Betriebliches Eingliederungsmanagement: Rechte und Pflichten für Geschäftsführer

Inhalt in Kürze

• BEM ist Arbeitgeber-Pflicht ab 6 Wochen Krankheit innerhalb von 12 Monaten (§ 167 Abs. 2 SGB IX) — egal ob am Stück oder verteilt
• Kein BEM = unwirksame Kündigung: Krankheitsbedingte Kündigungen ohne ordnungsgemäßes BEM scheitern regelmäßig vor Gericht (LAG Baden-Württemberg 2025)
• DSGVO verschärft 2026: BEM-Daten sind Gesundheitsdaten (Art. 9 DSGVO) — strikte Trennung von der Personalakte ist Pflicht, separate BEM-Akte mit eigenem Zugriffsschutz
• HR-Software muss DSGVO-konform konfiguriert sein: Personio, Haufe oder Microsoft 365 unterstützen die Trennung — aber nur, wenn Rollen-/Rechtekonzept korrekt eingerichtet ist

Sechs Wochen Krankheit. Zwei verschiedene Mitarbeiter, drei separate AU-Bescheinigungen, irgendwo dazwischen verstrichen die zwölf Monate. Genau hier wird es für Sie als Geschäftsführer juristisch eng — und Sie merken es oft erst, wenn die Kündigung schon beim Arbeitsgericht liegt. Das Betriebliche Eingliederungsmanagement, kurz BEM, ist seit 2004 Pflicht. Was sich 2026 geändert hat: Der Datenschutz. Wer BEM-Unterlagen weiter in der Personalakte ablegt oder per WhatsApp an die HR-Kollegin schickt, riskiert nicht nur Bußgelder — sondern auch, dass die ganze Kündigung kassiert wird. Wir sehen das in unserer Rolle als IT-Systemhaus Hamburg regelmäßig bei Mandanten, die uns wegen ganz anderer Themen kontaktieren — und beim Audit fallen die offenen BEM-Akten als Erstes auf.

Was ist das Betriebliche Eingliederungsmanagement (BEM)?

Das Betriebliche Eingliederungsmanagement ist ein gesetzlich vorgeschriebener Prozess, mit dem Arbeitgeber Beschäftigten nach längerer Krankheit den Wiedereinstieg ins Arbeitsleben ermöglichen müssen. Die rechtliche Grundlage steht in § 167 Abs. 2 SGB IX. Ziel: Arbeitsunfähigkeit überwinden, erneuter Krankheit vorbeugen und den Arbeitsplatz erhalten.

Konkret heißt das: Sobald ein Mitarbeiter innerhalb der vergangenen 12 Monate länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig war, müssen Sie ihn zum BEM einladen. Der Mitarbeiter darf ablehnen — die Einladung an sich ist aber nicht verhandelbar.

Wann ist ein BEM-Gespräch Pflicht? Die 6-Wochen-Regel

Die wichtigste Zahl im BEM ist 42. So viele Tage Arbeitsunfähigkeit in 12 Monaten lösen die Pflicht aus. Laut Haufe-Praxisleitfaden gilt:

• Sechs Wochen am Stück. Klassischer Fall — z. B. Bandscheibenvorfall mit OP und Reha.
• Sechs Wochen verteilt. Mehrere kürzere Krankheiten, die zusammen 42 Tage übersteigen — auch das löst die BEM-Pflicht aus.
• Rollierender 12-Monats-Zeitraum. Sie schauen nicht aufs Kalenderjahr, sondern auf jeden Tag rückblickend 12 Monate.
• Gilt für ALLE Beschäftigten. Egal ob schwerbehindert, befristet oder Vollzeit. Auch Auszubildende und Minijobber.

Die zentrale GF-Frage: Wer trackt das? In der Praxis fällt das in 80 % der KMU durchs Raster — weil HR die Krankenscheine ablegt, aber niemand systematisch die rollierenden 12-Monats-Summen prüft. Genau hier setzt eine ordentlich konfigurierte HR-Software an: Sie zählt automatisch und schickt eine Erinnerung, wenn die 42-Tage-Schwelle gerissen wird.

BEM-Ablauf in 5 Schritten — so läuft es korrekt

1. Erfassung & Trigger. HR oder Lohnbuchhaltung tracken Krankheitszeiten. Bei Überschreiten der 42-Tage-Schwelle wird automatisch eine Erinnerung ausgelöst.
2. Einladung mit Datenschutzhinweis. Schriftliche Einladung an den Mitarbeiter. Pflicht-Inhalte: Ziele des BEM, Hinweis auf Freiwilligkeit, Datenschutzaufklärung nach Art. 13/14 DSGVO, Recht auf Begleitung (Betriebsrat, SBV, Vertrauensperson).
3. Erstgespräch. Bestandsaufnahme — welche Einschränkungen liegen vor, welche Maßnahmen sind denkbar? Diagnose oder Krankheitsursache wird NICHT abgefragt.
4. Maßnahmenplan. Konkrete Schritte: stufenweise Wiedereingliederung („Hamburger Modell"), Arbeitsplatzanpassung, Versetzung, Reha-Maßnahmen mit Reha-Träger oder Integrationsamt.
5. Verlaufskontrolle & Dokumentation. Folgegespräche nach 4–8 Wochen. Alle Schritte revisionssicher in einer separaten BEM-Akte protokollieren — nicht in der regulären Personalakte!

Punkt 5 ist der häufigste Stolperstein. In den Datenschutz-Audits unserer Hamburger Mandanten finden wir regelmäßig BEM-Protokolle, die in der normalen Personalakte liegen — frei zugänglich für jede HR-Mitarbeiterin und manchmal sogar für die Linienvorgesetzten. Das ist seit der DSGVO 2018 ein Verstoß. Seit 2026 ist es ein teurer Verstoß.

Was passiert, wenn ich kein BEM durchführe?

Auf den ersten Blick: nichts. Es gibt keine direkte Geldbuße im SGB IX, wenn Sie das BEM weglassen. Aber die Folge zeigt sich später — und zwar massiv.

Ein aktuelles Urteil des LAG Baden-Württemberg (14.01.2025, Az. 15 Sa 22/24) bestätigt erneut: Verfahrensfehler beim BEM machen die anschließende Kündigung unwirksam. Der Arbeitgeber muss konkret darlegen, dass auch ein ordnungsgemäßes BEM keine Alternative zur Kündigung gefunden hätte — eine in der Praxis fast unmögliche Hürde, wenn das BEM nie ernsthaft versucht wurde. (Hensche Arbeitsrecht: Verfahrensfehler beim BEM)

Was kostet Sie das? Ein Standardfall:

Schnell sechsstellig — und in 100 % der Fälle vermeidbar gewesen, wenn das BEM ordentlich gelaufen wäre.

BEM & Datenschutz: Die DSGVO-Falle (verschärft 2026)

Hier wird es technisch — und genau hier scheitern viele KMU. BEM-Daten sind Gesundheitsdaten nach Art. 9 DSGVO, also besonders schutzwürdige personenbezogene Daten. Das hat drei harte Konsequenzen:

1. Rechtsgrundlage: Verarbeitung nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder auf Basis § 167 SGB IX i. V. m. § 26 Abs. 3 BDSG.
2. Zweckbindung: BEM-Daten dürfen ausschließlich für das BEM verwendet werden — nicht für Personalentscheidungen, nicht für die Bonusberechnung, nicht für Beförderungen.
3. Strikte Trennung: BEM-Akte muss separat aufbewahrt werden — physisch oder digital. Zugriff nur für ausdrücklich benannte Personen (BEM-Beauftragter, ggf. HR-Leitung) — NICHT für Linienvorgesetzte.

Eine Analyse zu BEM und Datenschutz von Rödl & Partner fasst es so zusammen: Die häufigsten Verstöße sind nicht böser Wille, sondern technische Schlampigkeit — BEM-PDFs in den allgemeinen Personalordner gelegt, E-Mails an offene Verteiler, Notizen in der HR-Software ohne Zugriffsbeschränkung. Vertiefend dazu unser Artikel zu Datenschutz und Mitarbeiterdaten sowie der Praxisleitfaden Datenschutz & DSGVO Compliance für Unternehmen 2026.

HR-Software DSGVO-konform aufsetzen — die IT-Aufgabe

Die meisten KMU haben heute eine HR-Software — Personio, Haufe Zeugnis Manager, SAP SuccessFactors, sage HR oder die HR-Module aus Microsoft 365 (z. B. Teams + SharePoint mit Berechtigungs-Konzept). Theoretisch unterstützen alle diese Systeme die geforderte Trennung von BEM- und Standard-Personaldaten. Praktisch ist die Standard-Konfiguration fast nie konform.

So sieht ein DSGVO-konformes HR-Setup aus:

• Separate Ablagestruktur. Eigene Bibliothek/Datenraum für BEM-Akten, nicht im allgemeinen HR-Ordner.
• Rollen- und Rechtekonzept. Eigene Sicherheitsgruppe „BEM-Berechtigte" — kein Vererben aus dem HR-Standard.
• Verschlüsselung at-rest und in-transit. AES-256, TLS 1.3. Bei Microsoft 365: Sensitivity Labels mit Verschlüsselung für BEM-Dokumente.
• Audit-Trail. Jeder Zugriff auf eine BEM-Akte wird protokolliert (Wer? Wann? Welches Dokument?). Bei Microsoft 365 über Purview Audit aktivierbar.
• Aufbewahrungsfristen. Nach Abschluss BEM: max. 3 Jahre, dann Löschung — automatisiert über Retention Policies, nicht manuell.
• Mitarbeiter-Zugriff. Der Beschäftigte selbst muss seine BEM-Unterlagen einsehen können (Auskunftsrecht Art. 15 DSGVO).

Genau hier kommen wir als IT-Partner ins Spiel: Wir richten Microsoft 365, Personio oder die bestehende HR-Software so ein, dass sie die DSGVO-Anforderungen technisch erfüllt — inklusive Berechtigungskonzept, Sensitivity Labels, Audit-Logs und Aufbewahrungsfristen. Mehr dazu auf unserer Seite zu NIS2 & IT-Compliance Hamburg und im praktischen Kontext bei Microsoft 365 Sicherheit & DSGVO.

Aus der Praxis: Wenn HR und IT nicht zusammenarbeiten

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss. Beim Thema HR-Daten ist die Antwort meistens dieselbe: Berechtigungen aufräumen, BEM-Akte trennen, Audit-Log einschalten. Das sind drei Tage Arbeit — und Sie schlafen danach besser.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Ein Hamburger Architekturbüro mit 22 Beschäftigten kam vor einem halben Jahr zu uns. HR lief in einer Selfmade-Excel-Lösung auf einem Netzlaufwerk. BEM-Protokolle als Word-Dokument im selben Ordner wie die Mitarbeiterverträge. Wer Zugriff hatte: alle 22 Mitarbeitenden, weil der Ordner über Jahre nie aufgeräumt worden war. Der GF wusste das nicht. Er rief uns wegen eines anderen Themas (Server-Migration). Beim Audit sind uns die offenen BEM-Akten aufgefallen. Wir haben in zwei Tagen die Migration nach Microsoft 365 mit sauberem Berechtigungskonzept gemacht — heute liegen die BEM-Dokumente in einer eigenen, verschlüsselten SharePoint-Bibliothek mit Audit-Log. Drei Personen haben Zugriff. Schluss.

Genau das gilt auch für sensible HR-Prozesse: Wer ein Recht hat, sieht das Dokument. Wer es nicht hat, sieht es nicht — auch nicht „aus Versehen”, weil ein Ordner falsch verlinkt war. Das ist keine Hexerei. Es ist nur Konfigurationsarbeit, die in vielen KMU einfach nie gemacht wurde.

Wer muss am BEM-Gespräch teilnehmen?

Pflicht-Teilnehmer sind nur zwei: Arbeitgeber-Vertretung (Sie selbst, HR-Leitung oder ein BEM-Beauftragter) und der betroffene Mitarbeiter. Auf Wunsch des Mitarbeiters dürfen weitere Personen dazukommen — und das ist sinnvoll:

Was Sie als Geschäftsführer NICHT dürfen

Der häufigste Fehler: Sie wollen verstehen, was los ist. Sie fragen nach der Diagnose, nach dem behandelnden Arzt, nach dem Therapieverlauf. Stopp.

Wenn der Mitarbeiter freiwillig Diagnose oder Details preisgibt: Schreiben Sie es nicht ins Protokoll. Das gehört nicht in die BEM-Akte. Sie protokollieren nur die abgeleiteten arbeitsbezogenen Maßnahmen.

Brücke zur IT: Welche Tools machen das BEM rechtssicher?

Aus IT-Sicht braucht ein DSGVO-konformes BEM-Setup vier Bausteine:

1. Krankheitsstatistik mit 12-Monats-Tracking. Funktion in Personio, Haufe, sage oder eigenständige Tools wie Crewmeister, Timetac. Trigger bei 42 Tagen.
2. Digitales Dokumentenmanagement mit Rollenkonzept. SharePoint mit Sensitivity Labels (Microsoft 365), DocuWare, ELO oder ähnliche revisionssichere DMS-Lösungen.
3. Sichere Kommunikation. Verschlüsselte E-Mail (S/MIME oder Microsoft 365 Message Encryption) für die schriftliche BEM-Einladung. Keine WhatsApp, keine privaten Mail-Adressen.
4. Audit- und Lösch-Konzept. Wer hat wann auf was zugegriffen? Wann werden Daten automatisch gelöscht? Microsoft Purview oder gleichwertige Tools.

Bei den meisten Hamburger KMU haben wir mit der bestehenden Microsoft-365-Lizenz alles, was es technisch braucht — es muss nur korrekt konfiguriert werden. Wer ohnehin gerade über eine Cloud & Microsoft 365 -Migration nachdenkt, kann das Berechtigungskonzept gleich richtig aufsetzen statt nachträglich zu reparieren. Hintergründe dazu im Artikel Sicherheit und Datenschutz in Microsoft 365 und im breiteren Kontext Cybersecurity-Risikomanagement für Geschäftsführer.

Praxis-Checkliste: BEM rechtssicher umsetzen

• Krankheitstracking automatisieren. HR-Software so konfigurieren, dass die 42-Tage-Schwelle automatisch erkannt wird.
• BEM-Beauftragten benennen. Klare Verantwortlichkeit, dokumentiert in einer Stellenbeschreibung.
• Einladungsschreiben standardisieren. Vorlage mit allen DSGVO-Pflichtinformationen — anwaltlich geprüft.
• Separate BEM-Akte einrichten. Eigener SharePoint-Bereich oder physischer Aktenschrank — niemals in der Personalakte.
• Berechtigungen aufräumen. NUR BEM-Beauftragte und Betroffene haben Zugriff. AD-Gruppen sauber pflegen.
• Audit-Log aktivieren. Jeder Zugriff wird protokolliert — auch der eigene als Geschäftsführer.
• Löschfrist setzen. Maximal 3 Jahre nach Abschluss des BEM-Verfahrens, dann automatische Löschung.
• Datenschutzbeauftragten einbinden. Bei jedem neuen BEM-Prozess + bei jeder Tool-Änderung.
• Schulungen. HR und Vorgesetzte einmal jährlich zu BEM und Datenschutz schulen — dokumentiert.

Weiterführende Quellen

• § 167 SGB IX — Gesetze im Internet
• BEM-Praxisleitfaden Haufe
• BEM und Datenschutz (Rödl & Partner)
• Bundesarbeitsgericht — Urteile zu BEM
• REHADAT — Ratgeber Betriebliches Eingliederungsmanagement
• Bundesbeauftragte für den Datenschutz (BfDI)

Fazit: BEM ist Compliance plus IT — beides muss sitzen

Das Betriebliche Eingliederungsmanagement ist keine HR-Pflichtübung, die man wegdelegieren kann. Es ist eine Compliance-Aufgabe mit harten arbeitsrechtlichen Konsequenzen — und ab 2026 mit verschärften Datenschutzvorgaben. Für Sie als Geschäftsführer heißt das: Sie brauchen einen klaren Prozess, Sie brauchen DSGVO-konforme HR-Tools, und Sie brauchen ein Berechtigungskonzept, das technisch sicherstellt, dass BEM-Daten nicht in falsche Hände geraten.

Wir sehen das in der Praxis bei unseren Mandanten in Hamburg und Norddeutschland: Die rechtlichen Anforderungen sind den GFs meistens bekannt — die technische Umsetzung scheitert an Zeit, Berechtigungen und alten Dateiablagen. Wenn Sie unsicher sind, ob Ihr HR-Setup DSGVO-konform ist, machen wir gerne ein zweistündiges Audit. Ergebnis: konkrete Liste der Lücken plus Aufwandsschätzung. Weiterführend auch unser GF-Leitfaden Datenschutz und Compliance für Geschäftsführer sowie unser Angebot zu Managed IT Services Hamburg — oder direkt im persönlichen Gespräch.