Immer häufiger kommt es zu Schadensersatzklagen aufgrund von DSGVO-Verstößen im Arbeitsverhältnis. Dabei wird deutlich, dass die Nichteinhaltung der Datenschutzbestimmungen sowohl für den Arbeitnehmer als auch den Arbeitgeber ernsthafte Folgen haben kann.
Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 25.07.2024 (Az. 8 AZR 225/23) die Rechte von Arbeitnehmern im Arbeitsrecht und Datenschutz deutlich gestärkt. Arbeitgeber, die gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, müssen mit Schadensersatzansprüchen nach Art. 82 DSGVO rechnen – insbesondere bei unzulässiger Überwachung von Arbeitnehmern.
Im entschiedenen Fall beauftragte ein Arbeitgeber während der Arbeitsunfähigkeit eines Mitarbeiters eine Detektei, um den Verdacht einer vorgetäuschten Erkrankung zu überprüfen. Über mehrere Tage wurde der Arbeitnehmer heimlich observiert, wobei insbesondere Gesundheitsdaten dokumentiert wurden.
Auf Grundlage dieser Überwachung sprach der Arbeitgeber eine fristlose Kündigung wegen angeblich vorgetäuschter Arbeitsunfähigkeit aus. Der Arbeitnehmer erhob erfolgreich Kündigungsschutzklage und verlangte zusätzlich Schadensersatz wegen DSGVO-Verstoßes.
Das BAG stellte klar, dass die heimliche Überwachung eines Arbeitnehmers und die Erhebung von Gesundheitsdaten einen erheblichen Eingriff in das Persönlichkeitsrecht darstellen. Gesundheitsdaten gehören zu den besonders sensiblen Daten im Sinne von Art. 9 DSGVO und dürfen nur in eng begrenzten Ausnahmefällen verarbeitet werden.
Die Einschaltung einer Detektei sei nur dann zulässig, wenn sie erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO sei. Dies komme ausschließlich dann in Betracht, wenn:
In einem weiteren Urteil vom 17.10.2024 (Az. 8 AZR 215/23) stellte das BAG klar, dass ein Schadensersatzanspruch nach Art. 82 DSGVO einen konkret nachweisbaren Schaden voraussetzt. Damit präzisiert das Gericht die Anforderungen an immaterielle Schadensersatzansprüche im Arbeitsrecht.
In dem zugrunde liegenden Fall verlangte ein Auszubildender eines Fitnessstudios Schadensersatz, weil sein Arbeitgeber einen privat genutzten USB-Stick an sich genommen hatte. Der Stick enthielt private Fotos, Videos und Bewerbungsunterlagen. Der Kläger sah sein Auskunftsrecht nach Art. 15 DSGVO verletzt und machte eine nervliche Belastung sowie ein Gefühl des Unwohlseins geltend.
Während das Landesarbeitsgericht dem Anspruch noch stattgab, wies das BAG die Klage letztlich ab. Die Erfurter Richter stellten klar:
Zwar könne der Schaden geringfügig sein, er müsse jedoch tatsächlich eingetreten und nachweisbar sein, um der Ausgleichsfunktion des Schadensersatzes zu entsprechen.
Die aktuellen Entscheidungen des BAG zeigen deutlich: DSGVO-Verstöße im Arbeitsverhältnis können zu Schadensersatzansprüchen führen – insbesondere bei unzulässiger Arbeitnehmerüberwachung oder der rechtswidrigen Verarbeitung sensibler Daten. Gleichzeitig macht das BAG klar, dass ein konkreter Schaden Voraussetzung für einen Anspruch nach Art. 82 DSGVO bleibt.
Arbeitgeber sollten daher datenschutzrechtliche Vorgaben strikt einhalten und Überwachungsmaßnahmen nur in eng begrenzten Ausnahmefällen einsetzen. Arbeitnehmer wiederum sollten ihre datenschutzrechtlichen Ansprüche im Arbeitsrecht kennen und bei Verstößen rechtzeitig rechtlichen Rat einholen.
Wir beraten und vertreten Arbeitnehmer, Geschäftsführer sowie Arbeitgeber umfassend und mit hoher fachlicher Expertise in sämtlichen Fragen des Arbeitsrechts. Unsere Schwerpunkte liegen insbesondere in:
Gerne stehen wir Ihnen mit unserer langjährigen Erfahrung im Arbeits- und Datenschutzrecht beratend und durchsetzungsstark zur Seite. Kontaktieren Sie uns für eine individuelle Einschätzung Ihres Anliegens.