LAG Hessen: 1.500 EUR immaterieller Schadensersatz nach Art. 82 DSGVO wegen unzulässiger Observation
In einer aktuell veröffentlichten Entscheidung hat das LAG Hessen ein Unternehmen zu einer Zahlung eines immateriellen Schadensersatzes nach Art. 82 DSGVO in Höhe von 1.500,00 EUR verurteilt. Das Unternehmen hatte einen Mitarbeiter sechs Tage lang von einem Privatdetektiv überwachen lassen.
Der Fall (soweit hier relevant)
Der Entscheidung liegt ein klassischer Fall aus dem Kündigungsschutzrecht zugrunde. Der Kläger hatte vormals eine einstweilige Verfügung gegen seinen Arbeitgeber beantragt, mit der er die vorläufige Weiterbeschäftigung in der Stadt „A“ erreichen wollte. In der mündlichen Verhandlung zu seinem Antrag hatte er angegeben, montags und dienstags immer in der Stadt „A“ sein zu müssen, da er dort seine Kinder zu betreuen habe. Im Anschluss an den Termin, der an einem Montag stattfand, meint der Prozessbevollmächtigte der Beklagten (und damaligen Antragsgegnerin), den Kläger in einem ICE in Richtung der Stadt „B“ gesehen zu haben. Der Bevollmächtigte sprach die Person allerdings nicht an. Vielmehr ließ die Arbeitgeberseite den Kläger daraufhin an sechs Tagen in seinem privaten Umfeld durch einen Detektiv überwachen. Erst danach wurde er mit dem Verdacht (u.a. des Prozessbetruges) konfrontiert und letztlich gekündigt. Hieraus macht der Kläger u.a. Schadensersatzansprüche geltend.
Die Entscheidung
Das Landesarbeitsgericht berücksichtigt bei seiner Entscheidung den Beschluss des Bundesverfassungsgerichts (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19 ) zu der Frage nach einer Bagatellgrenze bei Art. 82 DSGVO. Angesichts des klaren Wortlautes lehnt das LAG Hessen die Annahme einer solchen Bagatellgrenze ab:
Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor.
Eine unzulässige Observation durch einen Privatdetektiv stellt nicht nur eine Datenschutzverletzung, sondern auch einen immateriellen Schaden im Sinne von Art. 82 DSGVO dar.
Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen.“
Der Verstoß lag darin, dass eine Observation des Klägers nicht erforderlich war. Als milderes Mittel hätte die Beklagte den Kläger zunächst auf den Verdacht ansprechen können. Auf eine vage Vermutung hin eine Detektei mit einer Observation zu beauftragen, sei unverhältnismäßig, da nicht zuvor mildere Mittel ausreichend ausgeschöpft wurden.
Zu der Verletzung der Rechte des Klägers führt die Kammer sodann aus:
Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher. Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.
Bedeutung für die Praxis: Wann ist die Überwachung von Mitarbeitern erlaubt?
Die Überwachung von Mitarbeitern ist ein immer wiederkehrendes Streitthema. Besteht der Verdacht einer Straftat oder eines anderen Fehlverhaltens, haben Arbeitgeber im Grundsatz ein Interesse daran, den Sachverhalt aufzuklären und entsprechende Konsequenzen zu ziehen. Dabei ist der Einsatz eines Detektivs nicht per se unzulässig. Nach einer Entscheidung des BAG (v. 19.2.2015 – 8 AZR 1007/13) gehören auch personenbezogene Daten, die durch einen Detektiv außerhalb des Betriebs verarbeitet wurden, zu einer Verarbeitung dieser Daten für Zwecke des Beschäftigungsverhältnisses, sodass Grundlage einer zulässigen Verarbeitung § 26 Abs. 1 BDSG sein kann. Zur Aufdeckung einer Straftat dürfen personenbezogene Daten nach § 26 Abs. 1 S. 2 BDSG verarbeitet werden, wenn
- zu dokumentierende tatsächliche Anhaltspunkte den Verdacht des Arbeitgebers begründen,
- die Verarbeitung zur Aufdeckung von Straftaten bzw. schwerwiegenden Pflichtverletzungen im Arbeitsverhältnis geeignet ist,
- die Verarbeitung darüber hinaus zur Aufdeckung erforderlich ist (also keine milderen Mittel zur Verfügung stehen),
- das schutzwürdige Interesse des Mitarbeiters nicht überwiegt, also insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Wichtig beim Einsatz von Detektiven ist, dass unter allen gleich geeigneten Mitteln dasjenige eingesetzt wird, das den Mitarbeiter am wenigsten beeinträchtigt. Die Überwachung stellt damit die letzte Maßnahme dar. Der Arbeitgeber muss vielmehr zunächst versuchen, durch andere, betriebsinterne Maßnahmen Beweise zu erlangen, um den Verdacht zu bestätigen oder zugunsten des Mitarbeiters auszuräumen.
LAG Hessen: Grundsätze zur legitimen Mitarbeiterüberwachung nicht eingehalten
Diese Grundsätze der verdeckten Überwachung zur Aufdeckung einer Straftat hatte die Beklagte nach dem LAG Hessen nicht berücksichtigt. Die Beklagte hätte den Kläger zuvor mit ihrem Verdacht konfrontieren müssen, bevor sie diesen (und dessen Kinder) über mehrere Tage auch an der privaten Anschrift überwachen ließ.
Datenschutzrechtliche Folgen, Schadenersatz aus Art. 82 DSGVO
Stellt das LAG Hessen einen Datenschutzverstoß fest, ist es nur konsequent, auch die Frage nach einer Schadensersatzpflicht aus Art. 82 DSGVO zu stellen. Auch diese Frage hat das Landesarbeitsgericht zugunsten des Klägers bejaht und diesem für jeden Tag der Überwachung einen immateriellen Schadensersatz in Höhe von 250,00 EUR, insgesamt also 1.500,00 EUR zugesprochen. Dabei hat es sich der Auffassung in der Rechtsprechung und Literatur angeschlossen, dass Art. 82 DSGVO keine Bagatellgrenze kenne. Das entspricht auch dem insoweit klaren Wortlaut. Eine Übertragung nationaler Rechtsprechungsgrundsätze auf die europarechtliche Vorschrift aus Art. 82 DSGVO verbiete sich. Die Frage, ob in Art. 82 DSGVO eine Bagatellgrenze kennt, liegt auch bereits dem EuGH zur verbindlichen Beantwortung vor (LG Saarbrücken, Beschluss vom 21.11.2021, Az. 5 O 151/19).
Schadensersatz aus Art. 82 DSGVO auch bei nichtautomatisierter Verarbeitung?
Interessant ist vorliegend noch, dass - soweit die Entscheidungsgründe es erkennen lassen - die Verarbeitung der personenbezogenen Daten ausschließlich nichtautomatisiert erfolgte („Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden…“). Hinsichtlich der Anwendbarkeit von § 26 BDSG bestehen wegen der Regelung in § 26 Abs. 7 BDSG keine großen Bedenken. Hinsichtlich der Anwendbarkeit von Art. 82 DSGVO kann dies hingegen durchaus problematisch sein, denn Art. 2 Abs. 1 DSGVO erstreckt den Anwendungsbereich der DSGVO nur auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Einzig die nichtautomatisierte Verarbeitung von Daten, die in einem „Dateisystem“ gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 Alt. 2 DSGVO), käme hier in Betracht, soweit die Erkenntnisse aus der Überwachung im vorliegenden Fall in einem solchen System (bspw. Sammlung der Personalakten) gesichert werden sollten. Das LAG Hessen hat dieses Problem in seiner Entscheidung entweder nicht gesehen oder sich stillschweigend für eine Anwendbarkeit der DSGVO entschieden. Für eine Anwendbarkeit in einer solchen Konstellation spricht, dass anderenfalls Arbeitnehmer, deren personenbezogene Daten nicht-automatisiert verarbeitet werden, schlechter stünden.
Fazit und Ausblick
Unternehmen sollten – nicht erst seit dieser Entscheidung des LAG Hessen – darauf achten, Überwachungsmaßnahmen bei dem Verdacht einer Straftat stets und nur unter Berücksichtigung der Voraussetzungen nach der Rechtsprechung des BAG durchzuführen. Nicht nur, dass verbotene Überwachungsmaßnahmen zu Beweisverwertungsverboten führen können, sie begründen auch zivilrechtliche Ansprüche auf Ersatz der immateriellen Schäden nach Art. 82 DSGVO.
Mehr zum Thema Privacy Litigation im gleichnamigen Buch:
Privacy Litigation – Datenschutzrechtliche Ansprüche durchsetzen und verteidigen
