Datenschutz für Pflegeheime und Pflegedienste

Gesundheitsdaten im Job: Was Arbeitgeber wirklich dürfen – neue LDI NRW Leitlinien (17. Juli 2025)

Link zur Pressemitteilung des LDI NRW vom 17.07.2025

Wenn Mitarbeitende mehrfach oder länger krank sind, drängt sich die Frage auf: Darf der Arbeitgeber nach der Diagnose fragen? Die Landesdatenschutzbeauftragte NRW macht seit dem 17. Juli 2025 deutlich: Nicht alles, was praktisch erscheint, ist auch datenschutzkonform. Lesen Sie weiter, um zu verstehen, was in solchen Fällen wirklich erlaubt ist und wie Sie rechtssicher bleiben.

Was Arbeitgeber oft falsch verstehen und wie es sicher geht

Viele Arbeitgeber glauben, sie dürften nach einer Krankheit direkt nach der Diagnose fragen oder detaillierte medizinische Informationen verlangen. Genau das ist ein weit verbreiteter Irrtum. Die DSGVO erlaubt die Verarbeitung von Gesundheitsdaten nur in ganz engen Grenzen, etwa zur Prüfung der Entgeltfortzahlung bei einer Fortsetzungserkrankung. Alles darüber hinaus überschreitet schnell die rechtliche Grenze. Sicher geht es, wenn Arbeitgeber stattdessen auf mildere Mittel setzen: Rückfrage bei der Krankenkasse, Einschaltung des Betriebsarztes und klare interne Prozesse für Aufbewahrung und Löschung. So bleibt die Fürsorgepflicht gewahrt, ohne dass der Datenschutz verletzt wird.

Warum Gesundheitsdaten besonders geschützt sind

Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonders sensiblen personenbezogenen Daten. Ihre Verarbeitung ist grundsätzlich verboten und nur mit einer klaren Rechtsgrundlage erlaubt.

Nur bei tatsächlicher Notwendigkeit erlaubt

Arbeitgeber dürfen Gesundheitsdaten nur dann verarbeiten, wenn sie zur Prüfung der Entgeltfortzahlung erforderlich sind. Das gilt zum Beispiel bei Fortsetzungserkrankungen nach sechs Wochen.
Ein bloßer Verdacht reicht nicht aus. Es muss eine konkrete, begründbare Annahme vorliegen, etwa zeitlicher oder inhaltlicher Zusammenhang zwischen mehreren Erkrankungen.

Mildere Mittel zuerst einsetzen

Statt Diagnosen zu verlangen, empfiehlt die LDI NRW andere Vorgehensweisen:

  • Rücksprache mit der Krankenkasse, ob eine Fortsetzungserkrankung plausibel ist
  • Einschaltung des Betriebsarztes, der medizinisch bewertet, ohne Diagnosedaten preiszugeben

Speicherung und Datenlöschung: sicher und getrennt

Gesundheitsdaten wie Arbeitsunfähigkeitsbescheinigungen müssen getrennt von Personalakten aufbewahrt werden.
Nach Ablauf des relevanten Zwecks, zum Beispiel nach Prüfung der Entgeltfortzahlung, sind die Daten fachgerecht zu löschen.

Was droht bei Verstößen

Die DSGVO sieht bei Verstößen hohe Bußgelder vor, bis zu 4 Prozent des Jahresumsatzes.
Zusätzlich drohen Vertrauensverlust im Team und rechtliche Auseinandersetzungen.

Wenn Sie jetzt feststellen, dass auch in Ihrem Unternehmen Fragen offen sind: Gut. Genau das zeigt, dass Datenschutz nicht abstrakt ist, sondern im Alltag wichtig wird.

Deshalb sollten Sie jetzt handeln, bevor es teuer wird:

  1. Überprüfen Sie Ihre internen Krankmeldungsprozesse. Haben Sie die Alternativen (Krankenkasse, Betriebsarzt) berücksichtigt?
  2. Sorgen Sie für klare Abläufe zur Datenspeicherung und Löschung. Werden Gesundheitsdaten wirklich getrennt gelagert?
  3. Buchen Sie jetzt den DSGVO Check. Ich prüfe Ihre Prozesse ohne Schönfärberei und gebe Ihnen klare Empfehlungen. Kostenlos. Versprochen!

Fazit

Die LDI NRW hat am 17. Juli 2025 klare Vorgaben formuliert: Gesundheitsdaten dürfen nur in ganz bestimmten Fällen verarbeitet werden. Immer gilt das Prinzip der Erforderlichkeit und der Schonung. Wer das ignoriert, riskiert Bußgelder und Vertrauensverlust. Wer es beachtet, schafft Sicherheit für sich und seine Mitarbeitenden.