(verpd) Ein Arbeitgeber hatte einen Arbeitnehmer wegen des Verdachts, eine Krankheit vortäuscht zu haben, durch eine Detektei überwachen lassen. Dieses Erheben und Auswerten von Gesundheitsdaten kann gegen den Arbeitgeber einen Anspruch auf Schadensersatz nach der Datenschutz-Grundverordnung begründen. Dies geht aus einem Urteil des Bundesarbeitsgerichts hervor.

Unternehmen sind bei der Überwachung von Mitarbeitern, die mutmaßlich eine Krankheit nur vortäuschen, sehr enge Grenzen gesetzt. Demnach dürfen sie krankgeschriebene Arbeitnehmer nur dann von einer Detektei überwachen lassen, wenn der Beweiswert einer vorgelegten ärztlichen Arbeitsunfähigkeitsbescheinigung erschüttert ist.

Wird jedoch ein Arbeitnehmer überwacht und werden dabei sichtbare Gesundheitsdaten erhoben, bedeutet dies nicht nur einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Dem Betroffenen kann daraus auch ein Anspruch auf Schadensersatz entstehen, wenn er nachweisen kann, dass ihm daraus ein Schaden gemäß Artikel 82 DSGVO entstanden ist. Das hat das Bundesarbeitsgerichts am 25. Juli 2024 (8 AZR 225/23) entschieden.

Zerrüttetes Arbeitsverhältnis

Im konkreten Rechtsstreit klagte ein langjähriger Außendienstmitarbeiter eines Digitaldruckunternehmens, der auch Management-Aufgaben übernahm, gegen seinen Arbeitgeber. Das Arbeitsverhältnis war bereits seit 2017 zerrüttet, als die Firma versuchte, den Mitarbeiter ordnungsgemäß zu kündigen. Dagegen wehrte er sich erfolgreich mit einer Kündigungsschutzklage.

Die Firma betraute den Mitarbeiter daraufhin mit neuen Aufgaben, die einen Wohnortwechsel und dauerhafte Präsenz im Büro erforderten. Gegen die entsprechende Änderungskündigung wehrte sich der Mitarbeiter erfolglos mit einer Änderungsschutzklage. Im August 2021 akzeptierte der Mitarbeiter schließlich die neue Position.

Mitarbeiter ist mit neuer Aufgabe unzufrieden – mehrfache Krankmeldungen

Kurz darauf entstanden neue Konflikte: Der Beschäftigte trat seine neue Aufgabe im November nicht an und meldete sich krank. Erst im Januar 2022 nahm er die Arbeit auf, beschwerte sich aber über minderwertige Aufgaben, die nicht dem Änderungsangebot entsprechen würden.

Eine Aussprache mit der Geschäftsführung am 3. Februar blieb ergebnislos. Noch am selben Tag reichte er vor dem Arbeitsgericht eine Klage ein, um eine vertragsgemäße Beschäftigung durchzusetzen.

Nur einen Tag später meldete sich der privat Krankenversicherte erneut arbeitsunfähig. Er sei auf der Treppe gestürzt und habe sich am Bein verletzt. Die entsprechende Arbeitsunfähigkeitsbescheinigung war von einer Fachärztin an seinem Wohnort ausgefüllt worden. Inklusive Folgebescheinigung fehlte der Mann einen Monat.

Kläger fordert Schadensersatz von 25.000 Euro

Auch aufgrund der Vorgeschichte vermutete die Firma, dass der Mitarbeiter seine Verletzung nur vortäusche, um unliebsamen Aufgaben aus dem Weg zu gehen. Zudem zeigten Social-Media-Bilder den Mann bei körperlichen Aktivitäten.

Deshalb setzte der Arbeitgeber eine Detektei auf ihn an. In der Zeit vom 25. Februar bis 4. März observierten Detektive unter anderem das Grundstück des Mannes und dokumentierten Arbeiten an der Terrasse wie Sägen und Schneiden. Dabei wurden auch Beobachtungen zu seinem Gesundheitszustand dokumentiert: etwa, dass er sein Bein nachzog.

Nachdem der Mitarbeiter von der Geschäftsführung mit den Ergebnissen der Detektive konfrontiert worden war, verklagte er das Unternehmen auf 25.000 Euro Schmerzensgeld. Die Arbeitsunfähigkeit sei ordnungsgemäß bescheinigt worden, so argumentierte er, zudem hätte man ihn bei Klärungsbedarf anhören müssen.

Die Überwachung stelle jedoch einen schwerwiegenden Eingriff in seine Privatsphäre dar, weil die Detektive ihn nicht nur in der Öffentlichkeit beobachtet hätten, sondern auch im Eingangsbereich seines Hauses und auf seiner Terrasse. Dies wecke bei ihm Sorge vor weiteren Eingriffen in seine Privatsphäre und bedeute einen schweren Verstoß gegen die DSGVO.

Unternehmen beruft sich auf Rechtmäßigkeit der Überwachung

Das Unternehmen hielt dem entgegen, dass der Beweiswert der Arbeitsunfähigkeitsbescheinigung erschüttert gewesen sei. Das begründete die Firma unter anderem damit, dass der Mitarbeiter nach seinem Unfall 600 Kilometer zu seinem Wohnort gereist sei, um dort einen Arzt aufzusuchen. Bei einer schweren Beinverletzung sei das schwer vorstellbar.

Zudem habe sich der Kläger bereits zu früheren Zeitpunkten in Arbeitsunfähigkeit geflüchtet, argumentierte die Firma weiter. Da der Mitarbeiter privat versichert sei, habe man den Medizinischen Dienst der Krankenkassen nicht einschalten können. Schließlich, so die Firma, belegten die Ergebnisse der Detektei, dass der Mann zum Zeitpunkt seiner Krankschreibung arbeitsfähig gewesen sei.

Bundesarbeitsgericht sieht Verstoß gegen DSGVO

Das Bundesarbeitsgericht schloss sich vollumfänglich dem Urteil der Vorinstanz an. So habe das Landesarbeitsgericht Düsseldorf korrekt bestätigt, dass im vorliegenden Fall keine Notwendigkeit zur Überwachung des Mitarbeiters bestanden habe. Die vorgelegten Arbeitsunfähigkeitsbescheinigungen seien ordnungsgemäß erstellt worden.

In der Rechtsprechung des Bundesarbeitsgerichts sei bereits vor Inkrafttreten der Datenschutz-Grundverordnung anerkannt gewesen, dass eine Observation des Arbeitnehmers durch Detektive einen Eingriff in das allgemeine Persönlichkeitsrecht und in das informationelle Selbstbestimmungsrecht bedeute, führte das BAG aus.

Sie komme deshalb nur dann in Betracht, wenn begründete Zweifel an der Richtigkeit der ärztlichen Bescheinigung zur Arbeitsunfähigkeit bestehen.

Arbeitgeber muss zunächst mildere Mittel als die Überwachung ergreifen

Selbst wenn solche Zweifel bestünden, so müssten Arbeitgeber aufgrund der Schwere des Eingriffs zunächst auf mildere Mittel zurückgreifen: entweder, dass der Medizinische Dienst der Krankenkasse eingeschaltet werde – oder, falls nicht möglich, dass der Betroffene die Möglichkeit zu einer Anhörung bekomme.

Folglich hätte im vorliegenden Fall die Firma ihren Mitarbeiter anhören müssen, nachdem sie Verdacht schöpfte. Die heimliche Überwachung des Mitarbeiters sei hingegen rechtswidrig gewesen.

Darüber hinaus bestätigte das BAG, dass auch der „sichtbare Gesundheitszustand des Klägers, insbesondere seines Gangs“ unter jene Gesundheitsdaten fallen, die durch Artikel 9 DSGVO geschützt sind. Entsprechend müssen solche Daten nach den Vorgaben der Datenschutz-Grundverordnung erfasst und verarbeitet werden.

Kontrollverlust im privaten Umfeld begründet Anspruch auf Schadensersatz

Auch in der Frage, ob der Kläger Anspruch auf Schadensersatz hat, bestätigte das BAG das Urteil der Vorinstanz. Zu Recht habe das Landesarbeitsgericht Düsseldorf dem Kläger einen Schadenersatz in Höhe von 1.500 Euro zugesprochen. Demnach habe der Angestellte erfolgreich nachweisen können, dass ihm ein Schaden entstanden ist.

Das Gericht betonte, dass der erlittene Schaden im Kontrollverlust durch die Überwachung lag, insbesondere im Verlust der Sicherheit vor Beobachtungen im privaten Umfeld. So sei die Überwachung der körperlichen Leistungsfähigkeit auch im Außenbereich des Wohnhauses des Klägers erfolgt. In einer solchen Konstellation sei der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung selbsterklärend und bedürfe keiner weiteren näheren Darlegung.

Bereits das Landesgericht hatte aber auch zulasten des Klägers entschieden, dass die geforderte Summe von 25.000 Euro unangemessen hoch ist.