Home > News > BAG

Längerdauernde Ausfallzeiten der Arbeitnehmer und die Frage, ob eine Fortsetzungserkrankung vorliegt

1. Juni 2026

Die sächsischen Datenschutzbeauftragte Dr. Juliane Hundert hat sich in ihrem aktuelle Tätigkeitsbericht zum Datenschutz für das Jahr 2025 mit der Verarbeitung von Gesundheitsdaten durch Arbeitgeber beschäftigt.

Aus dem Tätigkeitsbericht Datenschutz 2025 der Sächsischen Datenschutz- und Transparenzbeauftragten (Seite 108, Abschnitt 2.2.19 „Offenbarung von ärztlichen Diagnosen bei Fortsetzungserkrankungen“) ergibt sich Folgendes:

Kernaussagen des sächsischen Datenschutzbeauftragten zu Krankmeldungen und Fortsetzungserkrankung

Aspekt	Aussage im Tätigkeitsbericht
Grundsatz	Arbeitnehmer sind normalerweise nicht verpflichtet, dem Arbeitgeber die Diagnose oder genaue Art ihrer Erkrankung mitzuteilen
Ausnahme bei Fortsetzungserkrankung	Bei einer Fortsetzungserkrankung (wenn innerhalb von 6 Monaten bzw. bei häufigen Erkrankungen innerhalb von 12 Monaten insgesamt >6 Wochen Krankmeldung) gilt eine abgestufte Darlegungslast
Bei Zweifeln des Arbeitgebers	Bestreitet der Arbeitgeber das Vorliegen einer neuen Ersterkrankung, muss der Arbeitnehmer konkrete Tatsachen vortragen, die eine Fortsetzungserkrankung ausschließen
Umfang der Offenlegung	Dies erfordert substantiierten Vortrag dazu, welche gesundheitlichen Beeinträchtigungen und Beschwerden mit welchen Auswirkungen auf die Arbeitsfähigkeit im gesamten maßgeblichen Zeitraum bestanden
Schweigepflichtentbindung	Der Arbeitnehmer muss regelmäßig die behandelnden Ärzte von der Schweigepflicht entbinden

Weitere Schlussfolgerungen:

Der sächsische Datenschutzbeauftragte weist ausdrücklich darauf hin, dass Arbeitgeber strenge datenschutzrechtliche Anforderungen erfüllen müssen.

Insbesondere gelten weiterhin die Grundsätze aus Art. 5 DSGVO. Zudem kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Arbeitgeber sollten außerdem sicherstellen, dass entsprechende Verarbeitungsvorgänge korrekt im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert werden.

Nicht von der Hand zu weisen sind auch die Überlegungen der Datenschutzaufsicht, die eine Speicherung sensibler Gesundheitsdaten in der allgemeinen Personalakte kritisch sieht. Stattdessen sollte eine organisatorisch getrennte Verarbeitung erfolgen.

Die Empfehlung der Behörde ist hierfür ausdrücklich die Einrichtung einer informationell abgeschotteten „Vertrauensstelle“ innerhalb des Unternehmens. Dadurch soll sichergestellt werden, dass weder Vorgesetzte noch die allgemeine Personalverwaltung Kenntnis konkreter Diagnosen erhalten, denn Unternehmen sind schließlich verpflichtet, geeignete technische und organisatorische Maßnahmen nach Art. 25 DSGVO umzusetzen, um den Zugriff auf Gesundheitsdaten auf das zwingend erforderliche Maß zu beschränken. Eine Orientierung am BEM Verfahren liegt nahe.

Rolle der BAG-Entscheidung vom 18. Januar 2023 (Az. 5 AZR 93/22)

Die sächsische Datenschutzbeauftragte bezieht sich ausdrücklich auf diese BAG-Entscheidung, da sie die rechtliche Grundlage für die oben genannten Ausführungen bildet:

BAG-Entscheidung
Rechtsfolge: Die abgestufte Darlegungslast begegnet keinen unions- oder verfassungsrechtlichen Bedenken
Datenschutzrechtlich: Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 2 Buchst. f DSGVO zulässig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
Verhältnismäßigkeit: Der Eingriff in das Recht auf informationelle Selbstbestimmung ist gerechtfertigt, da ohne die Informationen weder Gericht noch Arbeitgeber den Sachverhalt korrekt ermitteln können
Vorprozessual: Das BAG bestätigt, dass diese Offenlegungspflicht auch vorprozessual beim Arbeitgeber gilt (gestützt auf § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 Buchst. b DSGVO)

Zusammenfassung

Die sächsische Datenschutzbeauftragte stellt klar: Arbeitnehmer dürfen sich nicht unberechtigt hinter dem Datenschutz „verstecken“, wenn es um die Frage einer Fortsetzungserkrankung geht. Die BAG-Entscheidung ist die maßgebliche Rechtsgrundlage, die die Offenlegungspflicht von Gesundheitsdaten auch datenschutzrechtlich rechtfertigt – trotz der besonderen Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO.

Der Arbeitgeber darf zwar keine Diagnose direkt einfordern, aber der Arbeitnehmer muss im Streitfall konkrete Angaben zu gesundheitlichen Beeinträchtigungen machen und Ärzte von der Schweigepflicht entbinden, damit geprüft werden kann, ob eine Fortsetzungserkrankung vorliegt und damit die Entgeltfortzahlungspflicht entfällt.

Es bleibt für Unternehmen aber die Verpflichtung das Verfahren so zu gestalten, dass die wesentlichen Datenschutz Grundsätze für die Verarbeitung personenbezogene Daten (Art. 5 DSGVO) und hinsichtlich der Rechtmäßigkeit der Verarbeitung (Art. 6 und Art. 9 DSGVO) eingehalten werden. Dies betrifft insbesondere die Frage der Zweckbestimmung und die Frage der Erforderlichkeit für den konkreten Verarbeitungszweck.

Datenschutzkonzepte sollte die folgenden Bestandteile berücksichtigen:

klare Prozesse zur Verarbeitung der Krankheitsdaten,
strikte Zugriffsbeschränkungen,
getrennte Vertrauensstellen,
Lösch- und Aufbewahrungskonzepte,
sowie belastbare technische und organisatorische Maßnahmen ggf. zusammen mit einer DSFA.

Längerdauernde Ausfallzeiten der Arbeitnehmer und die Frage, ob eine Fortsetzungserkrankung vorliegt

Kernaussagen des sächsischen Datenschutzbeauftragten zu Krankmeldungen und Fortsetzungserkrankung

Weitere Schlussfolgerungen:

Rolle der BAG-Entscheidung vom 18. Januar 2023 (Az. 5 AZR 93/22)

Zusammenfassung

Weitere Artikel

Auftragskontrolle

Abgrenzung Auftragsdatenverarbeitung zur Funktionsübertragung

Nutzung personenbezogener Daten für das Direktmarketing – Teil 1