Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung)
Gesundheitsdaten gehören gemäß Art. 9 DS-GVO zu den Daten besonderer Kategorien. Ihre Verarbeitung ist nur unter bestimmten Bedingungen zulässig. Im Rahmen eines Beschäftigungsverhältnisses erfolgt die Erfassung von Arbeitsunfähigkeitsdaten in erster Linie zur Ausübung von Rechten und Pflichten, die sich aus einer Erkrankung oder Schwerbehinderung ergeben – sei es zur Lohnfortzahlung, zur Geltendmachung arbeitsrechtlicher Ansprüche oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).
Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ab Anfang 2023 ist zudem ein grundlegender Wandel eingetreten:
Digitalisierung der AU
Die bisher üblichen „gelben Scheine“ wurden weitgehend durch die eAU ersetzt, sodass Arbeitgeber künftig elektronische Übermittlungswege nutzen. Dies erfordert nicht nur den Umstieg auf digitale Archivierungslösungen, sondern auch den Einsatz technischer und organisatorischer Maßnahmen zur Sicherstellung des Datenschutzes und der Integrität der Gesundheitsdaten.
Verarbeitung und Verantwortlichkeit
Die Erfassung und Verarbeitung der AU-Daten obliegt ausschließlich der Personalverwaltung. Nur diese darf die sensiblen Gesundheitsdaten speichern und auswerten – und dies ausschließlich zu den gesetzlich vorgesehenen Zwecken, etwa zur Berechnung der Lohnfortzahlung oder zur Initiierung eines BEM.
Unsicherheit über Aufbewahrungsfristen
In der Praxis besteht häufig Unklarheit darüber, wie lange Arbeitsunfähigkeitsbescheinigungen aufbewahrt werden dürfen. Dabei ist insbesondere zu beachten:
1. Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO):
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Sobald der Zweck entfällt, muss auch die Speicherung beendet werden – sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
2. Gesetzliche Ausnahmen:
Gesetzliche Vorschriften und gerichtliche Entscheidungen können längere Aufbewahrungsfristen vorsehen. So hat das Bundesarbeitsgericht in seinem Urteil vom 25. April 2018 (Az. 2 AZR 6/18) entschieden, dass bei einer Kündigung wegen häufiger Kurzerkrankungen ein Referenzzeitraum von drei Jahren maßgeblich ist – insbesondere, wenn es um die Erstellung einer Gesundheitsprognose geht. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bezieht sich in seinem Tätigkeitsbericht (2020, Ziffer 4.25) ebenfalls auf eine Speicherdauer von drei Jahren als angemessen.
Aktuelle Empfehlungen im digitalen Zeitalter
-Bei Entgeltfortzahlung:
Für Krankmeldungen, bei denen Lohnfortzahlung erfolgt, wird in der Regel eine Aufbewahrungsfrist von drei Jahren als ausreichend betrachtet.
– Bei Arbeitsunfähigkeit ohne Entgeltfortzahlung:
Ist die AU-Datenverarbeitung weniger relevant – beispielsweise bei Kurzerkrankungen ohne Lohnfortzahlung (Fehltage unter sechs Wochen) – empfehlen manche Datenschutzbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht, eine kürzere Aufbewahrungsfrist von etwa einem Jahr.
– Digitale Archivierung und Löschkonzepte:
Mit der eAU besteht die Möglichkeit, Daten elektronisch zu speichern. Es empfiehlt sich, automatisierte Löschprozesse zu implementieren und regelmäßig zu überprüfen, ob Gesundheitsdaten nicht länger als erforderlich gespeichert werden – unter Beachtung der DS-GVO und der jeweiligen gesetzlichen Vorgaben.
– Dokumentation der Entscheidungen:
Arbeitgeber sollten die Festlegung der Aufbewahrungsfristen detailliert dokumentieren. Dies dient als Nachweis gegenüber Aufsichtsbehörden und hilft, im Fall arbeitsrechtlicher Auseinandersetzungen die getroffene Entscheidung nachvollziehbar zu begründen.
Fazit
Die Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigungen orientiert sich an gesetzlichen Vorgaben und gerichtlicher Rechtsprechung. In der heutigen digitalen Arbeitswelt – insbesondere mit der Umstellung auf die elektronische AU – sind neben den traditionellen Aspekten auch technische und organisatorische Maßnahmen zu berücksichtigen. Eine differenzierte Betrachtung (z. B. zwischen Fällen mit und ohne Entgeltfortzahlung) sowie die regelmäßige Überprüfung und Dokumentation der Aufbewahrungsdauer stellen sicher, dass die datenschutzrechtlichen Vorgaben optimal umgesetzt werden.
Verwandte Produkte
Das könnte Sie auch interessieren
-
KI haftet nicht? – Zurechnung von KI-Falschaussagen
Ob Chatbot, KI-Übersicht oder halluzinierter Suchalgorithmus – drei Gerichtsentscheidungen in Deutschland ziehen eine klare Linie: Wer KI-Systeme im geschäftlichen Umfeld einsetzt, trägt die volle rechtliche Verantwortung für deren Ausgaben. Mit Urteil vom 12. Mai 2026 hat der 4. Zivilsenat des OLG Hamm entschieden, dass ein Unternehmen für irreführende Qualifikationsangaben seines KI-Chatbots wettbewerbsrechtlich haftet. Im konkreten
Mehr erfahren -
Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte
Die französische Datenschutzbehörde CNIL hat jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch
Mehr erfahren -
Praxisnahe Handreichung zum Datenpannenmanagement
Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –
Mehr erfahren
