Gesundheitsdaten im Arbeitsverhältnis: Was Arbeitgeber wissen dürfen – und was nicht

Veröffentlicht am von

Wenn Beschäftigte länger krank sind, müssen Arbeitgeber prüfen, ob weiterhin ein Anspruch auf Lohnfortzahlung besteht. Doch welche Informationen dürfen sie dabei überhaupt einholen? Und wo sind die Grenzen des Datenschutzes?

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat hierzu im Juli 2025 erstmals eine klare Orientierungshilfe veröffentlicht. Sie zeigt auf, wann die Verarbeitung von Gesundheitsdaten zulässig ist – und wann nicht.

Wann die Verarbeitung von Gesundheitsdaten erlaubt ist

Gesundheitsdaten zählen zu den besonders sensiblen Informationen nach Artikel 9 DSGVO. Arbeitgeber dürfen sie nur verarbeiten, wenn dies erforderlich ist – zum Beispiel zur Erfüllung ihrer Pflichten nach dem Entgeltfortzahlungsgesetz (EFZG).

Die Rechtsgrundlage ergibt sich aus § 26 Absatz 3 BDSG in Verbindung mit Artikel 9 Absatz 2 Buchstabe b DSGVO sowie Artikel 6 Absatz 1 Buchstabe b DSGVO. Danach dürfen Daten verarbeitet werden, wenn sie zur Durchführung des Arbeitsvertrags notwendig sind – etwa, um festzustellen, ob ein Anspruch auf Entgeltfortzahlung besteht.

Doch wichtig: Der bloße Verdacht auf eine sogenannte Fortsetzungserkrankung reicht nicht aus. Nur wenn konkrete Hinweise bestehen – etwa zeitliche Nähe oder inhaltliche Zusammenhänge zwischen Erkrankungen –, darf der Arbeitgeber tätig werden.
Die LDI NRW empfiehlt außerdem, mildere Mittel zu prüfen:

  • Eine Anfrage bei der Krankenkasse, ob aus ihrer Sicht eine Fortsetzungserkrankung vorliegt.
  • Oder die Einschaltung des Betriebsarztes, der eine Einschätzung gibt, ohne Diagnosen offenzulegen.

Einwilligung: In der Praxis kaum wirksam

Viele Arbeitgeber glauben, sie könnten Gesundheitsdaten mit Einwilligung der Beschäftigten erheben. Doch das funktioniert in der Regel nicht.

Eine Einwilligung ist nur dann gültig, wenn sie freiwillig erfolgt. Im Arbeitsverhältnis besteht jedoch ein Abhängigkeitsverhältnis – Beschäftigte könnten sich unter Druck gesetzt fühlen, um ihre Lohnfortzahlung nicht zu gefährden.

Damit fehlt es an der Freiwilligkeit – und die Einwilligung ist unwirksam.

Sichere Aufbewahrung und klare Grenzen bei der Weitergabe

Gesundheitsdaten müssen besonders sicher und vertraulich behandelt werden. Arbeitgeber sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz dieser Daten zu treffen.

Die LDI NRW betont:

  • Gesundheitsdaten dürfen nicht in der Personalakte aufbewahrt werden.
  • Auch eine gemeinsame Ablage mit Arbeitsunfähigkeitsbescheinigungen ist nicht erlaubt, da diese keine Diagnosen enthalten dürfen.
  • Stattdessen müssen Gesundheitsdaten getrennt und geschützt gespeichert werden – vergleichbar mit den Vorgaben zum betrieblichen Eingliederungsmanagement (BEM).

Auch bei der Speicherdauer gilt: Nur so lange, wie es zur Prüfung des Entgeltfortzahlungsanspruchs erforderlich ist. Weder Vermutungen über Krankheitsmuster noch mögliche Rechtsstreitigkeiten rechtfertigen eine längere Aufbewahrung.

Die Weitergabe solcher Daten an Dritte ist grundsätzlich untersagt.

Nur in engen Ausnahmefällen – etwa wenn sich ein Arbeitgeber gegen geltend gemachte Ansprüche verteidigen muss – darf die Weitergabe an Rechtsanwälte oder Arbeitgeberverbände erfolgen. Grundlage ist dann Artikel 6 Absatz 1 Buchstabe f DSGVO, also das berechtigte Interesse an der Rechtsverteidigung. Auch hierbei gilt: Es dürfen nur die unbedingt erforderlichen Daten weitergegeben werden.

Was Arbeitgeber wissen dürfen – und was nicht

Die Quintessenz: Arbeitgeber dürfen Gesundheitsdaten nur in eng begrenztem Umfang verarbeiten – und auch nur, wenn es für die Entgeltfortzahlung notwendig ist.

  • Diagnosen oder chronische Erkrankungen abzufragen ist unzulässig.
  • Eine pauschale Erhebung von Gesundheitsdaten ist verboten.
  • Die Speicherung muss sicher, getrennt und zeitlich begrenzt erfolgen.

Die LDI NRW fasst es treffend zusammen:

Datenschutz gilt auch im Krankheitsfall – und schützt damit die Gesundheitsdaten der Beschäftigten gegenüber Arbeitgebern.

Fazit: Datenschutz im Krankheitsfall ernst nehmen

Gerade im Umgang mit Gesundheitsdaten ist Vorsicht geboten. Arbeitgeber müssen den Grundsatz der Erforderlichkeit beachten, strenge Sicherheitsmaßnahmen einhalten und Transparenz schaffen.

Wer hier gegen Datenschutzvorgaben verstößt, riskiert nicht nur Bußgelder, sondern auch Vertrauensverlust bei den Beschäftigten.

Wenn Sie Unterstützung bei der datenschutzkonformen Verarbeitung von Gesundheitsdaten im Unternehmen benötigen, stehen wir Ihnen gern beratend zur Seite.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert