Die Überwachung des krankgeschriebenen Arbeitnehmers durch eine Detektei

Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

Die Überwachung des krankgeschriebenen Arbeitnehmers durch eine Detektei

Nach Art. 9 Abs. 1 DSGVO ist unter anderem die Verarbeitung von Gesundheitsdaten grundsätzlich verboten. Art. 9 Abs. 2 Buchst. b DSGVO lässt dieses Verbot – soweit hier von Interesse – entfallen, falls die Verarbeitung erforderlich ist, damit der Verantwortliche die ihm „aus dem Arbeitsrecht … erwachsenden Rechte“ ausüben kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.

Nach § 26 Abs. 3 Satz 1 BDSG ist abweichend von Art. 9 Abs. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten unter anderem aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Entsprechend § 22 Abs. 2 BDSG sind hierfür angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (§ 26 Abs. 3 Satz 3 BDSG). Die entsprechende Geltungsanordnung von § 22 Abs. 2 BDSG stellt den Schutz der Grundrechte und die Wahrung der Interessen der Betroffenen sicher. Danach sind bei der Verarbeitung besonderer Kategorien personenbezogener Daten angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen1.

Mit diesen Regelungen hat der deutsche Gesetzgeber in zulässiger Weise von der Öffnungsklausel in Art. 9 Abs. 2 Buchst. b DSGVO Gebrauch gemacht. Durch das Kriterium der Erforderlichkeit der Datenverarbeitung nach § 26 Abs. 3 Satz 1 BDSG ist sichergestellt, dass ein an sich legitimes Ziel nicht zum Anlass genommen wird, überschießend personenbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO zu verarbeiten. Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers bedingt dies ausweislich der Gesetzesmaterialien2 eine Abwägung widerstreitender Grundrechtspositionen im Weg praktischer Konkordanz und eine Verhältnismäßigkeitsprüfung. Die Interessen der betroffenen Person werden ergänzend durch § 26 Abs. 3 Satz 3 iVm. § 22 Abs. 2 BDSG geschützt3.

Bei der Dokumentation des sichtbaren Gesundheitszustands des Arbeitnehmers handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 iVm. Art. 4 Nr. 15 DSGVO. Demzufolge ist die Zulässigkeit der Datenverarbeitung insgesamt nach Art. 9 Abs. 2 Buchst. b DSGVO iVm. § 26 Abs. 3, § 22 Abs. 2 BDSG zu beurteilen4. Zudem sind nach der Rechtsprechung des Gerichtshofs der Europäischen Union die Grundsätze für die rechtmäßige Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO und Art. 5 Abs. 1 DSGVO zu wahren5. Auch Art. 32 Abs. 1 DSGVO, der entsprechend Art. 5 Abs. 1 Buchst. f DSGVO die Sicherheitsanforderungen an die Datenverarbeitung regelt, findet Anwendung6.

Hegt der Arbeitgeber Zweifel am Vorliegen einer ärztlich bescheinigten Arbeitsunfähigkeit und möchte er den Arbeitnehmer deshalb durch Detektive oder andere Personen beobachten lassen, kann die daraus folgende Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. b DSGVO iVm. § 26 Abs. 3, § 22 Abs. 2 BDSG nur zulässig sein, wenn der Beweiswert einer vorgelegten ärztlichen Arbeitsunfähigkeitsbescheinigung erschüttert ist und eine Untersuchung durch den Medizinischen Dienst der Krankenkasse nach § 275 Abs. 1a Satz 3 SGB V nicht möglich ist oder objektiv keine Klärung erwarten lässt. Anderenfalls ist die Ermittlung als Datenverarbeitung nicht erforderlich im Sinne von Art. 9 Abs. 2 Buchst. b DSGVO iVm. § 26 Abs. 3 Satz 1 BDSG.

In der Rechtsprechung des Bundesarbeitsgerichts war schon vor dem Inkrafttreten der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes in der seit dem 25.05.2018 geltenden Fassung anerkannt, dass bei einem Verdacht des Vortäuschens einer Arbeitsunfähigkeit trotz einer ärztlichen Arbeitsunfähigkeitsbescheinigung eine Observation des Arbeitnehmers durch Detektive wegen des damit verbundenen Eingriffs in das allgemeine Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG) nur in Betracht kommt, falls begründete Zweifel an der Richtigkeit der ärztlichen Arbeitsunfähigkeitsbescheinigung bestehen. Anderenfalls besteht kein aufklärungsbedürftiger Verdacht, der eine Datenerhebung durch Observation rechtfertigen könnte7. Aber selbst wenn solche Zweifel an der Arbeitsunfähigkeit bestehen, hat der Arbeitgeber ggf. mittels einer Untersuchung durch den Medizinischen Dienst der gesetzlichen Krankenkasse nach § 275 Abs. 1a Satz 3 SGB V als milderes Mittel einen schwerwiegenden Eingriff in die Rechte des betroffenen Arbeitnehmers zu vermeiden8.

An diesen Grundsätzen ist auch weiterhin festzuhalten. § 26 Abs. 3 Satz 1 BDSG verlangt in der seit dem 25.05.2018 geltenden Fassung ebenso wie Art. 9 Abs. 2 Buchst. b DSGVO in jeder Fallkonstellation die Erforderlichkeit der Datenverarbeitung im dargestellten Sinne. Der deutsche Gesetzgeber hat diesbezüglich an die vor dem 25.05.2018 geltenden datenschutzrechtlichen Bestimmungen und die hierzu ergangene höchstrichterliche Rechtsprechung angeknüpft9. Demnach bleibt eine Überwachung des Arbeitnehmers weiterhin unzulässig, falls der Beweiswert der ärztlichen Arbeitsunfähigkeitsbescheinigung nicht durch begründete Zweifel erschüttert ist oder, falls eine solche Erschütterung vorliegt, das mildere Mittel der Begutachtung durch den Medizinischen Dienst der Krankenkasse zur Verfügung steht.

War hiernach die Observation durch eine Detektei zur Ausübung von Rechten aus dem Arbeitsrecht nicht erforderlich im Sinne von Art. 9 Abs. 2 Buchst. b DSGVO iVm. § 26 Abs. 3 Satz 1 BDSG, stellt sie einen Verstoß gegen die Datenschutz-Grundverordnung im Sinne von Art. 82 Abs. 1 DSGVO dar10

Dabei hat es das Bundesarbeitsgericht ausdrücklich offengelassen, ob die Überwachung des Arbeitnehmers die Aufdeckung einer Straftat im Sinne von § 26 Abs. 1 Satz 2 BDSG bezweckt hat, ob diese Norm den unionsrechtlichen Anforderungen des Art. 88 DSGVO genügt11 und wie ihr Verhältnis zu § 26 Abs. 3 BDSG ausgestaltet ist. Denn die Überwachung war im hier entschiedenen Fall aus den genannten Gründen auch nicht erforderlich im Sinne von § 26 Abs. 1 Satz 2 BDSG.

Der Arbeitnehmer muss durch die rechtswidrige Observation einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO erlitten haben.

Das Vorliegen eines „Schadens“ stellt eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen12. Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion. Die auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion13.

Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist14. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat15. Dabei können negative Gefühle („Befürchtung“) einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“16. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus17.

Der Schaden kann auch in dem durch die Überwachung erlittenen Kontrollverlust und insbesondere im Verlust der Sicherheit vor Beobachtung im privaten Umfeld liegen. Ein solcher Klagevortrag des Arbeitnehmers ist nicht unsubstantiiert, sofern sie in Bezug zu einer mehrtägigen Überwachung steht, die eine heimliche Beobachtung und Einschätzung der körperlichen Leistungsfähigkeit des Arbeitnehmers umfasste und ihn auch im Außenbereich seines Wohnhauses betraf. In einer solchen Konstellation sind der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung selbsterklärend und bedürfen keiner weiteren näheren Darlegung18.

Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht19.

Bei der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadenersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht20.

Bei einer mehrtätigen heimlichen Überwachung und Beobachtung stellt sich dabei für das Bundesarbeitsgericht ein Betrag von insgesamt 1.500, 00 € auch unter Berücksichtigung der neueren Rechtsprechung des Gerichtshofs der Europäischen Unionim Ergebnis als angemessen dar. Dabei hat das Bundesarbeitsgericht gebilligt, auf die Beobachtung und das Fotografieren des Arbeitnehmers in seiner privaten Umgebung, auf die zeitliche Dimension und auf die Erhebung von Gesundheitsdaten abzustellen, und auch zugunsten der Arbeitgeberin zu würdigen, dass diese den Detektivbericht nicht an Dritte gegeben und der Arbeitnehmer weitere psychische Belastungen nicht dargelegt hat.

Hinsichtlich der Höhe des Arbeitsentgelts und der angeblichen Absicht der Arbeitgeberin zum Auffinden eines Kündigungsgrunden und damit zur Einsparung von Personalkosten gilt der Grundsatz, dass der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts hat21. Schließlich ist auch die Intensität der Ermittlungen in zeitlicher und technischer Hinsicht zu würdigen.

Bundesarbeitsgericht, Urteil vom 25. Juli 21024 – 8 AZR 225/23

  1. vgl. hierzu BAG 20.06.2024 – 8 AZR 253/20, Rn. 82 ff.; 9.04.2019 – 1 ABR 51/17, Rn. 28, BAGE 166, 269[]
  2. vgl. BT-Drs. 18/11325 S. 97[]
  3. vgl. BAG 9.05.2023 – 1 ABR 14/22, Rn. 49 ff.; 1.06.2022 – 5 AZR 28/22, Rn. 58 f., BAGE 178, 150[]
  4. vgl. EuGH 4.07.2023 – C-252/21 [Meta Platforms u.a. (Conditions générales d´utilisation d´un réseau social)], Rn. 89[]
  5. zum kumulativen Prüfungsmaßstab: EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 76 ff. mwN; BSG 20.01.2021 – B 1 KR 7/20 R, Rn. 65 ff., BSGE 131, 169[]
  6. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 68[]
  7. vgl. zu § 32 Abs. 1 BDSG aF: BAG 29.06.2017 – 2 AZR 597/16, Rn. 40, BAGE 159, 278; 19.02.2015 – 8 AZR 1007/13, Rn. 25 ff.[]
  8. vgl. BAG 29.06.2017 – 2 AZR 597/16, Rn. 41, aaO; zur Erstattungsfähigkeit von Ermittlungskosten vgl. BAG 28.05.2009 – 8 AZR 226/08, Rn. 26; vgl. hierzu auch BAG 29.04.2021 – 8 AZR 276/20, Rn. 30, BAGE 175, 25[]
  9. vgl. BAG 9.05.2023 – 1 ABR 14/22, Rn. 61 mit Verweis auf BT-Drs. 18/11325 S. 97[]
  10. vgl. ErwGr. 146 Satz 5 DSGVO[]
  11. vgl. zu § 26 Abs. 1 Satz 1 BDSG: BAG 9.05.2023 – 1 ABR 14/22, Rn. 62 ff. unter Bezug auf EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 65[]
  12. vgl. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 32[]
  13. vgl. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87[]
  14. vgl. EuGH 11.04.2024 – C-741/21 – 35; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.[]
  15. EuGH 11.04.2024 – C-741/21 – 42; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 66[]
  16. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85[]
  17. BAG 20.06.2024 – 8 AZR 124/23, Rn. 15[]
  18. vgl. Ehmann/Selmayr/Nemitz 3. Aufl. DS-GVO Art. 82 Rn. 17; Spittka GRUR-Prax 2019, 475, 476; Kühling/Buchner/Bergt 4. Aufl. DS-GVO Art. 82 Rn. 18c; zum allgemeinen Persönlichkeitsrecht BAG 19.02.2015 – 8 AZR 1007/13, Rn. 29[]
  19. vgl. EuGH 20.06.2024 – C-182/22, – C-189/22 – [Scalable Capital] Rn. 27 ff. mwN[]
  20. vgl. BAG 20.06.2024 – 8 AZR 124/23, Rn. 16; 5.05.2022 – 2 AZR 363/21, Rn. 16[]
  21. vgl. BAG 5.05.2022 – 2 AZR 363/21, Rn. 26[]

Bildnachweis:

Das dürfte Sie auch interessieren: