitsverhältnisses
- Gesundheitsdaten an Dritte weitergeben (Ausnahme: gesetzliche Pflichten, z.B. Unfallmeldung)
Schutzmassnahmen: Bei der Verarbeitung von Gesundheitsdaten müßen angemessene und spezifische Schutzmassnahmen nach Paragraph 22 Abs. 2 BDSG getroffen werden: Zugangsbeschränkungen, Pseudonymisierung, Sensibilisierung der Beteiligten, technisch-organisatorische Maßnahmen.