BAG, Urteil vom 25.07.2024 – Az. 8 AZR 225/23
Der Einsatz von Detektiven zur Überwachung von Arbeitnehmern ist ein heikles Thema – insbesondere, wenn dabei sensible personenbezogene Daten verarbeitet werden. In einem aktuellen Urteil vom 25. Juli 2024 befasste sich das Bundesarbeitsgericht (Az. 8 AZR 225/23) mit der Frage, ob eine solche Observation rechtmäßig ist und welche datenschutzrechtlichen Vorgaben eingehalten werden müssen. Der Fall verdeutlicht, wie schnell Arbeitgeber bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) mit Schadenersatzforderungen nach Art. 82 DSGVO konfrontiert werden können.
Sachverhalt
Der Kläger, ein langjähriger Außendienstmitarbeiter, hatte seit 2021 wiederholt Differenzen mit seinem Arbeitgeber. Nach einer krankheitsbedingten Absage seines Dienstantritts und weiterer Unstimmigkeiten zu seiner Tätigkeit kam es zu einem erheblichen Konflikt zwischen den Parteien. Als der Kläger im Februar 2022 erneut eine Arbeitsunfähigkeitsbescheinigung vorlegte, ließ der Arbeitgeber ihn wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit in der Zeit vom 25. Februar 2022 bis zum 4. März 2022 durch eine Detektei zumindest stichprobenartig überwachen.
Die Observation erstreckte sich über mehrere Tage und beinhaltete das Fotografieren des Klägers in der Öffentlichkeit und in seinem privaten Umfeld. Dabei dokumentierte die Detektei Tätigkeiten des Klägers, die nach Ansicht des Arbeitgebers im Widerspruch zu seiner behaupteten Arbeitsunfähigkeit standen, wie etwa das Tragen schwerer Gegenstände oder handwerkliche Arbeiten auf der Terrasse. Der Kläger erhob daraufhin Klage auf immateriellen Schadenersatz in Höhe von mindestens 25.000 Euro und argumentierte, dass die Überwachung rechtswidrig sei und ihn in seinen Datenschutzrechten sowie seiner Privatsphäre schwerwiegend verletzte. Der Arbeitgeber argumentierte, dass er ein berechtigtes Interesse an der Observation des Klägers gehabt habe, weil objektive Tatsachen den Verdacht begründet hätten, dass er die Arbeitsunfähigkeit in der Zeit vom 4. Februar 2022 bis zum 4. März 2022 vorgetäuscht habe. Zudem fehle es an einem Schaden.
Das Landesarbeitsgericht Düsseldorf sprach dem Kläger einen Schadenersatz in Höhe von 1.500 Euro zu (Urteil vom 26. April 2023 – Az. 12 Sa 18/23), was jedoch beide Parteien nicht zufriedenstellte. In der Revision bestätigte das Bundesarbeitsgericht (BAG) das Urteil des Landesarbeitsgerichts.
Entscheidung
Das BAG wies die Revision des Klägers und die Anschlussrevision der Beklagten zurück. Es stellte klar, dass die Überwachung des Klägers datenschutzrechtlich unzulässig war und der Kläger daher Anspruch auf immateriellen Schadenersatz in Höhe von 1.500 Euro zzgl. Prozesszinsen ab dem 2. September 2022 hat.
1. Vorliegen von Gesundheitsdaten, Art. 4 Nr. 15 DSGVO
Das Gericht stellt zunächst fest, dass eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO gegeben ist, wenn ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen lässt und die Detektei dabei den sichtbaren Gesundheitszustand des Arbeitnehmers dokumentiert. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Die Dokumentation des sichtbaren Gesundheitszustandes, insbesondere des Gangs des Klägers, stelle ein solches Gesundheitsdatum dar.
2. Verstoß gegen Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG
Die Verarbeitung von Gesundheitsdaten sind nach Art. 9 Abs. 1 DSGVO besonders geschützt und grundsätzlich verboten. Eine Verarbeitung dieser Daten ist nur unter strengen Voraussetzungen zulässig. Eine Ausnahme kann sich aus Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG. Art. 9 Abs. 2 lit. b DSGVO lässt das nach Art. 9 Abs. 1 DSGVO grundsätzliche bestehende Verarbeitungsverbot entfallen, falls die Verarbeitung erforderlich ist, damit der Verantwortliche die ihm „aus dem Arbeitsrecht […] erwachsenden Rechte“ ausüben kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist. § 26 Abs. 3 BDSG, das die Anforderungen des Art. 9 Abs. 2 lit. b DSGVO umsetzt, ist nach Ansicht des BAG europarechtskonform. Das Kriterium der Erforderlichkeit der Datenverarbeitung nach § 26 Abs. 3 Satz 1 BDSG stelle sicher, dass ein an sich legitimes Ziel nicht zum Anlass genommen wird, überschießend personenbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO zu verarbeiten.
Die Arbeitgeberin konnte jedoch nicht nachweisen, dass die Überwachung zur Ausübung arbeitsrechtlicher Rechte erforderlich war, wie es Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG verlangen. Die Arbeitsunfähigkeitsbescheinigungen des Klägers hatten nach Ansicht des Gerichts weiterhin Beweiswert, und es lagen keine ausreichenden Zweifel an ihrer Gültigkeit vor, die eine derart invasive Maßnahme rechtfertigen könnten. Zudem wäre es dem Arbeitgeber möglich gewesen, den Medizinischen Dienst der Krankenkassen einzuschalten, wenn begründete Zweifel an der Arbeitsunfähigkeit bestanden hätten. Es lag danach ein Verstoß gegen die DSGVO im Sinne des Art. 82 DSGVO vor.
Das BAG ließ offen, ob die Überwachung des Klägers die Aufdeckung einer Straftat im Sinne von § 26 Abs. 1 S. 2 BDSG bezweckt hat, ob diese Norm den unionsrechtlichen Anforderungen des Art. 88 DSGVO genügt und wie ihr Verhältnis zu § 26 Abs. 3 BDSG ausgestaltet ist. Die Überwachung sei nicht erforderlich gewesen.
3. Vorliegen eines immateriellen Schadens i.S.d. Art. 82 Abs. 1 DSGVO
Das BAG stellte klar, dass ein immaterieller Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO kumulativ voraussetzt:
- einen Verstoß gegen die DSGVO (vorliegend: Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG),
- einen daraus resultierenden Schaden,
- und einen Kausalzusammenhang zwischen Verstoß und Schaden.
Nach der Rechtsprechung des Europäischen Gerichtshofs reicht der kurzzeitige Verlust der Kontrolle über personenbezogene Daten aus, um einen immateriellen Schaden zu begründen. Negative Gefühle, wie die Befürchtung weiterer Überwachung, können ebenfalls einen Anspruch begründen, müssen jedoch objektiv nachvollziehbar sein. Das BAG bestätigte, dass der Kläger durch die rechtswidrige Observation einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO erlitten hat. Die Überwachung führte zu einem Kontrollverlust über seine personenbezogenen Daten. Insbesondere die heimliche Beobachtung in der Nähe seines Wohnhauses und die Dokumentation seines sichtbaren Gesundheitszustandes wie des Gangbildes wurden als schwerwiegender Eingriff gewertet.
Zur Höhe des Schadenersatzanspruches stellte das BAG klar, dass diesdurch die nationalen Gerichte nach Maßgabe der unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu bestimmen sei. Eine Abschreckungsfunktion ist ausgeschlossen; der Ersatzanspruch dient allein dem vollständigen Ausgleich des konkret entstandenen Schadens.
Das BAG bestätigte den ausgeurteilten Betrag von 1.500 Euro als angemessen. Dabei wurden die Dauer und Intensität der Überwachung sowie die fehlende Weitergabe der erhobenen Daten berücksichtigt. Argumente der Revision, wie die stichprobenartige Überwachung, änderten an der Bewertung nichts. Insbesondere die Höhe des Entgelts spiele bei der Bemessung keine Rolle.
Konsequenzen
Das Urteil des BAG verdeutlicht, dass Arbeitgeber bei der Überwachung von Arbeitnehmern äußerst vorsichtig sein müssen. Eine Observation darf nur in Ausnahmefällen erfolgen und ist nur dann zulässig, wenn:
- der Beweiswert der ärztlichen Arbeitsunfähigkeitsbescheinigung durch begründete Zweifel erschüttert ist, oder falls eine solche Erschütterung vorliegt,
- das mildere Mittel der Begutachtung durch den Medizinischen Dienst der Krankenkasse zur Verfügung steht.
Begründete Zweifel am Beweiswert bestehen nicht nur in den in § 275 Abs. 1a SGB V genannten Fällen, sondern z.B. auch dann, wenn eine E-Mail vorliegt, die auf eine unerlaubte Konkurrenztätigkeit hindeutet, wenn ein Arbeitnehmer nach einer Auseinandersetzung mit dem Arbeitgeber aus dem Betrieb ausscheidet und dem Arbeitgeber in den folgenden zwei Monaten Arbeitsunfähigkeitsbescheinigungen von fünf Ärzten vorlegt, die er ohne zeitliche Lücke nacheinander jeweils wegen anderer Beschwerden aufgesucht hat (vgl. LAG Hamm, Urteil vom 10.09.2003 – Az. 18 Sa 721/03) oder wenn eine am Tag der Eigenkündigung des Arbeitnehmers ausgestellte Arbeitsunfähigkeitsbescheinigung passgenau die nach der Kündigung noch verbleibende Dauer des Arbeitsverhältnisses abdeckt (vgl. BAG, Urteil vom 08.09.2021 – Az. 5 AZR 149/21).
Das BAG führt damit seine strenge Rechtsprechung zum BDSG aF fort (vgl. BAG, Urteil vom 29.06.2017 – Az. 2 AZR 597/16; BAG, Urteil vom 19.02.2015 – Az. 8 AZR 1007/13). Das Urteil zeigt, wie schnell Arbeitgeber bei unzulässigen Überwachungsmaßnahmen in Konflikt mit der DSGVO geraten können. Die rechtlichen Anforderungen an die Verarbeitung heimlicher Kontrollen sind hoch, insbesondere wenn es um Gesundheitsdaten geht. Insbesondere sind auch Fragen der Informationspflicht nach Art. 13, 14 DSGVO zu prüfen.
Ein Verstoß kann nicht nur zu finanziellen Schäden führen, sondern auch das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig beschädigen. Arbeitgeber sollten daher bei Zweifeln an einer Arbeitsunfähigkeit stets nach alternativen, weniger invasiven Mitteln suchen und rechtliche Beratung einholen, bevor sie Maßnahmen wie eine Observation einleiten. Andernfalls läuft der Arbeitgeber Gefahr, sich schadensersatzpflichtig zu machen und einen Kündigungsschutzprozess zu verlieren.