Wie weit darf ein Arbeitgeber gehen, der Zweifel an der ärztlich bescheinigten Arbeitsunfähigkeit eines Mitarbeiters hat? Ist es zulässig, den Mitarbeiter durch eine Privatdetektei beschatten lassen, um Informationen über dessen Gesundheitszustand zu erlangen? Mit dieser Frage hat sich kürzlich das BAG auseinandergesetzt.
Observation zur Überprüfung des Gesundheitszustands
Der zugrunde liegende Fall betraf einen Mitarbeiter, der für mehrere Wochen krankgeschrieben war. Seinem Arbeitgeber hatte er mitgeteilt, er hätte sich eine Verletzung zugezogen. Der Arbeitgeber hegte den Verdacht, die Arbeitsunfähigkeit sei vorgetäuscht, und beauftragte eine Detektei zur Überwachung des Mitarbeiters. Die Ermittler dokumentierten dessen Verhalten im öffentlichen Raum sowie in frei einsehbaren Teilen seines Grundstücks über mehrere Tage. Als der Mitarbeiter von der Observation erfuhr, verklagte er seinen Arbeitgeber und forderte „Schmerzensgeld“ i.H.v. EUR 25.000 wegen einer Verletzung seines allgemeinen Persönlichkeitsrechts.
Schadensersatz wegen unzulässiger Verarbeitung von Gesundheitsdaten
Das BAG bejahte einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO: Mit der Dokumentation des sichtbaren Gesundheitszustands des Mitarbeiters, insbesondere seines Gangs, habe der Arbeitgeber als Verantwortlicher im Rahmen der Observation ohne Einwilligung dessen Gesundheitsdaten verarbeitet. Dies sei nicht erforderlich i.S.v. Art. 9 Abs. 2 Buchst. b DSGVO i.V.m. § 26 Abs. 3 BDSG und damit unzulässig gewesen. Durch die unzulässige Datenverarbeitung sei dem Mitarbeiter ein immaterieller Schaden entstanden.
Überwachung nur bei erschüttertem Beweiswert der Arbeitsunfähigkeitsbescheinigung denkbar
Doch wann ist eine solche Verarbeitung von Gesundheitsdaten „erforderlich“, d.h. unter welchen Voraussetzungen kann eine Überwachung durch Dritte zulässig sein? Das BAG zieht hier klare Grenzen: Zunächst muss der Beweiswert der vorgelegten Arbeitsunfähigkeitsbescheinigung erschüttert sein. Hierfür muss der Arbeitgeber tatsächliche Umstände, die Zweifel an der Erkrankung des Mitarbeiters ergeben, darlegen und im Bestreitensfall beweisen, mit der Folge, dass der ärztlichen Bescheinigung kein Beweiswert mehr zukommt. Subjektive Vermutungen oder allgemeines Misstrauen reichen nicht aus. Allerdings ist bei den Anforderungen an die Darlegungslast zu berücksichtigen, dass der Arbeitgeber in aller Regel keine Kenntnis von den Krankheitsursachen hat und nur in eingeschränktem Maß in der Lage ist, Indiz-Tatsachen zur Erschütterung des Beweiswerts vorzutragen.
Den Beweiswert erschütternde Tatsachen können sich etwa aus den eigenen Angaben des Arbeitnehmers oder auch aus der Arbeitsunfähigkeitsbescheinigung selbst ergeben. Beispielsweise kann der Beweiswert dadurch erschüttert sein, dass ein Mitarbeiter sein Arbeitsverhältnis kündigt, am Tag der Kündigung krankgeschrieben wird und die attestierte Arbeitsunfähigkeit exakt die Kündigungsfrist abdeckt. Ebenso kann die Ankündigung einer Arbeitsunfähigkeit den Beweiswert erschüttern. Dies gilt insbesondere dann, wenn der Mitarbeiter im Vorfeld deutlich macht, dass er sich krankmelden wird, sollte der Arbeitgeber bestimmten Wünschen oder Forderungen, wie z.B. einer Urlaubsgewährung, nicht nachkommen.
Maßgeblich sind stets die Umstände des Einzelfalls. Im vorliegenden Fall war es dem Arbeitgeber nicht gelungen, entsprechende Tatsachen vorzubringen, so dass die Überwachung bereits deshalb unzulässig war.
Untersuchung durch den Medizinischen Dienst der Krankenkasse als milderes Mittel
Selbst wenn diese erste Hürde genommen, der Beweiswert der ärztlichen Bescheinigung also durch begründete Zweifel erschüttert ist, so ist eine Observation nicht automatisch zulässig. Es dürfen zudem keine milderen Mittel für die Überprüfung der Arbeitsunfähigkeit zur Verfügung stehen.
Bei gesetzlich versicherten Mitarbeitern hat der Arbeitgeber insbesondere die Möglichkeit, von der Krankenkasse die Einholung einer gutachtliche Stellungnahme des Medizinischen Dienstes zu verlangen (vgl. § 275 Abs. 1a SGB V). Ablehnen kann die Krankenkasse dies nur, wenn sich die medizinischen Voraussetzungen der Arbeitsunfähigkeit eindeutig aus den ihr vorliegenden ärztlichen Unterlagen ergeben, etwa weil bereits die Diagnose den Schluss zulässt, dass Arbeitsunfähigkeit vorliegt. Inwieweit dieses Vorgehen in der Praxis zielführend ist, hängt gewiss maßgeblich davon ab, wie viel Zeit der Prozess im Einzelfall in Anspruch nimmt. Bis ein Ergebnis vorliegt, dürfte sich nicht selten das Zeitfenster für weitere Maßnahmen, wie etwa eine Observation, geschlossen haben. Zumindest sieht aber die gesetzliche Regelung vor, dass die Krankenkasse unverzüglich, d.h. ohne schuldhaftes Zögern, tätig werden muss.
Das BAG stellt klar, dass der Arbeitgeber auf dieses gegenüber einer Überwachung mildere Mittel nur verzichten darf, wenn eine Einbindung des Medizinischen Dienstes nicht möglich ist oder objektiv keine Klärung erwarten lässt. Auch darüber lässt sich im Einzelfall streiten. Vorsorglich sollten Arbeitgeber bei gesetzlich versicherten Mitarbeitern diese Option gründlich prüfen und im Zweifel in Anspruch nehmen, bevor sie zu drastischeren Mitteln wie einer Observation greifen. Dies gilt gleichermaßen für andere mildere Mittel, die im Einzelfall ggf. in Betracht kommen.
Kontrollverlust über personenbezogene Daten als Schaden
Damit ein Datenschutzverstoß zu einem Schadensersatzanspruch führt, muss der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein. Letzterer kann in einem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dabei können negative Gefühle – etwa eine „Befürchtung“ weiterer Überwachung – ausreichen. Das bloße Berufen auf eine bestimmte Gefühlslage genügt dagegen nicht, wie das BAG unter Verweis auf die Rechtsprechung des EuGH klarstellt. Es ist vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann. Im vorliegenden Fall waren diese Voraussetzungen nach Auffassung des BAG erfüllt. Der von der Überwachung betroffene Mitarbeiter hatte durch den Kontrollverlust und insbesondere den Verlust der Sicherheit vor Beobachtung im privaten Umfeld einen immateriellen Schaden erlitten.
Hinsichtlich der Schadensersatzhöhe hielt das BAG den von der Vorinstanz festgesetzten Betrag von EUR 1.500 für angemessen. Der Betrag orientierte sich an der Intensität der Persönlichkeitsverletzung, dem zeitlichen Umfang der Überwachung und der Art der erhobenen Daten (Gesundheitsdaten als besonders geschützte Daten i.S.v. Art. 9 Abs. 1 DSGVO). Gleichzeitig wurde berücksichtigt, dass der Arbeitgeber den Detektivbericht nicht an Dritte weitergegeben und der Mitarbeiter keine weitergehenden psychischen Belastungen dargelegt hatte.