Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung)
Gesundheitsdaten gehören gemäß Art. 9 DS-GVO zu den Daten besonderer Kategorien. Ihre Verarbeitung ist nur unter bestimmten Bedingungen zulässig. Im Rahmen eines Beschäftigungsverhältnisses erfolgt die Erfassung von Arbeitsunfähigkeitsdaten in erster Linie zur Ausübung von Rechten und Pflichten, die sich aus einer Erkrankung oder Schwerbehinderung ergeben – sei es zur Lohnfortzahlung, zur Geltendmachung arbeitsrechtlicher Ansprüche oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).
Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ab Anfang 2023 ist zudem ein grundlegender Wandel eingetreten:
Digitalisierung der AU
Die bisher üblichen „gelben Scheine“ wurden weitgehend durch die eAU ersetzt, sodass Arbeitgeber künftig elektronische Übermittlungswege nutzen. Dies erfordert nicht nur den Umstieg auf digitale Archivierungslösungen, sondern auch den Einsatz technischer und organisatorischer Maßnahmen zur Sicherstellung des Datenschutzes und der Integrität der Gesundheitsdaten.
Verarbeitung und Verantwortlichkeit
Die Erfassung und Verarbeitung der AU-Daten obliegt ausschließlich der Personalverwaltung. Nur diese darf die sensiblen Gesundheitsdaten speichern und auswerten – und dies ausschließlich zu den gesetzlich vorgesehenen Zwecken, etwa zur Berechnung der Lohnfortzahlung oder zur Initiierung eines BEM.
Unsicherheit über Aufbewahrungsfristen
In der Praxis besteht häufig Unklarheit darüber, wie lange Arbeitsunfähigkeitsbescheinigungen aufbewahrt werden dürfen. Dabei ist insbesondere zu beachten:
1. Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO):
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Sobald der Zweck entfällt, muss auch die Speicherung beendet werden – sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
2. Gesetzliche Ausnahmen:
Gesetzliche Vorschriften und gerichtliche Entscheidungen können längere Aufbewahrungsfristen vorsehen. So hat das Bundesarbeitsgericht in seinem Urteil vom 25. April 2018 (Az. 2 AZR 6/18) entschieden, dass bei einer Kündigung wegen häufiger Kurzerkrankungen ein Referenzzeitraum von drei Jahren maßgeblich ist – insbesondere, wenn es um die Erstellung einer Gesundheitsprognose geht. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bezieht sich in seinem Tätigkeitsbericht (2020, Ziffer 4.25) ebenfalls auf eine Speicherdauer von drei Jahren als angemessen.
Aktuelle Empfehlungen im digitalen Zeitalter
-Bei Entgeltfortzahlung:
Für Krankmeldungen, bei denen Lohnfortzahlung erfolgt, wird in der Regel eine Aufbewahrungsfrist von drei Jahren als ausreichend betrachtet.
– Bei Arbeitsunfähigkeit ohne Entgeltfortzahlung:
Ist die AU-Datenverarbeitung weniger relevant – beispielsweise bei Kurzerkrankungen ohne Lohnfortzahlung (Fehltage unter sechs Wochen) – empfehlen manche Datenschutzbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht, eine kürzere Aufbewahrungsfrist von etwa einem Jahr.
– Digitale Archivierung und Löschkonzepte:
Mit der eAU besteht die Möglichkeit, Daten elektronisch zu speichern. Es empfiehlt sich, automatisierte Löschprozesse zu implementieren und regelmäßig zu überprüfen, ob Gesundheitsdaten nicht länger als erforderlich gespeichert werden – unter Beachtung der DS-GVO und der jeweiligen gesetzlichen Vorgaben.
– Dokumentation der Entscheidungen:
Arbeitgeber sollten die Festlegung der Aufbewahrungsfristen detailliert dokumentieren. Dies dient als Nachweis gegenüber Aufsichtsbehörden und hilft, im Fall arbeitsrechtlicher Auseinandersetzungen die getroffene Entscheidung nachvollziehbar zu begründen.
Fazit
Die Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigungen orientiert sich an gesetzlichen Vorgaben und gerichtlicher Rechtsprechung. In der heutigen digitalen Arbeitswelt – insbesondere mit der Umstellung auf die elektronische AU – sind neben den traditionellen Aspekten auch technische und organisatorische Maßnahmen zu berücksichtigen. Eine differenzierte Betrachtung (z. B. zwischen Fällen mit und ohne Entgeltfortzahlung) sowie die regelmäßige Überprüfung und Dokumentation der Aufbewahrungsdauer stellen sicher, dass die datenschutzrechtlichen Vorgaben optimal umgesetzt werden.
Verwandte Produkte
Das könnte Sie auch interessieren
-
Mitbestimmungspflichten des Betriebsrats beim Einsatz von KI
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein Kurzpapier veröffentlicht, das die mitbestimmungsrechtlichen Implikationen beim Einsatz von Künstlicher Intelligenz im Unternehmen beleuchtet. Im Zentrum steht dabei die Frage, inwieweit der Betriebsrat beim Einsatz KI-gestützter Systeme beteiligt werden muss – insbesondere dann, wenn personenbezogene Daten von Beschäftigten betroffen sind. Grundsätzlich bleibt der Einsatz von KI
Mehr erfahren -
Datenschutzkonformes Terminmanagement durch externe Dienstleister
Die Datenschutzkonferenz (DSK) hat in einem aktuellen Positionspapier klargestellt, unter welchen Voraussetzungen medizinische Praxen datenschutzkonform externe Dienstleister zur Terminvergabe einsetzen dürfen. Solche Anbieter verarbeiten im Regelfall personenbezogene Daten – teilweise auch Gesundheitsdaten – im Auftrag der Praxis. Dies ist laut DSK grundsätzlich zulässig, sofern die Beauftragung auf Grundlage eines wirksamen Vertrags zur Auftragsverarbeitung nach Art. 28
Mehr erfahren -
DSK veröffentlicht Orientierungshilfe für datenschutzkonformen KI‑Einsatz
Die Datenschutzkonferenz (DSK) hat im Mai 2025 die erste innerhalb der DSK abgestimmte Orientierungshilfe zum Einsatz künstlicher Intelligenz im Einklang mit der DS-GVO vorgestellt. Sie dient Verantwortlichen in Behörden und Unternehmen als Checkliste entlang der drei Phasen: Konzeption und Auswahl, Implementierung sowie Nutzung von KI-Systemen. Zentral ist dabei die Analyse von Risiken für Betroffenenrechte, insbesondere
Mehr erfahren
