Krankschreibung: Beschattung verstößt gegen DSGVO

Eine verdeckte Überwachung von krankgeschriebenen Arbeitnehmerinnen und Arbeitnehmern durch den Arbeitgeber stellt einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar. Dies entschied der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem aktuellen Fall, der für arbeitsrechtliche und datenschutzrechtliche Fragestellungen von erheblicher Bedeutung ist.

Im vorliegenden Fall hatte ein Unternehmen den Verdacht, eine Mitarbeiterin könnte ihre Krankschreibung lediglich vortäuschen. Um diesem Verdacht nachzugehen, beauftragte der Arbeitgeber einen Privatdetektiv, der die Betroffene bis zu vier Tage lang ohne deren Wissen observierte. Dabei wurden unter anderem Fotos von der Arbeitnehmerin in ihrem privaten Umfeld aufgenommen. Ziel war es, Informationen über ihre Aktivitäten während der Krankschreibung zu erhalten.

Diese Form der Überwachung wurde jedoch durch den LDI NRW als unzulässig eingestuft. Nach Auffassung der Behörde verstößt ein solches Vorgehen gegen die Grundsätze der DSGVO, denn es fehlt sowohl an einer rechtlichen Grundlage als auch an der Verhältnismäßigkeit der Maßnahme. Insbesondere sei eine verdeckte Observation nur in eng begrenzten Ausnahmefällen erlaubt, etwa wenn ein konkreter und belegbarer Verdacht auf eine schwerwiegende Pflichtverletzung vorliegt und mildere Mittel nicht ausreichen.

Im hier bewerteten Fall war nach Ansicht des Datenschutzbeauftragten weder der Verdacht ausreichend konkretisiert, noch war die eingesetzte Maßnahme verhältnismäßig. Der Verdacht basierte lediglich auf durch Hörensagen erlangten Informationen ohne belastbare Faktenlage. Zudem handelte es sich bei der Observation – inklusive Fotodokumentation – um einen erheblichen Eingriff in das Persönlichkeitsrecht der betroffenen Angestellten, der mit dem Schutz der Privatsphäre nach Artikel 8 der Charta der Grundrechte der Europäischen Union nicht vereinbar sei.

Die DSGVO erlaubt in bestimmten Fällen eine Verarbeitung personenbezogener Daten, wenn sie zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO). Jedoch setzt dies eine sorgfältige Abwägung zwischen den Interessen des Arbeitgebers und den Grundrechten der betroffenen Person voraus. Laut LDI NRW fiel diese Interessenabwägung im vorliegenden Fall zugunsten der Arbeitnehmerin aus.

Besonders kritisch sieht der Datenschutzbeauftragte die Tatsache, dass sensible Informationen über Gesundheitszustand und Verhalten der Angestellten durch die verdeckte Erhebung potenziell offenbart wurden. Eine derart tiefgreifende personenbezogene Datenverarbeitung bedarf nach Artikel 9 DSGVO grundsätzlich einer besonderen rechtlichen Grundlage und ist durch die allgemeine Interessenabwägung allein nicht gerechtfertigt.

Als Konsequenz des Verstoßes wurde das betroffene Unternehmen vom LDI NRW sanktioniert. Die genaue Höhe der verhängten Maßnahme wurde nicht öffentlich bekannt gegeben. Die zuständige Aufsichtsbehörde weist jedoch ausdrücklich darauf hin, dass die verdeckte Überwachung von Beschäftigten – insbesondere während einer Krankschreibung – in der Regel nur zulässig ist, wenn konkrete Hinweise auf eine schwerwiegende Straftat oder vorsätzliche Täuschung bestehen und alle anderen Mittel vorher ausgeschöpft wurden.

Arbeitgeber sollten daher im Umgang mit krankgeschriebenen Beschäftigten auf rechtssichere Instrumente zurückgreifen. Hierzu zählt etwa das Anfordern einer ärztlichen Bescheinigung spätestens ab dem vierten Krankheitstag oder eine Begutachtung durch den Medizinischen Dienst im Falle von Zweifeln an der Arbeitsunfähigkeit. Eigenmächtige Observationen durch externe Stellen ohne dein explizites Vorliegen der strengen rechtlichen Voraussetzungen sind nicht zulässig und können neben Bußgeldern auch zivilrechtliche Schadensersatzansprüche nach sich ziehen.

Auch für Privatdetekteien besteht in solchen Fällen ein rechtliches Risiko. So unterliegen auch sie der DSGVO und müssen sicherstellen, dass ihre Tätigkeit auf einer rechtmäßigen Grundlage erfolgt. Eine Beauftragung durch den Arbeitgeber allein reicht dafür nicht aus, wenn die zugrunde liegenden Voraussetzungen der Verhältnismäßigkeit und Transparenz nicht gegeben sind.

Für Beschäftigte bedeutet die Entscheidung, dass sie bei einer widerrechtlichen Überwachung durch ihren Arbeitgeber nicht nur das Gespräch mit dem Betriebsrat oder der arbeitsrechtlichen Interessenvertretung suchen können, sondern unter Umständen auch Anspruch auf Unterlassung und Schadenersatz haben. Der europäische Gesetzgeber hat mit Artikel 82 DSGVO ausdrücklich einen zivilrechtlichen Schadensersatzanspruch für unzulässige Datenverarbeitungen vorgesehen.

Das Urteil des LDI NRW stärkt somit den Schutz der Persönlichkeitsrechte im Arbeitsverhältnis und betont die strengen Voraussetzungen für eine rechtmäßige Überwachung von Beschäftigten im Krankheitsfall. Unternehmen sind angehalten, ihre internen Maßnahmen und Vorgehensweisen in solchen Fällen kritisch zu überprüfen und auf datenschutzkonforme Verfahren umzustellen.