Offenlegung von Diagnosen bei Fortsetzungserkrankungen: Was Arbeitgeber beachten müssen

Die Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis bleibt eines der sensibelsten Themen im Datenschutzrecht. Besonders konfliktträchtig wird es, wenn Arbeitgeber bei wiederholten Krankmeldungen Auskunft darüber verlangen, ob eine sogenannte Fortsetzungserkrankung vorliegt. Der aktuelle Tätigkeitsbericht Datenschutz 2025 des Sächsischen Datenschutzbeauftragten greift dieses Thema ausführlich auf und beleuchtet die datenschutzrechtlichen Risiken und Pflichten für Arbeitgeber. Grundlage ist insbesondere das Urteil des Bundesarbeitsgerichts (BAG) vom 18. Januar 2023 (Az. 5 AZR 93/22).

Wann liegt eine Fortsetzungserkrankung vor?

Nach § 3 Abs. 1 Entgeltfortzahlungsgesetz (EFZG) haben Arbeitnehmer grundsätzlich Anspruch auf Entgeltfortzahlung im Krankheitsfall für bis zu sechs Wochen. Problematisch wird es bei wiederholten Arbeitsunfähigkeiten: Handelt es sich um dieselbe Erkrankung, werden die Zeiträume zusammengerechnet.

Ein neuer Anspruch auf Entgeltfortzahlung entsteht nur dann, wenn:

  • der Arbeitnehmer mindestens sechs Monate nicht wegen derselben Krankheit arbeitsunfähig war oder
  • seit Beginn der ersten Arbeitsunfähigkeit zwölf Monate vergangen sind.

Für Arbeitgeber stellt sich daher regelmäßig die Frage, ob eine neue Erkrankung oder eine Fortsetzungserkrankung vorliegt.

Arbeitsunfähigkeitsbescheinigung enthält keine Diagnose

Die klassische Arbeitsunfähigkeitsbescheinigung dient lediglich als Nachweis der Arbeitsunfähigkeit. Eine konkrete medizinische Diagnose enthält sie bewusst nicht. Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonders sensiblen personenbezogenen Daten und unterliegen einem erhöhten Schutz.

Dennoch berichten Datenschutzaufsichtsbehörden zunehmend von Fällen, in denen Arbeitgeber Beschäftigte zur Offenlegung ihrer Diagnose auffordern, um die Verpflichtung zur Entgeltfortzahlung prüfen zu können.

BAG-Urteil stärkt Arbeitgeberinteressen

Das Bundesarbeitsgericht hat mit Urteil vom 18. Januar 2023 die Anforderungen an die Darlegungs- und Beweislast konkretisiert. Danach gilt eine abgestufte Darlegungslast:

  • Arbeitnehmer müssen zunächst darlegen, dass keine Fortsetzungserkrankung vorliegt.
  • Bestreitet der Arbeitgeber dies, genügt die Vorlage einer AU-Bescheinigung allein nicht mehr.
  • Beschäftigte müssen dann Tatsachen schildern, die eine andere Erkrankung plausibel machen.
  • Unter Umständen kann sogar eine Entbindung behandelnder Ärzte von der Schweigepflicht erforderlich werden.

Das BAG sieht hierin zwar einen Eingriff in das Recht auf informationelle Selbstbestimmung, hält diesen jedoch für verhältnismäßig und gerechtfertigt.

Gesundheitsdaten im Arbeitsverhältnis: Welche Rechtsgrundlage gilt?

Datenschutzrechtlich stützt sich die Verarbeitung nach Auffassung des BAG auf:

  • Art. 9 Abs. 2 lit. b DSGVO
  • § 26 Abs. 3 BDSG

Danach dürfen Gesundheitsdaten verarbeitet werden, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis erforderlich ist — hier konkret zur Prüfung der Entgeltfortzahlungspflicht nach § 3 EFZG.

Für Arbeitgeber bedeutet das jedoch keineswegs einen Freibrief zur umfassenden Datenerhebung.

Datenschutzrechtliche Grenzen bleiben bestehen

Der Sächsische Datenschutzbeauftragte weist ausdrücklich darauf hin, dass Arbeitgeber strenge datenschutzrechtliche Anforderungen erfüllen müssen. Insbesondere gelten weiterhin die Grundsätze aus Art. 5 DSGVO.

Datenschutz-Folgenabschätzung kann erforderlich sein

Da Gesundheitsdaten verarbeitet werden, kann zudem eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Arbeitgeber sollten außerdem sicherstellen, dass entsprechende Verarbeitungsvorgänge korrekt im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert werden.

Arbeitgeber müssen bei der Verarbeitung von Gesundheitsdaten besonders strenge datenschutzrechtliche Vorgaben beachten. Nach dem Grundsatz der Datenminimierung dürfen ausschließlich solche Gesundheitsdaten verarbeitet werden, die für die Prüfung der Entgeltfortzahlung tatsächlich erforderlich sind. Eine pauschale oder vorsorgliche Erhebung medizinischer Informationen ist hingegen unzulässig. Ebenso gilt eine strikte Zweckbindung: Die erhobenen Gesundheitsdaten dürfen ausschließlich zur Prüfung der Entgeltfortzahlung verwendet werden. Eine anderweitige Nutzung, etwa für Leistungsbewertungen, disziplinarische Maßnahmen oder sonstige Personalentscheidungen, verstößt gegen die DSGVO.

Kritisch bewertet die Datenschutzaufsicht zudem die Speicherung sensibler Gesundheitsdaten in der allgemeinen Personalakte. Stattdessen sollte eine organisatorisch getrennte Verarbeitung erfolgen. Der Tätigkeitsbericht empfiehlt hierfür ausdrücklich die Einrichtung einer informationell abgeschotteten „Vertrauensstelle“ innerhalb des Unternehmens. Dadurch soll sichergestellt werden, dass weder Vorgesetzte noch die allgemeine Personalverwaltung Kenntnis konkreter Diagnosen erhalten. Darüber hinaus dürfen nur wenige, ausdrücklich berechtigte Personen Zugriff auf Gesundheitsinformationen haben. Unternehmen sind daher verpflichtet, geeignete technische und organisatorische Maßnahmen nach Art. 25 DSGVO umzusetzen, um den Zugriff auf Gesundheitsdaten auf das zwingend erforderliche Maß zu beschränken.

Wertungswidersprüche beim betrieblichen Eingliederungsmanagement

Interessant ist auch die Kritik der Datenschutzaufsicht am BAG-Urteil selbst. Der Sächsische Datenschutzbeauftragte sieht mögliche Wertungswidersprüche zum betrieblichen Eingliederungsmanagement (BEM). Dort gelten traditionell besonders hohe Anforderungen an die Freiwilligkeit und Vertraulichkeit der Verarbeitung von Gesundheitsdaten.

Die Entscheidung zeigt damit erneut das Spannungsfeld zwischen arbeitsrechtlichen Interessen der Arbeitgeber und dem Datenschutz der Beschäftigten.

Fazit: Arbeitgeber brauchen klare Datenschutzkonzepte

Das BAG-Urteil erleichtert Arbeitgebern zwar unter bestimmten Voraussetzungen die Prüfung von Fortsetzungserkrankungen. Gleichzeitig steigen jedoch die datenschutzrechtlichen Anforderungen an Unternehmen erheblich.

Arbeitgeber sollten daher dringend datenschutzkonforme Verfahren etablieren, insbesondere:

  • klare Prozesse zur Verarbeitung von Gesundheitsdaten,
  • strikte Zugriffsbeschränkungen,
  • getrennte Vertrauensstellen,
  • Lösch- und Aufbewahrungskonzepte,
  • sowie belastbare technische und organisatorische Maßnahmen.

Unternehmen, die Gesundheitsdaten ohne sauberes Datenschutzkonzept verarbeiten, riskieren nicht nur arbeitsrechtliche Konflikte, sondern auch aufsichtsbehördliche Maßnahmen und Bußgelder.

Sie möchten prüfen, ob Ihre Prozesse zur Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis DSGVO-konform ausgestaltet sind? Unsere Datenschutzkanzlei unterstützt Unternehmen bei der rechtssicheren Umsetzung von Beschäftigtendatenschutz, Gesundheitsdatenverarbeitung und internen Compliance-Konzepten. Nehmen Sie gerne Kontakt mit uns auf.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

Offenlegung von Diagnosen bei Fortsetzungserkrankungen: Was Arbeitgeber beachten müssen
KI-Reallabor abgeschlossen: Was Unternehmen jetzt wissen müssen
LDA Bayern veröffentlicht 15. Tätigkeitsbericht für 2025
KI-Durchführungsgesetz: Streit um die Aufsicht – und die Folgen für Unternehmen
KI-Durchführungsgesetz: Streit um die Aufsicht und die Folgen für Unternehmen