Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigung

AU-Bescheinigung

Gesundheitsdaten gehören zu den Daten besonderer Kategorie gem. Art. 9 DS-GVO. Ihre Verarbeitung ist nur unter bestimmten Bedingungen erlaubt. Im Zusammenhang mit einem Beschäftigungsverhältnis sind dies vor allem Fälle, in denen die Verarbeitung von Gesundheitsdaten zur Ausübung von Rechten und Pflichten, die aus einer Erkrankung bzw. auch aus einer Schwerbehinderung entstehen, erforderlich ist. Dies können Rechte und Pflichten sowohl der Beschäftigten als auch des Arbeitgebers sein.

Die Erfassung einer Dienst- oder Arbeitsunfähigkeit wegen Krankheit hat verschiedene Aspekte. Erforderlich und damit datenschutzrechtlich zulässig ist sie zur Erfüllung gesetzlicher Vorschriften, z.B. zur Errechnung der Dauer der Lohnfortzahlung oder zur Unterbreitung eines Angebots für eine Maßnahme des betrieblichen Eingliederungsmanagements (BEM).

Diese Aufgaben obliegen dem Arbeitgeber, so dass ausschließlich die Personalverwaltung die Datenverarbeitung zu diesem Zweck vornehmen darf und muss.

Unsicherheit über Aufbewahrungsfristen

Die ärztlichen Bescheinigungen über eine Arbeitsunfähigkeit wegen Erkrankung sollten grundsätzlich unmittelbar der Personalverwaltung zugeleitet werden. Dasselbe gilt für kurzzeitige Krankmeldungen ohne ärztliches Attest.
Unsicherheit herrscht in den personaldatenverarbeitenden Stellen oftmals bzgl. der Frage, wie lange Arbeitsunfähigkeitsbescheinigungen aufbewahrt werden dürfen.
Wird die/der Datenschutzbeauftragte im Unternehmen danach gefragt wird diese/dieser wohl auf zwei Dinge hinweisen:

1. Datenschutzrechtlich greift zunächst der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DS-GVO ein. Danach dürfen personenbezogene Daten nur in einer Form gespeichert werden, „die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Fällt der Zweck der Datenverarbeitung weg, so entfällt grundsätzlich auch die Berechtigung für eine weitere Datenverarbeitung in Form einer Speicherung der erhobenen Daten.

2. Ausnahmen hierzu bilden gesetzliche Aufbewahrungsfristen.

Hilfereich ist es, wenn der Verantwortliche bei der Bemessung der Aufbewahrungsfrist auf aufsichtsbehördliche Tätigkeitsberichte oder Gerichtsurteile verweisen kann.

Das BAG hat in einem Urteil vom 25. April 2018 (Aktenzeichen 2 AZR 6/18) entschieden, dass „bei einer Kündigung wegen häufiger Kurzerkrankungen, vorbehaltlich besonderer Umstände des Einzelfalls, für die Erstellung der Gesundheitsprognose ein Referenzzeitraum von drei Jahren vor Zugang der Kündigung maßgeblich ist. Ist eine Arbeitnehmervertretung gebildet, ist auf die letzten drei Jahre vor Einleitung des Beteiligungsverfahrens abzustellen“ (vergleiche Bundesarbeitsgericht, Urteil vom 25. April 2018 – 2 AZR 6/18, BAGE 162, 327-339).
Auf genau dieses Urteil stützt sich der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) und sieht in dem von ihm in seinem 3. Tätigkeitsbericht (2020) betrachten Fall (Ziffer 4.25) ebenfalls eine Speicherdauer von drei Jahren bei Arbeitsunfähigkeitsbescheinigungen beziehungsweise Fehlzeiten des Beschäftigten als noch angemessen an.

Eine darüberhinausgehende Speicherdauer von fünf Jahren – sei nach diesen Grundsätzen zu lang und müsste vom Arbeitgeber im Einzelfall besonders begründet und diese Begründung hinreichend dokumentiert werden. Für den Zeitraum der zulässigen Speicherdauer sei es dem Arbeitgeber dabei nach Art. 9 Abs. 2 lit. f) DS-GVO gestattet, auch Daten besonderer Kategorie des Beschäftigten, hier dessen Gesundheitsdaten, zu verarbeiten, sofern ihm diese zulässig bekannt geworden sind.

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit

(Foto: Ralf – stock.adobe.com)




Letztes Update:24.10.21

  • Löschen nach DS-GVO in der Praxis

    Löschen nach DS-GVO in der Praxis

    Buch

    99.99 € Mehr erfahren
  • Best Practices: Löschen nach der DS-GVO

    Best Practices: Löschen nach der DS-GVO

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Personalprozesse datenschutzkonform organisieren

    Personalprozesse datenschutzkonform organisieren

    Seminar

    833.00 € Mehr erfahren
  • Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) in Kraft getreten

    Zum 01.12.2021 ist das neue TTDSG in Kraft getreten. Ziel der Neuregelung ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DS-GVO) sowie die – bereits lange ausstehende – Umsetzung der e-Privacy-Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung). Das hat zur Folge, dass es

    Mehr erfahren
  • 3G-Regel

    Umsetzung der 3G-Regelung – Hinweise und Orientierung

    Seit Mittwoch, den 24.11.2021 sollen am Arbeitsplatz die sog. 3G-Regelungen gelten. Der Deutsche Bundestag und der Bundesrat haben die Änderung des Infektionsschutzgesetzes und weiterer Gesetze beschlossen. Die neuen Regelungen beinhalten arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen sowie Unterstützungsleistungen.Die Regelungen sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das allgemeine Infektionsgeschehen in Deutschland effizient

    Mehr erfahren
  • Koalitionsvertrag

    GDD äußert sich zu Datenschutz im Koalitionsvertrag

    Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. nimmt die am 24.11.2021 erfolgte Veröffentlichung des Koalitionsvertrags 2021 – 2025 zwischen der Sozialdemokratischen Partei Deutschlands (SPD),. BÜNDNIS 90 / DIE GRÜNEN und den Freien Demokraten (FDP) zum Anlass, um die wesentlichen Aussagen zum Thema Datenschutz herauszuarbeiten: Im Koalitionsvertrag setzen sich SPD, Bündnis 90/Die Grünen und FDP für

    Mehr erfahren