Krankschreibung: Beschattung verstößt gegen DSGVO

Ein aktueller Beschluss des Arbeitsgerichts Lübeck vom 31. Januar 2024 (Az. 1 Ca 538/23) befasst sich mit der Zulässigkeit der Überwachung von Beschäftigten im Krankheitsfall. Das Gericht entschied, dass die verdeckte Beobachtung einer Arbeitnehmerin durch einen Detektiv gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. In dem zugrunde liegenden Fall hatte eine Apotheke eine Mitarbeiterin im Außendienst beschatten lassen, um die Echtheit ihrer Krankschreibung zu prüfen.

Ausgangspunkt des Rechtsstreits war eine Mitarbeiterin, die sich für mehrere Wochen krankgemeldet hatte. Der Arbeitgeber stellte ihre Lohnfortzahlung ein, da er Zweifel an der Arbeitsunfähigkeit hegte. Zur Überprüfung ihrer Angaben beauftragte die Apotheke einen Detektiv. Dieser beobachtete die Arbeitnehmerin an mehreren Tagen und fertigte hierzu einen umfangreichen Bericht mit Fotos an. Der Bericht wurde der Klägerin nach Ende der Krankschreibung übergeben. Daraufhin erhob die betroffene Beschäftigte Klage vor dem Arbeitsgericht Lübeck und machte unter anderem einen Verstoß gegen datenschutzrechtliche Vorschriften geltend.

Das Gericht gab der Klägerin Recht. Es urteilte, dass die heimliche Überwachung durch einen Detektiv ohne ausreichenden konkreten Verdacht unverhältnismäßig sei und damit einen Eingriff in das Persönlichkeitsrecht sowie einen Verstoß gegen die DSGVO darstelle. Die heimliche Beobachtung sei ein besonders schwerwiegender Eingriff in das Grundrecht auf informationelle Selbstbestimmung, der nur unter strengen Voraussetzungen gerechtfertigt werden könne. Nach Auffassung des Gerichts habe der Arbeitgeber keine hinreichenden Anhaltspunkte für eine vorgetäuschte Krankheit vorlegen können.

Der Einsatz eines Detektivs zur Überwachung erkrankter Arbeitnehmerinnen und Arbeitnehmer setzt nach den Maßstäben des Gerichts voraus, dass konkrete und dokumentierte Zweifel an der Arbeitsunfähigkeit bestehen. Bloße Vermutungen oder allgemeines Misstrauen genügen nicht. In dem vorliegenden Fall hatte der Arbeitgeber keine konkreten Tatsachen vorgetragen, die den Verdacht auf eine vorgetäuschte Krankheit hätten begründen können. Vielmehr stützte er sich auf allgemeine Mutmaßungen, dass "etwas nicht stimme". Dies reichte dem Gericht nicht aus, um einen derart tiefgreifenden Eingriff in die Persönlichkeitsrechte zu rechtfertigen.

Das Arbeitsgericht erkannte in der Überwachung durch den Detektiv nicht nur eine Verletzung des allgemeinen Persönlichkeitsrechts, sondern auch einen Verstoß gegen Artikel 6 Absatz 1 Buchstabe f DSGVO. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Aufgrund der mangelnden Verhältnismäßigkeit sah das Gericht diese Voraussetzungen als nicht erfüllt an.

Folglich sprach das Gericht der Klägerin ein Schmerzensgeld in Höhe von 1.000 Euro zu. Es stellte gleichzeitig klar, dass ein Anspruch auf immateriellen Schadensersatz nach Artikel 82 DSGVO besteht, wenn durch eine rechtswidrige Datenverarbeitung ein Schaden – auch ideeller Art – entstanden ist. Dabei genügt die Feststellung, dass die betroffene Person sich in ihrem Persönlichkeitsrecht verletzt fühlt und durch die unzulässige Beobachtung verunsichert oder psychisch belastet wurde.

Für Arbeitgeber ergibt sich aus diesem Urteil eine deutliche Mahnung zu besonderer Zurückhaltung bei der Überwachung von Mitarbeitenden. Der Einsatz technischer oder persönlicher Mittel zur Überwachung – insbesondere im Gesundheitskontext – muss klar dokumentiert, begründet und verhältnismäßig sein. Insbesondere muss ein konkreter Verdacht auf Fehlverhalten bestehen, der durch objektive Tatsachen untermauert wird. Andernfalls besteht das Risiko datenschutzrechtlicher Konsequenzen und finanzieller Schadenersatzforderungen.

Die Entscheidung zeigt erneut die Bedeutung eines sachgerechten und datenschutzkonformen Umgangs mit personenbezogenen Daten im Arbeitsverhältnis. Arbeitgeber sollten insbesondere bei krankheitsbedingten Fehlzeiten genau abwägen, ob und in welchem Umfang eine Überprüfung geboten und zulässig ist. Gleichzeitig wird deutlich, dass auch Beschäftigte bei unzulässigen Eingriffen in ihre Privatsphäre rechtliche Schritte einleiten und Schadenersatz geltend machen können. Die DSGVO stellt hierbei einen wirksamen Schutzmechanismus dar, der die Grundrechte von Arbeitnehmerinnen und Arbeitnehmern im digitalen Zeitalter stärkt.

Die Entscheidung des Arbeitsgerichts Lübeck ist noch nicht rechtskräftig. Es bleibt abzuwarten, ob der Arbeitgeber gegen den Beschluss Berufung beim Landesarbeitsgericht einlegen wird. Unabhängig vom weiteren Verfahrensverlauf markiert der Fall jedoch eine relevante Wegmarke für alle Beteiligten im Arbeitsverhältnis – und unterstreicht, dass auch das berechtigte Interesse eines Unternehmens an der Aufklärung von Fehlverhalten seine Grenzen dort findet, wo die Persönlichkeitsrechte der Beschäftigten beginnen.