von | Okt. 15, 2021 | Datenschutz

Krankschreibungen

Krankschreibungen und Datenschutz

Zuletzt aktualisiert am 22. Mai 2026

Es kommt dazu, dass in Unternehmen einzelne Mitarbeiter krankheitsbedingt ausfallen. Hierbei fallen personenbezogene Daten an. Was in diesen Fällen an wen zu kommunizieren? Wie ist ansonsten mit den Daten des Krankgeschriebenen umzugehen? Dies erfahren Sie hier.

Informationen der Arbeitsunfähigkeitsbescheinigung, die auf allen vier Seiten enthalten sind:

  • Krankenkasse bzw. Kostenträger,
  • Name, Adresse, Geburtsdatum und Versicherten-Nummer des Erkrankten,
  • Kostenträgerkennung,
  • Arztnummer und Name des attestierenden Arztes,
  • Datumsangaben der Ausstellung der Bescheinigung, der Feststellung sowie des Beginns und des voraussichtlichen Endes der Arbeitsunfähigkeit,
  • Erst- oder Folgebescheinigung,
  • ist Arbeit die Ursache (ja/nein),
  • Durchgangsarzt zugewiesen (ja/nein).

Auf der ersten, dritten und vierten Seite sind zusätzlich noch vermerkt:

Externen Datenschutzbeauftragten beauftragen — bundesweit ab 250 € / Monat

DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.

→ Leistungen ansehenErsteinschätzung anfragen
  • bis zu sechs Erkrankungen oder Symptomkomplexe, die Arbeitsunfähigkeit begründen können (nach ICD-10 verschlüsselt), nicht jedoch bei Bescheinigungen vom Zahnarzt;
  • Status des Versicherten,
  • Betriebsstättennummer,
  • Unfall als Ursache (ja/nein),
  • Versorgungsleiden (ja/nein),
  • Rehabilitations-Leistungen erforderlich (ja/nein),
  • stufenweise Wiedereingliederung (ja/nein),
  • sonstige besondere Maßnahmen,
  • Krankengeldfall (ja/nein), ggf. Endbescheinigung (ja/nein).

Auf der zweiten Seite (für den Arbeitgeber) fehlt aus Gründen des Gesundheitsdatenschutzes und der Ärztlichen Schweigepflicht die Bezeichnung der Erkrankung oder ihrer Symptome.

Wie darf der Arbeitgeber mit der Krankschreibung umgehen?

Wenn der Arbeitgeber eine Krankschreibung erhält, ist damit genauso umzugehen wie mit den anderen personenbezogenen Daten, die während des Beschäftigungsverhältnisses erhoben werden: Der Arbeitgeber muss angeben, welche Daten er verarbeitet (Art. 13, 14 DSGVO) und diese sind zu löschen, wenn der Erhebungszweck entfällt. Eine Krankschreibung darf nur so lange aufbewahrt werden, bis die Ansprüche des Arbeitnehmers auf beispielsweise Krankengeld abgegolten sind.  

Zudem enthält die Krankschreibung Gesundheitsdaten (allein die Information das eine Person krank ist reicht), also personenbezogene Daten der besonderen Kategorie (Art. 9 I DSGVO). Somit unterstehen die Daten besonderem Schutz. Dies muss im Umgang mit den Daten zum Ausdruck kommen: Krankschreibungen sind nicht zu kopieren und sie sind fachgerecht zu entsorgen, sodass keine Daten mehr erkennbar sind. Außerdem darf keine Weitergabe von Gesundheitsdaten von Mitarbeitern an Dritte erfolgen. Zur Übermittlung von Krankschreibungen sind zudem sichere Kommunikationswege zu nutzen.

Was darf der Arbeitgeber erfragen?

Grundsätzlich hat der Arbeitgeber ein berechtigtes Interesse daran, Informationen darüber zu erhalten, wann und für wie lange ein Arbeitnehmer fehlen wird (§ 32 I 1 BDSG). Zudem haben die Arbeitnehmer im Krankheitsfall einen Anspruch auf Entgeltfortzahlung. Für diese Situation schafft § 5 Entgeltfortzahlungsgesetz (EntgFG) die Regelung, dass der Arbeitnehmer dem Arbeitgeber unverzüglich (also ohne schuldhaftes Zögern) mitteilen muss, wenn er arbeitsunfähig ist und wie lange dies voraussichtlich so bleibt.

Ein ärztliches Attest ist grundsätzlich erst ab dem dritten Fehltag vorzulegen, im Arbeitsvertrag kann dies aber auch anders geregelt werden.

Ein genauer Grund des Fehlens muss hierbei aus gesetzlicher Sicht nicht angegeben werden.

Wem darf der Arbeitgeber die Erkrankung mitteilen?

In den meisten Unternehmen bedeutet ein Krankheitsfall auch, dass eine Vertretung für den erkrankten Kollegen gefunden werden. Ist ein Team betroffen, muss dieses meist ganze Abläufe umplanen. Alle Aussagen über den Gesundheitszustand des Mitarbeiters durch den Arbeitgeber gegenüber Kollegen oder anderen Dritten sind dabei datenschutzrechtlich nicht zulässig. Eine Ausnahme davon kann vorliegen, wenn der erkrankte Mitarbeiter eingewilligt hat. Daneben kann eine solche Verarbeitung der Gesundheitsdaten zur Erfüllung der arbeitsvertraglichen Verpflichtungen erforderlich sein.

Auch die Kollegen müssen darauf achten, dass sie zum Beispiel gegenüber Kunden keine Informationen über den Gesundheitszustand des erkrankten Mitarbeiters preisgeben.

Fazit

Im Falle der Erkrankung eines Mitarbeiters fallen viele besonders sensible Daten an, mit denen entsprechend sorgfältig umzugehen ist. Nicht nur der Arbeitgeber muss den Überblick behalten, sondern auch die anderen Mitarbeiter müssen entsprechend datenschutzrechtlich geschult sein.

Krankmeldung per WhatsApp oder E-Mail

In vielen Unternehmen hat sich die Praxis eingebürgert, Krankmeldungen per WhatsApp, SMS oder E-Mail zu übermitteln. Aus datenschutzrechtlicher Sicht ist dabei zu beachten, dass die Information über eine Erkrankung eine Gesundheitsangabe und damit ein besonders schützenswertes personenbezogenes Datum darstellt.

Die Übermittlung per E-Mail ist grundsätzlich möglich, wenn eine verschlüsselte Übertragung sichergestellt ist. Die Nutzung von WhatsApp für die Übermittlung von Krankmeldungen ist hingegen kritisch zu bewerten, da die Metadaten der Kommunikation an Meta (ehemals Facebook) übermittelt werden und die Ende-zu-Ende-Verschlüsselung keinen Schutz vor dem Zugriff durch den Plattformbetreiber selbst bietet.

Arbeitgeber sollten klare Regelungen treffen, über welche Kanäle Krankmeldungen mitgeteilt werden dürfen, und dabei den Grundsatz der Datenminimierung beachten. Eine telefonische Mitteilung an den direkten Vorgesetzten oder die Personalabteilung bleibt die datenschutzfreundlichste Lösung.

Elektronische Arbeitsunfähigkeitsbescheinigung (eAU) und Datenschutz

Seit dem 1. Januar 2023 ist die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) für alle Arbeitgeber verpflichtend. Der Arbeitnehmer muss seinen Arbeitgeber weiterhin über seine Arbeitsunfähigkeit informieren, die Übermittlung der Bescheinigung erfolgt jedoch elektronisch über die Krankenkasse. Der Arbeitgeber ruft die eAU dann bei der jeweiligen Krankenkasse ab.

Aus datenschutzrechtlicher Sicht bringt die eAU sowohl Vorteile als auch Herausforderungen mit sich. Einerseits wird der physische Transport des Dokuments und damit das Risiko eines Verlustes oder einer unbefugten Kenntnisnahme minimiert. Andererseits entstehen neue Datenflüsse zwischen Arzt, Krankenkasse und Arbeitgeber, die datenschutzkonform gestaltet werden müssen.

Datenschutzrechtliche Anforderungen an die eAU

Die Übermittlung der eAU muss über sichere, verschlüsselte Kanäle erfolgen. Die Krankenkassen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz der übermittelten Gesundheitsdaten zu treffen. Der Arbeitgeber darf nur die Daten abrufen, die er für die Durchführung des Arbeitsverhältnisses benötigt, also insbesondere den Zeitraum der Arbeitsunfähigkeit.

Umgang mit häufigen Krankschreibungen

Ein besonders sensibles Thema ist der Umgang mit Mitarbeitern, die häufig krankgeschrieben werden. Arbeitgeber haben grundsätzlich ein berechtigtes Interesse daran, die Ursachen für hohe Fehlzeiten zu verstehen. Gleichzeitig unterliegen Gesundheitsdaten einem besonderen Schutz nach Art. 9 DSGVO.

Der Arbeitgeber darf keine systematische Auswertung der Krankheitsgründe vornehmen. Er darf jedoch die Anzahl und Dauer der Fehltage erfassen und im Rahmen eines betrieblichen Eingliederungsmanagements (BEM) nach § 167 Abs. 2 SGB IX mit dem Arbeitnehmer über mögliche Ursachen sprechen. Das BEM ist allerdings freiwillig für den Arbeitnehmer, und die dabei gewonnenen Informationen dürfen nicht für andere Zwecke verwendet werden.

Kommunikation im Team über Krankheitsfälle

Wenn ein Mitarbeiter krankheitsbedingt ausfällt, stellt sich die Frage, was der Arbeitgeber den Kollegen mitteilen darf. Grundsätzlich gilt: Der Arbeitgeber darf das Team darüber informieren, dass ein Kollege vorübergehend abwesend ist. Die Information, dass die Abwesenheit krankheitsbedingt ist, sollte jedoch nicht ohne Weiteres mitgeteilt werden.

Keinesfalls darf der Arbeitgeber Details zur Erkrankung, die Diagnose oder den voraussichtlichen Genesungsverlauf mitteilen. Auch die Weiterleitung der Arbeitsunfähigkeitsbescheinigung an Kollegen oder das Aushängen von Krankmeldungen am Schwarzen Brett stellt einen Datenschutzverstoß dar.

Aufbewahrungsfristen für Krankschreibungen

Die Aufbewahrungsfrist für Arbeitsunfähigkeitsbescheinigungen richtet sich nach dem jeweiligen Verwendungszweck. Grundsätzlich sind die Bescheinigungen so lange aufzubewahren, wie sie für die Abwicklung von Entgeltfortzahlungsansprüchen benötigt werden. In der Praxis bedeutet dies eine Aufbewahrungsfrist von mindestens drei Jahren nach Ablauf des Jahres, in dem der Entgeltfortzahlungszeitraum endet.

Nach Ablauf der Aufbewahrungsfrist sind die Dokumente datenschutzkonform zu vernichten. Dies gilt sowohl für physische als auch für elektronische Kopien. Eine automatisierte Löschroutine im Personalverwaltungssystem kann dabei helfen, die fristgerechte Löschung sicherzustellen.

Datenschutz bei Langzeiterkrankungen und Wiedereingliederung

Bei Langzeiterkrankungen stellen sich besondere datenschutzrechtliche Fragen. Der Arbeitgeber hat nach § 167 Abs. 2 SGB IX die Pflicht, ein betriebliches Eingliederungsmanagement (BEM) anzubieten, wenn ein Arbeitnehmer innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig war.

Im Rahmen des BEM-Verfahrens werden zwangsläufig sensible Gesundheitsdaten verarbeitet. Der Arbeitgeber muss den Mitarbeiter vor Beginn des Verfahrens umfassend über die Art und den Umfang der erhobenen Daten sowie deren Verwendung informieren. Die Teilnahme am BEM ist für den Arbeitnehmer freiwillig, und eine Ablehnung darf keine arbeitsrechtlichen Nachteile nach sich ziehen.

Die im BEM-Verfahren erhobenen Daten sind streng vertraulich zu behandeln und in einer separaten BEM-Akte zu führen, die nicht Teil der regulären Personalakte ist. Nach Abschluss des Verfahrens sind die Daten zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Besondere Pflichten bei Gesundheitsdaten

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen vor. Im Beschäftigungsverhältnis kommt als Rechtsgrundlage insbesondere § 26 Abs. 3 BDSG in Betracht.

Der Arbeitgeber muss sicherstellen, dass der Zugang zu Gesundheitsdaten der Mitarbeiter auf das erforderliche Minimum beschränkt wird. Nur Personen, die mit der Personalverwaltung oder der Entgeltabrechnung betraut sind, sollten Zugriff auf diese Daten haben. Eine entsprechende Zugangsbeschränkung ist als technisch-organisatorische Maßnahme im Sinne von Art. 32 DSGVO zu dokumentieren.

Professionelle Datenschutz-Unterstützung für Ihr Unternehmen

Als erfahrene Datenschutzexperten unterstützen wir Sie bei allen Anforderungen der DSGVO. Unsere Leistungen im Überblick:

→ Jetzt unverbindlich beraten lassen

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen