Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung)
Gesundheitsdaten gehören gemäß Art. 9 DS-GVO zu den Daten besonderer Kategorien. Ihre Verarbeitung ist nur unter bestimmten Bedingungen zulässig. Im Rahmen eines Beschäftigungsverhältnisses erfolgt die Erfassung von Arbeitsunfähigkeitsdaten in erster Linie zur Ausübung von Rechten und Pflichten, die sich aus einer Erkrankung oder Schwerbehinderung ergeben – sei es zur Lohnfortzahlung, zur Geltendmachung arbeitsrechtlicher Ansprüche oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).
Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ab Anfang 2023 ist zudem ein grundlegender Wandel eingetreten:
Digitalisierung der AU
Die bisher üblichen „gelben Scheine“ wurden weitgehend durch die eAU ersetzt, sodass Arbeitgeber künftig elektronische Übermittlungswege nutzen. Dies erfordert nicht nur den Umstieg auf digitale Archivierungslösungen, sondern auch den Einsatz technischer und organisatorischer Maßnahmen zur Sicherstellung des Datenschutzes und der Integrität der Gesundheitsdaten.
Verarbeitung und Verantwortlichkeit
Die Erfassung und Verarbeitung der AU-Daten obliegt ausschließlich der Personalverwaltung. Nur diese darf die sensiblen Gesundheitsdaten speichern und auswerten – und dies ausschließlich zu den gesetzlich vorgesehenen Zwecken, etwa zur Berechnung der Lohnfortzahlung oder zur Initiierung eines BEM.
Unsicherheit über Aufbewahrungsfristen
In der Praxis besteht häufig Unklarheit darüber, wie lange Arbeitsunfähigkeitsbescheinigungen aufbewahrt werden dürfen. Dabei ist insbesondere zu beachten:
1. Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO):
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Sobald der Zweck entfällt, muss auch die Speicherung beendet werden – sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
2. Gesetzliche Ausnahmen:
Gesetzliche Vorschriften und gerichtliche Entscheidungen können längere Aufbewahrungsfristen vorsehen. So hat das Bundesarbeitsgericht in seinem Urteil vom 25. April 2018 (Az. 2 AZR 6/18) entschieden, dass bei einer Kündigung wegen häufiger Kurzerkrankungen ein Referenzzeitraum von drei Jahren maßgeblich ist – insbesondere, wenn es um die Erstellung einer Gesundheitsprognose geht. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bezieht sich in seinem Tätigkeitsbericht (2020, Ziffer 4.25) ebenfalls auf eine Speicherdauer von drei Jahren als angemessen.
Aktuelle Empfehlungen im digitalen Zeitalter
-Bei Entgeltfortzahlung:
Für Krankmeldungen, bei denen Lohnfortzahlung erfolgt, wird in der Regel eine Aufbewahrungsfrist von drei Jahren als ausreichend betrachtet.
– Bei Arbeitsunfähigkeit ohne Entgeltfortzahlung:
Ist die AU-Datenverarbeitung weniger relevant – beispielsweise bei Kurzerkrankungen ohne Lohnfortzahlung (Fehltage unter sechs Wochen) – empfehlen manche Datenschutzbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht, eine kürzere Aufbewahrungsfrist von etwa einem Jahr.
– Digitale Archivierung und Löschkonzepte:
Mit der eAU besteht die Möglichkeit, Daten elektronisch zu speichern. Es empfiehlt sich, automatisierte Löschprozesse zu implementieren und regelmäßig zu überprüfen, ob Gesundheitsdaten nicht länger als erforderlich gespeichert werden – unter Beachtung der DS-GVO und der jeweiligen gesetzlichen Vorgaben.
– Dokumentation der Entscheidungen:
Arbeitgeber sollten die Festlegung der Aufbewahrungsfristen detailliert dokumentieren. Dies dient als Nachweis gegenüber Aufsichtsbehörden und hilft, im Fall arbeitsrechtlicher Auseinandersetzungen die getroffene Entscheidung nachvollziehbar zu begründen.
Fazit
Die Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigungen orientiert sich an gesetzlichen Vorgaben und gerichtlicher Rechtsprechung. In der heutigen digitalen Arbeitswelt – insbesondere mit der Umstellung auf die elektronische AU – sind neben den traditionellen Aspekten auch technische und organisatorische Maßnahmen zu berücksichtigen. Eine differenzierte Betrachtung (z. B. zwischen Fällen mit und ohne Entgeltfortzahlung) sowie die regelmäßige Überprüfung und Dokumentation der Aufbewahrungsdauer stellen sicher, dass die datenschutzrechtlichen Vorgaben optimal umgesetzt werden.
Verwandte Produkte
Das könnte Sie auch interessieren
-
Folge 77: KI in der Justiz
Eine moderne Justiz muss mit moderner Technik ausgestattet sein, wenn die Richter ihre wichtige Aufgabe für den Rechtsstaat erfüllen sollen. In der Anwaltschaft ist eine Unterstützung durch KI auf dem Vormarsch. Welche Möglichkeiten und Einsatzfelder gibt es in für Bots in der Justiz? Roboterrichter darf es nicht geben. Aber dürfen Richter sich helfen lassen? Wo
Mehr erfahren -
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren
