Das Thema
Der Kläger war seit dem 01.09.2009 bei der Beklagten und deren Rechtsvorgängerinnen in verschiedenen Positionen im Vertrieb beschäftigt. Er arbeitete im Außendienst und im Homeoffice. Im Jahr 2017 versuchte eine Rechtsvorgängerin der Beklagten, das Arbeitsverhältnis durch ordentliche Kündigung zu beenden. Im Kündigungsschutzverfahren wurde die Unwirksamkeit der Kündigung festgestellt. Im Jahr 2020 bot die Beklagte dem Kläger eine neue Position als Account Manager für die Region Süd an, die er aufgrund einer Arbeitsunfähigkeitsbescheinigung nicht antreten konnte. Im Oktober 2020 kündigte die Beklagte das Arbeitsverhältnis erneut aus betriebsbedingten Gründen, was ebenfalls gerichtlich nicht anerkannt wurde. Daraufhin erklärte die Beklagte eine Änderungskündigung, die der Kläger unter Vorbehalt annahm.
Überwachung durch Detektei
Im Februar 2022 zeigte der Kläger zum wiederholten Male eine Arbeitsunfähigkeit an. Die Beklagte ließ ihn daraufhin durch eine Detektei überwachen, da sie den Verdacht hatte, dass die Arbeitsunfähigkeit vorgetäuscht sei. Die Detektei dokumentierte verschiedene Aktivitäten des Klägers, die Zweifel an seiner Arbeitsunfähigkeit aufkommen ließen. Dazu gehörten u.a. das Tragen schwerer Gegenstände, das Besuchen von Geschäften und das Arbeiten auf der Terrasse seines Wohnhauses.
Das Verfahren
Der Kläger klagte sodann auf immateriellen Schadenersatz in Höhe von mindestens 25.000 Euro wegen der Verletzung seiner Privatsphäre durch die Überwachung. Er argumentierte, dass die Überwachung einen schwerwiegenden Eingriff in seine Privatsphäre darstelle und die Beklagte keinen hinreichenden Anlass für die Überwachung gehabt habe. Das Arbeitsgericht wies die Klage ab, das LAG Düsseldorf sprach dem Kläger eine Entschädigung von 1.500 Euro zu. Beide Parteien legten Revision ein.
Entscheidung des BAG
Der Achte Senat bestätigte die Entscheidung des Landesarbeitsgerichts und wies die Revisionen zurück (BAG, Urt. v. 25.07.2024 – 8 AZR 225/23). Er stellte fest, dass die Überwachung durch die Detektei einen Verstoß gegen die DSGVO darstellt, da die Verarbeitung der Gesundheitsdaten des Klägers ohne ausreichende rechtliche Grundlage erfolgte. Der Kläger habe durch die rechtswidrige Überwachung einen immateriellen Schaden erlitten, der durch die zugesprochene Entschädigung angemessen ausgeglichen werde.
Rechtsgrundlagen und Datenschutz
Das BAG betonte in seinem Urteil die strengen Anforderungen, die an die Verarbeitung von Gesundheitsdaten gestellt werden. Diese sind besonders sensibel und unterliegen daher einem besonderen Schutz gemäß der DSGVO. Die Verarbeitung solcher Daten ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder es bestehen andere rechtliche Grundlagen, die eine Verarbeitung rechtfertigen.
Verarbeitung von Gesundheitsdaten
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen auch Gesundheitsdaten gehören, grundsätzlich untersagt. Ausnahmen von diesem Verbot sind in Art. 9 Abs. 2 DSGVO geregelt. Eine solche Ausnahme liegt beispielsweise vor, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche seine Rechte aus dem Arbeitsrecht ausüben kann (Art. 9 Abs. 2 Buchst. b DSGVO). Diese Ausnahme greift jedoch nur, wenn die Verarbeitung nach Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist und geeignete Garantien für die Grundrechte und Interessen der betroffenen Person bestehen.
Erforderlichkeit der Datenverarbeitung
Das Gericht stellte klar, dass die Verarbeitung von Gesundheitsdaten nur dann erforderlich ist, wenn keine milderen Mittel zur Verfügung stehen, um das berechtigte Interesse des Arbeitgebers zu wahren. Im vorliegenden Fall hätte die Beklagte den Beweiswert der vorgelegten Arbeitsunfähigkeitsbescheinigungen erschüttern müssen, um eine rechtmäßige Überwachung zu rechtfertigen. Dies wäre beispielsweise der Fall gewesen, wenn konkrete und begründete Zweifel an der Richtigkeit der Bescheinigungen bestanden hätten.
Verhältnismäßigkeitsprüfung
Eine zentrale Rolle spielt dabei die Verhältnismäßigkeitsprüfung. Diese erfordert eine Abwägung zwischen den Interessen des Arbeitgebers und den Grundrechten des Arbeitnehmers. Der Eingriff in die Privatsphäre des Mitarbeiters muss durch ein legitimes Ziel gerechtfertigt sein und darf nicht über das notwendige Maß hinausgehen. Im vorliegenden Fall hätte die Beklagte prüfen müssen, ob weniger eingreifende Maßnahmen, wie eine Untersuchung durch den Medizinischen Dienst der Krankenkasse, zur Klärung des Verdachts ausgereicht hätten.
Datenschutzrechtliche Anforderungen
Das Gericht verwies auch auf die datenschutzrechtlichen Anforderungen, die bei der Verarbeitung von Gesundheitsdaten zu beachten sind. Nach § 26 Abs. 3 Satz 1 BDSG ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses nur zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person überwiegt. Zudem müssen nach § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person getroffen werden.
Ergebnis der Prüfung
Im vorliegenden Fall kam das BAG zu dem Schluss, dass die Überwachung des Klägers durch die Detektei nicht erforderlich war. Die Beklagte konnte keine hinreichenden Gründe darlegen, die den Verdacht auf eine vorgetäuschte Arbeitsunfähigkeit rechtfertigten. Zudem hätte sie weniger eingreifende Maßnahmen in Betracht ziehen müssen, bevor sie zu einer derart invasiven Maßnahme wie der Überwachung durch eine Detektei griff. Daher stellte das Gericht fest, dass die Überwachung einen Verstoß gegen die DSGVO darstellt und der Kläger Anspruch auf immateriellen Schadenersatz hat.
Fazit
Das Urteil des Achten Senats verdeutlicht die hohen Anforderungen an die Verarbeitung von Gesundheitsdaten und die Notwendigkeit einer sorgfältigen Abwägung der Interessen von Arbeitgebern und Arbeitnehmern. Erstere müssen sicherstellen, dass sie bei Verdacht auf vorgetäuschte Arbeitsunfähigkeit alle weniger eingreifenden Mittel ausschöpfen, bevor sie zu invasiven Maßnahmen greifen. Andernfalls riskieren sie, gegen datenschutzrechtliche Bestimmungen zu verstoßen und Schadenersatzansprüche auszulösen.
