Das Bundesarbeitsgericht hat mit dem Urteil 8 AZR 225/23 vom 25. Juli 2024 klargestellt, dass die Überwachung eines krankgeschriebenen Mitarbeiters durch Detektive in der Regel einen Verstoß gegen die DSGVO darstellt. Arbeitgeber dürfen Gesundheitsdaten nicht ohne zwingenden Grund erheben. Das Gericht sprach dem betroffenen Arbeitnehmer 1.500 Euro immateriellen Schadenersatz zu und stellte dabei fest, dass schon die Beobachtung äußerer Anzeichen wie Gangbild oder körperliche Belastbarkeit Gesundheitsdaten im Sinne von Artikel 9 DSGVO sind.
Der Fall betraf einen Arbeitnehmer, dessen Arbeitsunfähigkeit durch ärztliche Bescheinigungen belegt war. Der Arbeitgeber zweifelte an der Echtheit und beauftragte eine Detektei. Diese beobachtete den Mitarbeiter beim Einkaufen, beim Tragen schwerer Gegenstände und bei Arbeiten auf seiner Terrasse. Das Gericht sah darin eine Verarbeitung von Gesundheitsdaten, die nur in sehr engen Grenzen zulässig ist. Entscheidend ist, dass eine Observation erst dann erlaubt wäre, wenn der Beweiswert der ärztlichen Arbeitsunfähigkeitsbescheinigung erschüttert ist und wenn der Medizinische Dienst der Krankenkassen nicht eingeschaltet werden kann. Da beides hier nicht der Fall war, war die Überwachung unverhältnismäßig und rechtswidrig.
Das Gericht folgte damit einer Linie, die bereits in früheren Entscheidungen angelegt war. Schon 2017 hatte das BAG betont, dass Observationen nur zulässig sind, wenn gewichtige Anhaltspunkte die Glaubwürdigkeit einer Arbeitsunfähigkeitsbescheinigung erschüttern. Der EuGH hat in jüngeren Urteilen zudem klargemacht, dass selbst ein kurzfristiger Kontrollverlust über personenbezogene Daten als immaterieller Schaden zu werten ist. Auch negative Gefühle wie die Angst vor weiterer Überwachung können einen ersatzfähigen immateriellen Schaden darstellen, wenn sie objektiv nachvollziehbar sind. Damit war der zugesprochene Betrag von 1.500 Euro zwar vergleichsweise niedrig, aber in der Sache folgerichtig. Schadenersatz nach Artikel 82 DSGVO ist auf Ausgleich gerichtet, nicht auf Strafe oder Abschreckung.
Für Arbeitgeber ergibt sich daraus eine klare Konsequenz. Zweifel an der Arbeitsunfähigkeit eines Mitarbeiters sind zunächst über mildere Mittel zu klären. Dazu gehört vor allem die Einschaltung des Medizinischen Dienstes der Krankenkassen. Vage Vermutungen oder persönliche Konflikte reichen nicht, um den Beweiswert einer ärztlichen Bescheinigung zu erschüttern. Erst wenn dieser objektiv entkräftet ist und keine alternative Klärung möglich ist, kann über weitergehende Maßnahmen nachgedacht werden. Wer Detektive ohne diese Voraussetzungen einschaltet, verstößt gegen die DSGVO und setzt sich Haftungsrisiken aus. Da es sich um die Verarbeitung sensibler Daten handelt, ist eine Datenschutz-Folgenabschätzung zwingend erforderlich. Werden externe Ermittler beauftragt, sind sie zudem Auftragsverarbeiter im Sinne von Artikel 28 DSGVO und dürfen nicht ohne entsprechenden Vertrag tätig werden.
Für Arbeitnehmer bedeutet das Urteil, dass sie ihre Rechte kennen und einfordern sollten. Wer rechtswidrig überwacht wird, kann immateriellen Schadenersatz geltend machen, auch wenn die Summe nicht hoch ausfällt. Der eigentliche Schutz liegt darin, dass Arbeitgeber nun noch klarer wissen, dass Observationen fast immer unzulässig sind.
Das Urteil des BAG zieht damit eine deutliche Grenze. Die Arbeitsunfähigkeitsbescheinigung behält ihren hohen Beweiswert, und Arbeitgeber müssen mildere Mittel ausschöpfen. Observationen durch Detektive bleiben das äußerste und praktisch unzulässige Mittel. Wer sie dennoch nutzt, verstößt gegen Datenschutzrecht und riskiert neben Schadenersatzforderungen auch Sanktionen durch Aufsichtsbehörden.
Für die Praxis heißt das: Personalabteilungen sollten klare Prozesse für den Umgang mit Krankheitszweifeln festlegen. Dazu gehört die sofortige Einbindung des Medizinischen Dienstes, die Dokumentation von Verdachtsmomenten und die Prüfung, ob eine Datenschutz-Folgenabschätzung notwendig ist. Führungskräfte müssen geschult werden, damit sie wissen, dass Detektive keine schnelle Lösung sind, sondern ein erhebliches Risiko darstellen. Arbeitnehmer wiederum sollten Transparenz zeigen, wenn Zweifel an ihrer Arbeitsunfähigkeit aufkommen. So lassen sich Konflikte frühzeitig entschärfen und rechtswidrige Eingriffe in die Privatsphäre vermeiden.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks