eAU: Neuerungen für Arbeitgeber
Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu.
In diesem Artikel möchten wir einen Überblick über das Verfahren der eAU geben und die damit einhergehenden datenschutzrechtlichen Neuerungen für Arbeitgeber darstellen.
Die eAU – ein Überblick
Ärztinnen und Ärzte versenden die Arbeitsunfähigkeitsbescheinigung elektronisch an die Krankenkasse, Die Krankenkassen müssen nach Eingang der eAU eine Meldung zum Abruf für den Arbeitgeber erstellen. Dies ergibt sich aus den Regelungen zur eAU in § 109 Abs. 1 SGB IV i.V.m. § 295 Abs. 1 S. 1 Nr. 1 SGB V. Auf Wunsch und bei technischen Störungen erhalten Patientinnen und Patienten von der Arztpraxis weiterhin eine Papierbescheinigung für den Arbeitgeber. Diese kann ggf. als gesetzliches Beweismittel dienen.
Die eAU gilt nicht für Arbeitssuchende, Mini-Jobber in Privathaushalten, Schülerinnen und Schüler, Studierende, Privatversicherte, AU-Bescheinigungen aus dem Ausland und bei Krankheit des Kindes. In diesen Fällen stellt der Arzt weiterhin eine Papierbescheinigung aus.
Damit der Arbeitgeber die eAU abrufen kann, muss er dazu berechtigt sein. – Mareike Jockers
Das Abrufverfahren
Der Abruf der eAU erfolgt über ein systemgeprüftes Entgeltabrechnungsprogramm. Dieses stellt eine zuverlässige verschlüsselte Datenübertragung zwischen Krankenkasse und Arbeitgeber sicher. Alternativ kann auch eine Ausfüllhilfe, wie bspw. das SV-Meldeportal, genutzt werden, die den elektronischen Datenaustausch mit der Datenannahmestelle der Krankenkasse übernimmt.
Damit der Arbeitgeber die eAU abrufen kann, muss er dazu berechtigt sein. Eine Berechtigung liegt vor, wenn
- zwischen dem Arbeitgeber und dem Beschäftigten für den angefragten Zeitraum ein Beschäftigungsverhältnis besteht und
- der Beschäftigte dem Arbeitgeber seine krankheitsbedingte Abwesenheit und deren voraussichtliche Dauer vorab mitgeteilt hat.
Das bedeutet für die Beschäftigten, dass sie ihren Arbeitgeber weiterhin über die Krankschreibung informieren müssen.
Damit die Krankkasse den Beschäftigten identifizieren kann, muss der Arbeitgeber unter anderem Vor- und Nachname, Datum des Arztbesuchs und die Dauer der Abwesenheit angeben.
Bei erfolgreicher Abfrage werden von der Krankenkasse folgende Daten an den Arbeitgeber weitergegeben: Name des Beschäftigten, Beginn und Ende der AU, Datum der ärztlichen Feststellung der AU, Kennzeichnung als Erst- oder Folgemeldung und ggf. Angaben zu einem möglichen Unfall (auch Arbeitsunfall) oder zu dessen Folgen. Eine konkrete Diagnose erhält der Arbeitgeber von der Krankenkasse nicht.
Auch für vergangene AU-Zeiträume kann eine eAU vom Arbeitgeber abgerufen werden. Voraussetzung dafür ist, dass die Verjährungsfrist von 4 Jahren (§ 6 I Aufwendungsausgleichsgesetz) noch nicht eingetreten ist und im abgefragten Zeitraum ein Arbeitsverhältnis bestand.
Was Unternehmen aus datenschutzrechtlicher Sicht nun beachten müssen
Um dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO nachzukommen, sollten Unternehmen die Beschäftigten über die neue Verarbeitungstätigkeit ihrer personenbezogenen Daten aus der eAU informieren. Dafür sollten die bereits vorhandenen Datenschutz-Informationen für Beschäftigte überprüft und ggf. angepasst werden.
Die Verpflichtung zum elektronischen Abruf der Krankmeldung hat außerdem zur Folge, dass das Verzeichnis von Verarbeitungstätigkeiten überarbeitet werden muss. Es muss eine neue Verarbeitungstätigkeit erstellt bzw. die bereits vorhandene Verarbeitungstätigkeit zur Verarbeitung von Arbeitsunfähigkeitszeiten angepasst werden. Bei der Erstellung bzw. Anpassung sind die technischen und organisatorischen Abläufe der Verarbeitung innerhalb des Unternehmens zu überprüfen.
Ob ein Vertrag zur Auftragsverarbeitung abzuschließen ist, muss im Einzelfall geprüft werden und hängt davon ab, wie die eAU vom Arbeitgeber abgerufen wird. Sicher ist, dass mit der Krankenkasse kein Vertrag geschlossen werden muss. Anders liegt der Fall beim Abruf über ein Entgeltabrechnungsprogramm. Hier kann der Abschluss eines entsprechenden Vertrages erforderlich sein.
Fazit
Mit Einführung der eAU senden Arztpraxen die Arbeitsunfähigkeit elektronisch an die Krankenkasse, bei welcher der Arbeitgeber diese abrufen kann. Bestehen bleibt die Krankmeldepflicht des Beschäftigten gegenüber dem Arbeitgeber. Sie berechtigt den Arbeitgeber zum Abruf der eAU.
Da bei Bearbeitung der eAU personenbezogene Daten verarbeitet werden, kommen damit auch einige datenschutzrechtliche Neuerungen auf den Arbeitgeber zu. Es gilt, interne Prozesse neu zu beleuchten und die im Unternehmen vorhandenen technischen und organisatorischen Maßnahmen zu überprüfen. Anhand der Erkenntnisse aus dieser Überprüfung muss das Verzeichnis für Verarbeitungstätigkeiten aktualisiert werden. Schließlich ist es erforderlich, die Beschäftigten über die Neuerungen in der Verarbeitung ihrer Daten zu informieren.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
Autorin des Artikels: