Arbeitnehmerüberwachung durch Privatdetektive: Bewertung des BAG im Lichte der DSGVO

In einer jüngst vom Bundesarbeitsgericht (BAG) entschiedenen Sache (Urteil vom 25.07.2024, Az. 8 AZR 225/23) ging es um die Zulässigkeit der Überwachung eines Arbeitnehmers durch eine Detektei. Anlass war der Verdacht einer vorgetäuschten Arbeitsunfähigkeit. Diese Entscheidung wirft entscheidende Fragen im Zusammenhang mit und der Verarbeitung von Gesundheitsdaten gemäß der Datenschutz-Grundverordnung () auf.

Sachverhalt

Der Kläger, ein , wurde durch eine Detektei überwacht, die von seinem Arbeitgeber beauftragt wurde. Ziel war es, die Arbeitsunfähigkeit des Klägers zu überprüfen. Dabei wurden unter anderem Daten zum Gesundheitszustand des Klägers erfasst und dokumentiert. Der Kläger klagte auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO, da er eine Verletzung seiner Datenschutzrechte geltend machte.


Rechtliche Analyse

1. Verarbeitung von Gesundheitsdaten

Gesundheitsdaten gelten gemäß Art. 4 Nr. 15 DSGVO als besonders schützenswert. Die Überwachung des Arbeitnehmers und die Dokumentation seines Gesundheitszustandes durch die Detektei stellen eine Verarbeitung solcher Daten dar. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, es sei denn, eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen liegt vor.

2. Relevanz von Art. 26 Abs. 3 BDSG

Die Einwilligung des Betroffenen oder eine gesetzliche Grundlage können die Verarbeitung rechtfertigen. In diesem Fall könnte der Arbeitgeber sich auf § 26 Abs. 3 des Bundesdatenschutzgesetzes () stützen, der die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses erlaubt, wenn dies zur Aufdeckung von Straftaten erforderlich ist und kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegensteht.

3. Abwägung der Interessen

Das BAG musste abwägen, ob die Überwachung verhältnismäßig war. Zu berücksichtigen waren dabei:

  • Der Verdacht auf eine Straftat (vorgetäuschte Arbeitsunfähigkeit).
  • Die Intensität des Eingriffs in die Privatsphäre des Arbeitnehmers.
  • Ob mildere Mittel, wie beispielsweise ein Arztbesuch, möglich gewesen wären.

4. Schadenersatzansprüche nach Art. 82 DSGVO

Das BAG prüfte auch, ob dem Kläger ein immaterieller Schadenersatzanspruch zusteht. Nach Art. 82 Abs. 1 DSGVO kann jeder, der durch eine Datenschutzverletzung einen Schaden erleidet, Ersatz verlangen. Der Begriff des Schadens wird weit ausgelegt und umfasst auch immaterielle Beeinträchtigungen.

Fazit

Die Entscheidung des BAG verdeutlicht die komplexe Balance zwischen den berechtigten Interessen des Arbeitgebers und dem Datenschutzrecht des Arbeitnehmers. Die Verarbeitung von Gesundheitsdaten erfordert eine besonders strenge Prüfung der Verhältnismäßigkeit und der gesetzlichen Grundlagen. Arbeitgeber sollten bei der Beauftragung von Detekteien vorsichtig agieren und stets sicherstellen, dass sie den strengen Anforderungen der DSGVO gerecht werden.

Dieses Urteil liefert einen weiteren Baustein zur Klärung der rechtlichen Grenzen bei der Verarbeitung sensibler Daten im Arbeitsverhältnis und unterstreicht die Relevanz datenschutzrechtlicher Vorschriften für die Arbeitswelt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.