Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung)
Gesundheitsdaten gehören gemäß Art. 9 DS-GVO zu den Daten besonderer Kategorien. Ihre Verarbeitung ist nur unter bestimmten Bedingungen zulässig. Im Rahmen eines Beschäftigungsverhältnisses erfolgt die Erfassung von Arbeitsunfähigkeitsdaten in erster Linie zur Ausübung von Rechten und Pflichten, die sich aus einer Erkrankung oder Schwerbehinderung ergeben – sei es zur Lohnfortzahlung, zur Geltendmachung arbeitsrechtlicher Ansprüche oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).
Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ab Anfang 2023 ist zudem ein grundlegender Wandel eingetreten:
Digitalisierung der AU
Die bisher üblichen „gelben Scheine“ wurden weitgehend durch die eAU ersetzt, sodass Arbeitgeber künftig elektronische Übermittlungswege nutzen. Dies erfordert nicht nur den Umstieg auf digitale Archivierungslösungen, sondern auch den Einsatz technischer und organisatorischer Maßnahmen zur Sicherstellung des Datenschutzes und der Integrität der Gesundheitsdaten.
Verarbeitung und Verantwortlichkeit
Die Erfassung und Verarbeitung der AU-Daten obliegt ausschließlich der Personalverwaltung. Nur diese darf die sensiblen Gesundheitsdaten speichern und auswerten – und dies ausschließlich zu den gesetzlich vorgesehenen Zwecken, etwa zur Berechnung der Lohnfortzahlung oder zur Initiierung eines BEM.
Unsicherheit über Aufbewahrungsfristen
In der Praxis besteht häufig Unklarheit darüber, wie lange Arbeitsunfähigkeitsbescheinigungen aufbewahrt werden dürfen. Dabei ist insbesondere zu beachten:
1. Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO):
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Sobald der Zweck entfällt, muss auch die Speicherung beendet werden – sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
2. Gesetzliche Ausnahmen:
Gesetzliche Vorschriften und gerichtliche Entscheidungen können längere Aufbewahrungsfristen vorsehen. So hat das Bundesarbeitsgericht in seinem Urteil vom 25. April 2018 (Az. 2 AZR 6/18) entschieden, dass bei einer Kündigung wegen häufiger Kurzerkrankungen ein Referenzzeitraum von drei Jahren maßgeblich ist – insbesondere, wenn es um die Erstellung einer Gesundheitsprognose geht. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bezieht sich in seinem Tätigkeitsbericht (2020, Ziffer 4.25) ebenfalls auf eine Speicherdauer von drei Jahren als angemessen.
Aktuelle Empfehlungen im digitalen Zeitalter
-Bei Entgeltfortzahlung:
Für Krankmeldungen, bei denen Lohnfortzahlung erfolgt, wird in der Regel eine Aufbewahrungsfrist von drei Jahren als ausreichend betrachtet.
– Bei Arbeitsunfähigkeit ohne Entgeltfortzahlung:
Ist die AU-Datenverarbeitung weniger relevant – beispielsweise bei Kurzerkrankungen ohne Lohnfortzahlung (Fehltage unter sechs Wochen) – empfehlen manche Datenschutzbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht, eine kürzere Aufbewahrungsfrist von etwa einem Jahr.
– Digitale Archivierung und Löschkonzepte:
Mit der eAU besteht die Möglichkeit, Daten elektronisch zu speichern. Es empfiehlt sich, automatisierte Löschprozesse zu implementieren und regelmäßig zu überprüfen, ob Gesundheitsdaten nicht länger als erforderlich gespeichert werden – unter Beachtung der DS-GVO und der jeweiligen gesetzlichen Vorgaben.
– Dokumentation der Entscheidungen:
Arbeitgeber sollten die Festlegung der Aufbewahrungsfristen detailliert dokumentieren. Dies dient als Nachweis gegenüber Aufsichtsbehörden und hilft, im Fall arbeitsrechtlicher Auseinandersetzungen die getroffene Entscheidung nachvollziehbar zu begründen.
Fazit
Die Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigungen orientiert sich an gesetzlichen Vorgaben und gerichtlicher Rechtsprechung. In der heutigen digitalen Arbeitswelt – insbesondere mit der Umstellung auf die elektronische AU – sind neben den traditionellen Aspekten auch technische und organisatorische Maßnahmen zu berücksichtigen. Eine differenzierte Betrachtung (z. B. zwischen Fällen mit und ohne Entgeltfortzahlung) sowie die regelmäßige Überprüfung und Dokumentation der Aufbewahrungsdauer stellen sicher, dass die datenschutzrechtlichen Vorgaben optimal umgesetzt werden.
Verwandte Produkte
Das könnte Sie auch interessieren
-
LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails
Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für
Mehr erfahren -
Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden
Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer
Mehr erfahren -
Gemeinsame Dateiablagen als datenschutzrechtliches Risiko
In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.
Mehr erfahren
