Jeder im Berufsleben kennt ihn, den „gelben Schein“. Nun ist die Arbeitsunfähigkeitsbescheinigung auf Papier Geschichte. Sie wurde digitalisiert und ist seit Anfang dieses Jahres Pflicht. Offiziell trägt sie den Namen „elektronische Arbeitsunfähigkeitsbescheinigung (eAU)“. Sie wird von der Arztpraxis direkt an die Krankenkasse übermittelt.
Hinweis: Das eAU-Verfahren gilt nur für gesetzlich Versicherte, nicht für Privatversicherte.
Wie läuft das jetzt? Und was hat sich mit der Einführung geändert? Was müssen Arbeitgeber und Arbeitnehmer beachten? Welche Aspekte müssen Sie als Arbeitgeber in Bezug auf den Datenschutz berücksichtigen? Diese und andere Punkte klären wir in diesem Blogartikel.
Inhaltsverzeichnis
Auf den Punkt gebracht: eAU – Was bleibt gleich, was ist neu?
- Gleich bleibt: Für Beschäftigte besteht weiterhin die Pflicht, sich beim Arbeitgeber krankzumelden (Informationspflicht)
- Neu ist: In den meisten Fällen entfällt die Nachweispflicht des Arbeitnehmers
- Neu ist: Es gibt einen Unterschied zwischen abrufbaren und nicht abrufbaren Daten
- Gleich bleibt: Datenschutz und die Informationssicherheit für personenbezogene Daten
Wie lief die Krankmeldung bisher?
Gemäß § 5 Entgeltfortzahlungsgesetz hatte der Arbeitnehmer bisher zwei Pflichten: Zum einen musste er den Arbeitgeber unverzüglich über die Arbeitsunfähigkeit und die voraussichtliche Dauer informieren (Informationspflicht). Zum anderen musste er eine ärztliche Bescheinigung über die Arbeitsunfähigkeit vorlegen (Nachweispflicht). Dies hat sich zum Jahreswechsel geändert.
Wie läuft die Krankmeldung jetzt?
Seit dem 01.01.2023 gilt für den Arbeitnehmer auch weiterhin die Informationspflicht. Er muss sich bei seinem Arbeitgeber krankmelden. Allerdings muss er keinen Nachweis (gelber Zettel) mehr darüber erbringen.
Aber Achtung! Das heißt nicht, dass der Arbeitnehmer nicht mehr zum Arzt gehen muss und entsprechend keine Krankmeldung mehr benötigt. Lediglich die Übermittlung dieser Krankschreibung durch den Arzt hat sich geändert.
Nun ist die Krankenkasse dafür zuständig, den Nachweis der Krankmeldung zur Verfügung zu stellen. Sie sendet diesen allerdings nicht automatisch an den Arbeitgeber, sondern erst auf Abruf. Der Arbeitgeber steht mit der Einführung der eAU in der Pflicht, sich die für ihn relevanten Daten selbst zu beschaffen.
Was muss ich als Arbeitgeber in Bezug auf Datenschutz und Informationssicherheit beachten?
Als Arbeitgeber müssen Sie sich nun selbst um die Arbeitsunfähigkeitsbescheinigung Ihrer Arbeitnehmer kümmern. Dabei stellt sich die Frage: Welche Daten können Sie bei den Krankenkassen abrufen? Und gibt es auch Daten, die nicht abgerufen werden können?
Grundsätzlich können Sie nur Daten einzelner Beschäftigter abrufen. Ein pauschaler Abruf zur gesamten Belegschaft ist nicht möglich – und auch nicht erlaubt. Das heißt in der Praxis: Sie haben 15 Mitarbeiter bei acht verschiedenen Krankenkassen, die krankgemeldet sind. Nun müssen Sie für jeden dieser Mitarbeiter über die zuständige Krankenkasse pro Person den Abruf tätigen.
Folgende Daten können von den Krankenkassen abgerufen werden:
- Name des Beschäftigten
- Beginn und Ende der Arbeitsunfähigkeit
- Datum der ärztlichen Feststellung der Arbeitsunfähigkeit
- Kennzeichnung als Erst- oder Folgemeldung
- Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigem Unfall oder den Folgen daraus beruht
Ebenso können nur Daten der eigenen Beschäftigten abgerufen werden – und diese auch nur für gültige Beschäftigungszeiträume. Die Krankenkassen prüfen vor Weitergabe der Daten, ob der Versicherte zum Zeitpunkt der Arbeitsunfähigkeit auch beim abrufenden Arbeitgeber beschäftigt ist bzw. war.
Diese Informationen können nicht abgerufen werden:
- Angaben über den Facharzt (was aus datenschutzrechtlicher Sicht zu begrüßen ist). Auf der alten AU („gelber Zettel“) konnten durch den Arztstempel evtl. Rückschlüsse auf mögliche Erkrankungen gezogen werden.
- Informationen über einer Erkrankung von Kindern, Wiedereingliederungen oder Beschäftigungsverbote in der Schwangerschaft.
Wie werden die Daten übermittelt?
Zwischen Ärzten und Krankenkassen und zwischen Krankenkassen und Arbeitgebern werden die Daten elektronisch übermittelt (mit einer Ende zu Ende-Verschlüsselung). Die Datenübertragung und die Verschlüsselung sind in der KIM geregelt.
KIM steht für „Kommunikation im Medizinwesen“ und ist der Kommunikationsstandard in der Telematikinfrastruktur (TI).
Was ändert sich bei den Aufbewahrungspflichten bzw. Löschpflichten?
Hier hat sich nichts geändert. Für AU-Bescheinigungen gab und gibt es auch weiterhin keine festen Aufbewahrungsfristen. Allerdings empfiehlt es sich, eine AU-Bescheinigung so lange aufzubewahren wie sie mit der Entgeltzahlung in Verbindung steht.
Danach sind AU-Bescheinigungen zu vernichten bzw. zu löschen.
Werden von den Krankenkassen Meldungen mit unzutreffenden Angaben übermittelt, müssen die Daten unverzüglich gelöscht werden.
Und was ist mit den technischen und organisatorischen Schutzmaßnahmen (TOMs)?
Auch hier gibt es keine Veränderung. Sie als Arbeitgeber haben auch weiterhin dafür Sorge zu tragen, dass Sie die Betroffenenrechte Ihrer Beschäftigten (gem. Art. 4 DSGVO) und den Schutz ihrer personenbezogenen Daten gewährleisten (gem. Art. 5 DSGVO).
Die Beschäftigtendaten – und hierzu zählen natürlich auch die AU-Bescheinigungen – sind durch geeignete technische und organisatorische Schutzmaßnahmen (TOMs) vor dem Zugriff von Unbefugten zu schützen (gem. Artikel 24, Artikel 25 und Artikel 32 DSGVO).
Das bedeutet: Die Daten dürfen nur von Berechtigten abgerufen werden wie zum Beispiel der internen Personalabteilung im Rahmen der Lohnabrechnung – oder einem externen Dienstleister wie einer Steuerkanzlei im Rahmen der Lohnabrechnung.
Muss ich als Arbeitgeber meine Beschäftigten über das neue Verfahren informieren?
Es besteht keine rechtliche Verpflichtung, dass Sie Ihre bestehende Belegschaft informieren. Allerdings bietet es sich an, das Thema anzusprechen, um Missverständnisse zu vermeiden. Als Arbeitgeber haben Sie dennoch die Pflicht, die neuen Mitarbeiter nach Art. 13 und Art. 14 DSGVO über die Datenverarbeitung zu informieren. „Neu“ bei eAU ist, dass Sie die Daten nicht mehr direkt vom Arbeitnehmer erheben. Als „Quelle“ der Daten ist hier nun die Krankenkasse zu nennen.
Bitte aktualisieren Sie auch Ihr Verfahrensverzeichnis bezüglich der eAU.
Sensibilisieren Sie Ihre Mitarbeiter, dass auch weiterhin die Pflicht besteht, den Arbeitgeber aktiv bei einer Arbeitsunfähigkeit zu informieren. Dies ist nicht nur bei der Erstbescheinigung erforderlich, sondern auch bei Folgebescheinigungen.
Denn erst wenn Ihnen ein Mitarbeiter die Arbeitsunfähigkeit anzeigt hat, dürfen Sie als Arbeitgeber die eAU bei den Krankenkassen abfragen.
Informieren Sie Ihr Team, wer seit Jahresbeginn von der Nachweispflicht ausgenommen ist (z.B. gesetzliche Versicherte), wer weiterhin die Arbeitsunfähigkeitsbescheinigung in Papierform vorlegen muss (z.B. privat Versicherte) und ob vorhandene Betriebsvereinbarungen zu Krankmeldungen weiterhin gelten (z.B. die interne Regelung, dass ein Arbeitnehmer drei Tage ohne Krankschreibung von der Arbeit fernbleiben darf).
Wie fahren Sie mit der neuen eAU?
Was ist Ihre bisherige Erfahrung mit der neuen Regelung? Wissen Ihre Mitarbeiter Bescheid? Läuft alles nach Plan oder gibt es Stolpersteine? Was ist Ihre Meinung zu diesem Thema? Berichten Sie uns gerne davon in den Kommentaren.
Ein sehr informativer Artikel. Das bedeutet, dass für 15 Mitarbeiter bei den jeweiligen acht verschiedenen Krankenkassen insgesamt 15 separate Anfragen gestellt werden müsste, um die erforderliche Meldesysteme zu nutzen und entsprechende Krankmeldungen abzurufen. Auf diese Weise und dank der Meldesysteme bleibt die Vertraulichkeit und der Schutz der persönlichen Daten jedes Mitarbeiter gewährleistet.