Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© lasido, Getty Images
Datenschutz und die elektronische Arbeitsunfähigkeitsbescheinigung: Neue Herausforderungen
Zuletzt aktualisiert am 27. Juli 2023
Die Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ist eine bedeutende Veränderung im Bereich des Datenschutzes im Arbeitsumfeld. Bereits am 18. September 2019 beschloss der Bundestag im Bürokratieentlastungsgesetz III die Einführung der eAU, ursprünglich geplant für den 01. Januar 2022. Mit einigen Verzögerungen ist die Pilotphase dann am 31. Dezember 2022 abgeschlossen und zum 01. Januar 2023 ist der Live-Betrieb gestartet.
Durch die neue eAU ergeben sich allerdings nicht nur Änderungen für Krankenkassen und medizinische Praxen – auch für Organisationen ergibt sich ein Handlungsbedarf. Mit der neuen Regelung müssen Organisationen nun ihre Prozesse und Verarbeitungstätigkeiten anpassen, um den Datenschutz auch in diesem Bereich zu gewährleisten.
Doch was genau ändert sich durch die eAU? Und welche Änderungen müssen Organisationen vornehmen?
Die Schritte der eAU in der Übersicht
Der Prozess der elektronischen Arbeitsunfähigkeitsbescheinigung besteht aus drei Schritten:
1. Schritt
Die Ärztin/der Arzt meldet die Arbeitsunfähigkeitsdaten an die Krankenkasse. Dabei sind die übermittelten Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Die Übermittlung erfolgt elektronisch.
2. Schritt
Die Arbeitnehmenden informieren die Arbeitgebenden über die festgestellte Dauer der Arbeitsunfähigkeit. Das Einreichen einer Bescheinigung entfällt mit der neuen Regelung.
3. Schritt
Die Arbeitgebenden rufen die Daten über die Schnittstellen der Entgeltabrechnungssoftware oder über das Portal sv.net der Krankenkassen ab. Die abgerufenen Informationen beinhalten die Namen der Beschäftigten, Beginn und Ende der Arbeitsunfähigkeit, das Datum der medizinischen Feststellung, die Kennzeichnung als Erst- oder Folgemeldung sowie Angaben zu Arbeitsunfällen oder sonstigen Unfällen.
Ausnahmen
Für privat versicherte Beschäftigte und Minijobs in Privathaushalten gilt die eAU nicht. Auch Arbeitsunfähigkeitsbescheinigungen durch Ärzt:innen, die nicht an der vertragsärztlichen Versorgung teilnehmen, sind von der eAU ausgenommen.
Die TI-Plattform
Für die elektronische Arbeitsunfähigkeitsbescheinigung ist die Verwendung der Telematik-Infrastruktur (TI) vorgeschrieben. Die Übermittlung der Daten erfolgt direkt aus dem Praxisverwaltungssystem heraus und wird mithilfe eines KIM-(Kommunikation-im-Medizinwesen-)Dienstes durchgeführt. Dabei werden die Daten in der Praxis und zusätzlich auf dem Übertragungsweg zur Krankenkasse verschlüsselt.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Notwendige Anpassungen für Organisationen
Bei der Verarbeitung der eAU-Daten ist es wichtig, die Datenschutzgrundsätze und insbesondere die Datenminimierung zu beachten. Mit der Einführung der eAU müssen Organisationen ihre Datenschutzprozesse überprüfen und anpassen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die hier aufgeführten Schritte sind dabei insbesondere zu beachten:
1. Prozess und Verarbeitungstätigkeiten neu bewerten und anpassen
Auch bei der eAU gilt der Grundsatz der Vertraulichkeit. Daher gilt es zu überprüfen, wer die Daten über die AU benötigt, an welcher Stelle die Daten ankommen, wer für die Verteilung der Daten verantwortlich ist, wie die eAU-Daten weiterverarbeitet werden, welche Sicherheitsmaßnahmen für den Schutz der Daten existieren, wo die Daten archiviert werden und wann sie wieder gelöscht werden müssen. Diese Prozesse müssen durchdacht und im Anschluss entsprechend im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden
2. Technische Strukturen prüfen
Organisationen müssen sicherstellen, dass die technischen Strukturen für den Abruf der eAU-Daten den Anforderungen gemäß Artikel 32 der Datenschutz-Grundverordnung (DSGVO) entsprechen und ein angemessenes Schutzniveau gewährleisten.
3. Zwecke der Verarbeitung definieren
Die Verarbeitung von Arbeitsunfähigkeitszeiten von Beschäftigten kann für verschiedene Zwecke genutzt werden, sei es zur Entgeltfortzahlung oder für andere gesetzliche Vorgaben. Organisationen sollten daher diese Zwecke klar definieren und die Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten entsprechend dokumentieren. Dies gewährleistet eine transparente und rechtskonforme Datenverarbeitung im Einklang mit den Datenschutzanforderungen
4. Sicherheit der Übermittlung gewährleisten
Organisationen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um den Schutz der eAU-Daten vor unbefugtem Zugriff und Missbrauch zu gewährleisten. Hierzu gehört auch die sorgfältige Auswahl der Technologie und die Nutzung verschlüsselter Übertragungswege, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Dabei sollten mögliche Sicherheitsrisiken und potenzielle Schwachstellen identifiziert und proaktiv behandelt werden, um Datenschutzverletzungen zu vermeiden. Organisationen sollten darüber hinaus darauf achten, dass die Aufbewahrung der eAU-Daten gemäß den gesetzlichen Vorgaben erfolgt und eine Löschung nach Ablauf der vorgegebenen Speicherfrist ordnungsgemäß durchgeführt wird.
Veränderungen für gesetzlich versicherte Beschäftigte
Für gesetzlich versicherte Beschäftigte entfällt die Pflicht, Krankmeldungen vorzulegen. Allerdings erhalten Beschäftigte weiterhin eine Papierbescheinigung als gesetzlich vorgesehenes Beweismittel. Diese Papierbescheinigung soll so lange beibehalten werden, bis ein geeignetes elektronisches Mittel mit gleichem Beweiswert zur Verfügung steht.
Fazit
Die Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung bringt wichtige Änderungen im Datenschutz mit sich. Organisationen müssen ihre Prozesse und Verarbeitungstätigkeiten überprüfen und anpassen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Datenübermittlung erfolgt über eine sichere Plattform, dennoch müssen Organisationen die nötigen Sicherheitsmaßnahmen ergreifen, um die Daten vor unbefugtem Zugriff zu schützen. Die eAU ist ein weiterer Schritt in Richtung Digitalisierung im Arbeitsumfeld, der eine sorgfältige Auseinandersetzung mit dem Datenschutz erfordert.
Quellen
Delventhal, Dipl.-Jur. Marlene (2023): „Weniger Papier = weniger Datenschutz? – Zur Einführung der eAU“, https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2023%2Fcont%2Fzdaktuell.2023.01075.htm&pos=20&hlwords=on, letzter Zugriff am 28. Juli 2023.
Fackeldey, Sascha (2022): „Datenschutz im Betrieb: Die elektronische Arbeitsunfähigkeitsbescheinigung“, 28. November 2022, https://www.datenschutz-praxis.de/datenschutzbeauftragte/datenschutz-betrieb-elektronische-arbeitsunfaehigkeitsbescheinigung/, letzter Zugriff am 28. Juli 2022.
Landesbeauftragte für den Datenschutz Niedersachsen (2022): „Hinweise zu Datenverarbeitungen im Zusammenhang mit der Vorlage von Arbeitsunfähigkeitsbescheinigungen sowie zu Entgeltfortzahlungen im Krankheitsfall“, Dezember 2022.
Verbraucherzentrale (2023): „Digitale Krankschreibung: elektronische Arbeitsunfähigkeitsbescheinigung“, 01. Juni 2023, https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/digitale-krankschreibung-elektronische-arbeitsunfaehigkeitsbescheinigung-65488, letzter Zugriff am 28. Juli 2023.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung