Keine Gesundheitsdaten per E-Mail


© fotomek - stock.adobe.com
  • 01. Juni 2023

Wenn ein Mitarbeiter seine Krankmeldung per E-Mail sendet, landet sie meist über Jahre hinweg im E-Mail-Archiv. Dadurch gibt es gleich 2 datenschutzrechtliche Probleme: Der unverschlüsselte Versand und die zu lange Aufbewahrungsfrist.

Hier erhalten Sie einen Überblick, wie Sie vorgehen können, um die datenschutzrechtlichen Vorgaben einzuhalten.

Warum der Versand per E-Mail problematisch ist

Gesundheitsdaten gehören zu den sogenannten „besonderen Kategorien personenbezogener Daten“. Die Tatsache, ob jemand krank oder gesund ist, reicht dabei schon aus, um in diese besondere Kategorie zu fallen.

Diese Daten sind besonders durch die Datenschutzgesetze geschützt. Daher ist es beispielsweise nicht erlaubt, diese Daten per unverschlüsselter E-Mail zu versenden. Auch eine Transportverschlüsselung wie SSL oder TLS ist nicht ausreichend. Die Gefahr, dass jemand Unbefugtes Zugriff auf die Daten erhält, ist zu groß.

Alternative Übermittlungswege

Weisen Sie Ihre Mitarbeiter also am besten an, die Krankmeldungen (falls notwendig) per passwortgeschütztem Anhang oder über eine spezielle Webanwendung, die mit Benutzername und Passwort geschützt ist, hochzuladen.

Den Einsatz von Anbietern aus Nicht-EU-Ländern sollten Sie dabei am besten vermeiden oder den Anbieter sehr genau in Rücksprache mit Ihrem Datenschutzbeauftragten prüfen. Denn auch hier gelten besondere Anforderungen.

Abfrage über die Krankenkassen

Mittlerweile ist es grundsätzlich so, dass Sie den „gelben Schein“ über die Krankenkasse des Beschäftigten erhalten. Es sollte also gar nicht mehr notwendig sein, dass der Mitarbeiter die Datei an Sie übermittelt. Die Abfrage über die Krankenkasse erfolgt über einen gesicherten Zugang.

Den heruntergeladenen Schein sollten Sie dann so ablegen, dass Sie ihn nach Ablauf der Aufbewahrungsfrist leicht löschen können. Das sind in der Egel 5 Jahre, wenn ein Erstattungsanspruch aus der Lohnfortzahlung gegenüber der Krankenkasse besteht. Falls dies nicht der Fall ist, besteht in der Regel kein Grund, die Daten länger als 1 Jahr aufzubewahren. Es sei denn, Sie benötigen sie noch für etwaige Nachweispflichten (z. B. Prüfung für Entgeltunterlagen durch die Träger der Rentenversicherung).

Falls es doch einmal passiert, dass ein Mitarbeiter den gelben Schein per Mail sendet, löschen Sie die Mail am besten direkt wieder, damit sie nicht ins E-Mail-Archiv wandert. Regelmäßige Datenschutzschulungen helfen dabei, die Mitarbeiter in Sachen Datenschutz zu sensibilisieren und interne Abläufe zu kommunizieren.

Andere „besondere“ Daten

Folgende Daten fallen ebenfalls in die Kategorie „besonders“ (Zitat aus Artikel 9 DSGVO): personenbezogene Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“.

Somit sind auch Lohn- und Gehaltsabrechnungen von dieser Besonderheit betroffen, denn dort ist in der Regel die Religionszugehörigkeit des Mitarbeiters vermerkt. Die meisten Steuerberater haben sich darauf eingestellt und übermittelt die Daten über einen gesicherten Zugang, bei dem die Eingabe eines Benutzernamens und eines Kenntworts notwendig ist.

Falls Sie besondere Daten außerhalb der gesetzlichen Vorschriften im Rahmen Ihrer Pflichten als Arbeitgeber verarbeiten, sollten Sie ebenfalls Rücksprache mit Ihrem Datenschutzbeauftragten halten, denn die Verarbeitung ist nur unter bestimmten Voraussetzungen erlaubt.

 

Rechtlicher Hinweis: Ich beschäftige mich zwar regelmäßig mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.