In einer jüngst vom Bundesarbeitsgericht (BAG) entschiedenen Sache (Urteil vom 25.07.2024, Az. 8 AZR 225/23) ging es um die Zulässigkeit der Überwachung eines Arbeitnehmers durch eine Detektei. Anlass war der Verdacht einer vorgetäuschten Arbeitsunfähigkeit. Diese Entscheidung wirft entscheidende Fragen im Zusammenhang mit Datenschutz und der Verarbeitung von Gesundheitsdaten gemäß der Datenschutz-Grundverordnung (DSGVO) auf.
Sachverhalt
Der Kläger, ein Arbeitnehmer, wurde durch eine Detektei überwacht, die von seinem Arbeitgeber beauftragt wurde. Ziel war es, die Arbeitsunfähigkeit des Klägers zu überprüfen. Dabei wurden unter anderem Daten zum Gesundheitszustand des Klägers erfasst und dokumentiert. Der Kläger klagte auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO, da er eine Verletzung seiner Datenschutzrechte geltend machte.
Rechtliche Analyse
1. Verarbeitung von Gesundheitsdaten
Gesundheitsdaten gelten gemäß Art. 4 Nr. 15 DSGVO als besonders schützenswert. Die Überwachung des Arbeitnehmers und die Dokumentation seines Gesundheitszustandes durch die Detektei stellen eine Verarbeitung solcher Daten dar. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, es sei denn, eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen liegt vor.
2. Relevanz von Art. 26 Abs. 3 BDSG
Die Einwilligung des Betroffenen oder eine gesetzliche Grundlage können die Verarbeitung rechtfertigen. In diesem Fall könnte der Arbeitgeber sich auf § 26 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) stützen, der die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses erlaubt, wenn dies zur Aufdeckung von Straftaten erforderlich ist und kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegensteht.
3. Abwägung der Interessen
Das BAG musste abwägen, ob die Überwachung verhältnismäßig war. Zu berücksichtigen waren dabei:
- Der Verdacht auf eine Straftat (vorgetäuschte Arbeitsunfähigkeit).
- Die Intensität des Eingriffs in die Privatsphäre des Arbeitnehmers.
- Ob mildere Mittel, wie beispielsweise ein Arztbesuch, möglich gewesen wären.
4. Schadenersatzansprüche nach Art. 82 DSGVO
Das BAG prüfte auch, ob dem Kläger ein immaterieller Schadenersatzanspruch zusteht. Nach Art. 82 Abs. 1 DSGVO kann jeder, der durch eine Datenschutzverletzung einen Schaden erleidet, Ersatz verlangen. Der Begriff des Schadens wird weit ausgelegt und umfasst auch immaterielle Beeinträchtigungen.
Fazit
Die Entscheidung des BAG verdeutlicht die komplexe Balance zwischen den berechtigten Interessen des Arbeitgebers und dem Datenschutzrecht des Arbeitnehmers. Die Verarbeitung von Gesundheitsdaten erfordert eine besonders strenge Prüfung der Verhältnismäßigkeit und der gesetzlichen Grundlagen. Arbeitgeber sollten bei der Beauftragung von Detekteien vorsichtig agieren und stets sicherstellen, dass sie den strengen Anforderungen der DSGVO gerecht werden.
Dieses Urteil liefert einen weiteren Baustein zur Klärung der rechtlichen Grenzen bei der Verarbeitung sensibler Daten im Arbeitsverhältnis und unterstreicht die Relevanz datenschutzrechtlicher Vorschriften für die Arbeitswelt.
- Urheberrecht und Werknachahmung: Künstler imitiert anderen Künstler - 6. Februar 2025
- Kein Schadensersatz für beschädigtes Gemälde – Kunstmarkt und Haftungsfragen im Fokus - 6. Februar 2025
- Generative KI als Waffe: Wie Staaten GenAI für Cyberkriminalität nutzen - 5. Februar 2025