DSGVO-Verstoß bei Krankenüberwachung

Vertrauen ist gut, Kontrolle kann zu weit gehen. So könnte man das Vorgehen eines Arbeitgebers auf den Punkt bringen, der seinen krankgeschriebenen Mitarbeiter von einer Detektei bespitzeln ließ. Das ließ sich der Arbeitnehmer nicht gefallen und klagte. Grundlage der Klage war die DSGVO.

Ein Fall mit Vorgeschichte

Der Fall ereignete sich in einem Unternehmen der Digitaldruckbranche, wo der betroffene Mitarbeiter seit 2009 im Vertrieb tätig war. Die Beziehung zwischen Arbeitgeber und Arbeitnehmer war bereits vor dem eigentlichen Vorfall belastet: Mehrere unwirksame Kündigungsversuche waren vorausgegangen, und eine Änderungskündigung hatte der Mitarbeiter Anfang 2021 zwar angenommen, doch Anfang 2022 kam es erneut zu Konflikten über die Art der übertragenen Aufgaben.

Der Konflikt eskalierte, als sich der Mann nach einem angeblichen Treppensturz krank meldete. Die Arbeitsunfähigkeit wurde ärztlich bescheinigt und erstreckte sich über etwa einen Monat. Der Arbeitgeber hegte offenbar Zweifel an der Echtheit der Krankschreibung und beauftragte eine Detektei mit der Überwachung des Erkrankten.

Bei der Observation dokumentierten die Detektive auch gesundheitsbezogene Beobachtungen, etwa dass der Mitarbeiter sein Bein nachzog. Diese Dokumentation sollte sich als problematisch erweisen: Das Bundesarbeitsgericht stufte sie als Verarbeitung von Gesundheitsdaten im Sinne der DSGVO ein.

BAG sieht klaren DSGVO-Verstoß

In seinem Urteil (Az.: 8 AZR 225/23) stellte das BAG klar, dass die Dokumentation des sichtbaren Gesundheitszustands unter den besonderen Schutz der Gesundheitsdaten nach Art. 9 Abs. 1 i.V.m. Art. 4 Nr. 15 DSGVO fällt. Die heimliche Verarbeitung dieser Daten ohne Einwilligung des Betroffenen war nach Auffassung des Gerichts nicht durch Art. 9 Abs. 2 Buchst. b DSGVO i.V.m. § 26 Abs. 3 BDSG gedeckt. Besonders bedeutsam war, dass das Gericht keine ausreichend begründeten Zweifel an der ärztlichen Arbeitsunfähigkeitsbescheinigung sah, die eine solche Überwachung hätten rechtfertigen können.

Schadensersatz wegen „Kontrollverlusts“

Das BAG bestätigte den vom Landesarbeitsgericht Düsseldorf zugesprochenen Schadensersatz in Höhe von 1.500 Euro. Bemerkenswert ist die Begründung: Bei einer mehrtägigen heimlichen Überwachung, die auch den Außenbereich des Wohnhauses einschloss, sei der Kontrollverlust über die eigenen Daten und die daraus resultierende Befürchtung weiterer Überwachung „selbsterklärend“. Der Betroffene musste keine weiteren Nachweise für seinen immateriellen Schaden erbringen.