1. Home
  2. eAU und Datenschutz :...
DataAgenda

eAU und Datenschutz : Orientierungshilfe der LfD Niedersachsen

eAU

Arbeitnehmer sind grundsätzlich ab dem vierten Tag ihrer Arbeitsunfähigkeit verpflichtet, dem Arbeitgeber eine Arbeitsunfähigkeitsbescheinigung vorzulegen (§ 5 EZFG). Der Arbeitgeber darf sogar am ersten Tag ein Attest fordern.

Gesetzlich krankenversicherte Arbeitnehmer informieren ihren Arbeitgeber daher unverzüglich über ihre Arbeitsunfähigkeit und suchen – sofern erforderlich – einen Arzt auf. 

Ab dem 1. Januar 2023 ist der Abruf von AU-Daten bei den Krankenkassen für Arbeitgeber verpflichtend. Arbeitnehmer müssen ihrem Arbeitgeber von da an auch keine AU-Bescheinigung mehr vorlegen. Der Arbeitnehmer hat weiterhin die Pflicht, dem Arbeitgeber seine Arbeitsunfähigkeit zu melden und diese ärztlich feststellen zu lassen.

Ein regelmäßiger oder pauschaler Abruf von eAU-Daten durch Arbeitgeber ist nicht zulässig. Die AU-Bescheinigungen (Erst- und Folgebescheinigungen) können nur individuell für den jeweiligen Arbeitnehmer angefordert werden. Die Bundesvereinigung der Deutschen Arbeitgeberverbände hat dazu eine FAQ-Seite online gestellt, die auch auf datenschutzrechtliche Aspekte eingeht.

Kurz vor dem Start des neuen Verfahrens hat auch die Landesbeauftragte für den Datenschutz Niedersachsen ein Papier mit wichtigen Hinweisen zu den datenschutzrechtlichen Anforderungen des neuen Verfahrens veröffentlicht. Die Hinweise sollen sowohl dem Verantwortlichen im Sinne von Artikel 4 Nummer 7 DS-GVO als auch den Betroffenen im Sinne von Artikel 4 Nummer 1 DS-GVO einen Überblick verschaffen, welche datenschutzrechtlichen Vorgaben von den Verfahrensbeteiligten zu beachten sind.

Die LfD weist bzgl. der Umsetzung des Verfahrens insbesondere darauf hin, dass die am Verfahren der Prüfung der Arbeitsunfähigkeit und der Festsetzung der Entgeltfortzahlung beteiligten Stellen stets Artikel 5 Absatz 1 Buchstabe c DS-GVO (Grundsatz der „Datenminimierung“) sowie Artikel 5 Absatz 1 Buchstabe e DS-GVO (Grundsatz der „Speicherbegrenzung“) zu beachten haben.

Daneben solle bei der Einführung der digitalen Personalakte darauf geachtet werden, dass sich der Verantwortliche – ausgerichtet an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten – mit den bei der Verarbeitung bestehenden Gefahren und Risiken auseinanderzusetzen zu habe (siehe hierzu insbesondere Artikel 24 Absatz 1, Artikel 25 Absatz 1 und Artikel 32 Absatz 1 DS-GVO).

Der Verantwortliche habe geeignete technische und organisatorische Sicherungsmaßnahmen zu ergreifen, um ein der jeweiligen Verarbeitungstätigkeit angemessenes Schutzniveau umzusetzen. Als Beispiel wird genannt: Bei Datenübertragungen in Zusammenhang mit dem Abrufverfahren „eAU“ sind geeignete Schutzmaßnahmen zu treffen, hierzu zählen zum Beispiel Verschlüsselungen der besonderen Kategorien der personenbezogenen Daten im Sinne von Artikel 9 Absatz 1 DS-GVO.

In diesem Kontext kann den Verantwortlichen auch die FAQ der LfD Niedersachsen zum Thema „DS-GVO im Gesundheitsbereich Version 2.0“ empfohlen werden.

(Foto: mpix-foto – stock.adobe.com)

Letztes Update:04.12.22

Verwandte Produkte

Das könnte Sie auch interessieren

  • Digitale Souveränität und KI im DataAgenda Podcast Folge 93

    Folge 93: Digitale Souveränität in menschlicher Hoheit

    Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche

    Mehr erfahren
  • EDSA veröffentlicht DSFA-Muster

    Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht

    Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als

    Mehr erfahren
  • Transporterschlüsselung bei E-Mail ausreichend

    Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO

    Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner