News

Datenschutz und Coronavirus-Prävention

12.03.2020

*****Update vom 02.04.2020 - 23:00 Uhr: Handreichungen der Datenschutzaufsichtsbehörden*****

 

Unternehmen denken derzeit u.a. darüber nach, zur Coronavirus-Prävention ihre jeweiligen Betriebsgelände durch Vereinzelungsschleusen abzusichern, an denen Infrarot-Kameras angebracht werden, die über eine Wärmebildfunktion automatisch Temperaturunterschiede bei den die Schleuse passierenden Personen messen. Im Alarmfall erfolgt noch einmal eine Nachmessung durch eine hierfür speziell vom Unternehmen abgestellte Person. In einigen Fällen wurden solche Systeme auch bereits installiert.

Solche Maßnahmen allein mit dem Hinweis auf das Hausrecht des Unternehmens zu rechtfertigen, ließe den Umstand unberücksichtigt, dass dabei in vielen Fällen personenbezogene Daten entstehen. Bei der konkreten Ausgestaltung solcher Maßnahmen ist also darauf zu achten, dass der Aufzeichnung gesundheitsbezogener Daten datenschutzrechtliche Grenzen gezogen sind, bei deren Überschreitung Datenschutzaufsichtsbehörden Bußgelder verhängen und betroffene Personen Schmerzensgeldansprüche geltend machen können. Auch Befragungen aller Beschäftigten nach ihrem Gesundheitszustand oder dem ihrer Angehörigen können datenschutzrechtlich unzulässig sein, insbesondere wenn sie als systematische Reihenbefragungen ausgestaltet sind. An einer Pflicht des Beschäftigten zur eigeninitiativen Meldung von Corona-Erkrankungen, die ein Risiko für die anderen Beschäftigten oder den Betrieb bedeuten könnten, und der Zulässigkeit der Dokumentation solcher Meldungen und der daraufhin ergriffenen Maßnahmen durch den Arbeitgeber ändert dies jedoch nichts.

Die rigideste der denkbaren Maßnahmen ist die automatisierte Temperaturmessung bei allen Personen, die ein Betriebsgelände betreten wollen. Auch wenn bei solchen Temperaturmessungen selbst noch keine Namen und Anschriften der Personen erhoben werden, die die Infrarot-Kameras passieren, kann die Anwendbarkeit des Datenschutzrechts nicht ausgeschlossen werden, wenn eine (auch nachträgliche) Identifikation der betroffenen Personen möglich ist. In diesen Fällen sind die einer automatisierten Temperaturmessung erzeugten Daten personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Dies kommt insbesondere dann in Betracht, wenn dem Unternehmen zahlreiche Quellen offen stehen, aus denen es Daten zur Identifizierung der die Kameras passierenden Personen heranziehen kann. Hier ist beispielsweise an Daten aus Schlüsselkartenlese- oder Arbeitszeiterfassungsgeräten, anderen Videoüberwachungsanlagen (CCTV) zu denken, oder an Kenntnisse von Personen, die sich in der Nähe der Messvorrichtung aufhalten oder die von der Wärmebildkamera erzeugten Bilder beobachten, Wach- oder Pfortenpersonal, von Mitarbeiter- oder Besucherausweisen, und schließlich die Kenntnisse der Person, die mit der Nachmessung beauftragt ist.

Allenfalls dann, wenn die Messung vollkommen ohne Protokollierung der gemessenen Temperaturen erfolgt, und auch ansonsten jegliche - auch nachträgliche – Zuordnungsmöglichkeit gemessener Werte zu individuellen Personen ausgeschlossen werden kann, sind die gemessenen Werte keine personenbezogenen Daten im Sinne der DS-GVO mehr. Infrarotkamera-Aufnahmen werden jedoch typischerweise gespeichert, was eine persönliche (nachträgliche) Identifikation in aller Regel möglich macht.

Soweit die Personen, deren Temperatur gemessen werden soll, Beschäftigte des Unternehmens sind, ist eine Legitimation dieser Messvorgänge gemäß § 26 Abs. 3 Satz 1 BDSG für Zwecke des Beschäftigungsverhältnisses nur zulässig, wenn sie zum einen zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zum anderen darf kein Grund zu der Annahme bestehen, dass es überwiegende und schutzwürdige Interessen der betroffenen Person gibt, dass Maßnahmen wie beispielsweise die "zwangsweise" Fiebermessung unterbleiben. Die im Zusammenhang mit den vielfältigen Abwehrmaßnahmen, die Arbeitgeber in Betracht ziehen können, vereinzelt in Bezug genommene allgemeinere Norm in § 22 Abs. 1 lit. (c) BDSG kann für Fiebermessungen bei Beschäftigten keine Rolle spielen, weil § 26 Abs. 3 Satz 1 BDSG die „spezifischere Vorschrift [… für die] Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ (Zitat aus der Öffnungsklausel in Art. 88 Abs. 1 DS-GVO) ist.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit sieht grundsätzlich und abstrakt in Art. 9 Abs. 2 lit. (b) DS-GVO in Verbindung mit § 26 Abs. 3 Satz 1 BDSG eine Rechtfertigung für Gesundheitsdatenerhebungen am Arbeitsplatz zur Abwehr des Coronavirus, die jedoch in jedem Einzelfall unter Abwägung der jeweiligen Umstände geprüft werden müssen. Die Voraussetzungen von § 26 Abs. 3 Satz 1 BDSG sind im Fall der zwangsweisen automatisierten Temperaturmessung aus mehreren Gründen jedoch nicht gegeben. Selbst wenn man unterstellt, dass ein Arbeitgeber aus Gründen der Fürsorge gegenüber seinen Arbeitnehmern verpflichtet wäre, entweder einen infizierten Beschäftigten zu identifizieren oder andere Beschäftigte vor einer Infektion durch bereits betroffene Beschäftigte zu schützen, ist die Fiebermessung schon von der Art der Maßnahme her nicht so hinreichend zur Erreichung dieser Zwecke geeignet, dass dem Arbeitgeber eine zwangsweise Messung und Erfassung der dabei erzeugten Messdaten erlaubt wäre: Am Coronavirus erkrankte Personen leiden nämlich nicht zwingend unter Fieber, nach Daten des Robert Koch Instituts tritt das in Deutschland sogar nur in weniger als der Hälfte der Fälle auf. Somit erlaubt die Fiebermessung keine sichere Identifikation von Infektionsträgern. Außerdem ist Fieber generell nur ein Symptom für entzündliche Prozesse im menschlichen Körper, so dass eine festgestellte erhöhte Körpertemperatur nicht zwingend Rückschluss auf eine Corona-Infektion erlaubt. Schließlich ist eine Person - selbst wenn sie unter einem fiebrigen Corona-Ausbruch leidet - aufgrund der Inkubationszeit von bis zu 14 Tagen womöglich schon lange vorher unerkannt Infektionsträger. Fiebermessungen sind also kein geeignetes Mittel zur eindeutigen Erkennung von Corona-Infektionen und erfüllen damit nicht das Kriterium der Erforderlichkeit in § 26 Abs. 3 Satz 1 BDSG. Die fehlende Eindeutigkeit der Fiebermessung ist also in der gemäß § 26 Abs. 3 Satz 1 BDSG vorzunehmenden Interessenabwägung ein wesentlicher Aspekt bei der Beurteilung der Maßnahme; dabei ist abzuwägen, ob es nicht weniger stark eingreifende Maßnahmen als das "zwangsweise" Fiebermessen gibt, die mindestens ebenso geeignet sind, der Fürsorgepflicht des Arbeitgebers Rechnung zu tragen und dabei die schutzwürdigen Interessen der betroffenen Beschäftigten ebenso oder gar besser berücksichtigen. Insbesondere kommen hierbei die Befragung der Beschäftigten nach Corona-spezifischen Symptomen, insbesondere nach Rückkehr aus Risikozonen, auch durch Fragebögen, oder die freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen (Betriebs-)Arzt in Betracht.

In Anlage 1 des vom Bundesamt für Zivilschutz und Katastrophenhilfe herausgegebenen Handbuchs zur innerbetrieblichen Vorbereitung auf eine Pandemie wird zwar empfohlen, dass der Arbeitgeber Infrarot-Ohrthermometer zur Temperaturkontrolle im Rahmen der Eingangskontrolle des Arbeitgebers anschaffen und zur Verfügung haben sollte. Diese Empfehlung könnte Anlass zu der Überlegung geben, dass in der seit kurzem bestehenden Situation einer offiziell ausgerufenen Pandemie, in der auch der Nationale Pandemieplan Anwendung findet, die Temperaturkontrolle als Teil der Eingangskontrolle zum Betriebsgelände als sinnvolle Maßnahme angesehen werden könnte. Aber auch diese (inzwischen übrigens rund 10 Jahre alte und damit vor Inkrafttreten der DS-GVO ausgesprochene, un dnicht für COVID-19-spezifische Symptome angepasste) Empfehlung des Bundesamtes für Zivilschutz und Katastrophenhilfe bedeutet ebenso wie die arbeitsvertraglich bestehende und in §§ 3 und 4 ArbSchG normierte Fürsorgepflicht der Arbeitgebers nicht zwangsläufig, dass eine zwangsweise Kontrolle der Körpertemperatur durch den Arbeitgeber zulässig wäre, wo es für den Beschäftigten weniger einschneidende Maßnahmen gibt, wie beispielsweise die Messung durch einen (Betriebs-)Arzt oder dessen medizinischen Fachpersonal, das der ärztlichen Schweigepflicht unterliegt, oder die Befragung des Beschäftigten nach Corona-spezifischen Symptomen. Vielmehr hat der Arbeitgeber auch in Zeiten von Corona grundsätzlich kein Recht, zu erfahren, woran ein Arbeitnehmer erkrankt ist. Wenn allerdings aufgrund der hohen Ansteckungsgefahr Schutzmaßnahmen im Betrieb ergriffen werden müssten, muss der Beschäftigte ausnahmsweise aufgrund arbeitsrechtlicher Treuepflicht die Art der Erkrankung seinem Arbeitgeber mitteilen. Diese Mitteilungspflicht kann der Arbeitgeber auch durch diverse Maßnahmen unterstützen, wie beispielsweise Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung und zur Erstattung von Krankheits(verdachts)meldungen, etc. Der Arbeitgeber steht also vor der Aufgabe, den Konflikt zwischen seiner Fürsorgepflicht einerseits und den datenschutz- und persönlichkeitsrechtlichen Rechten und Freiheiten der Beschäftigten andererseits zu bewältigen. Da er hierfür aber in die Rechte und Freiheiten der Beschäftigten weniger stark eingreifende Mittel zur Wahrnehmung der Fürsorgepflicht zur Verfügung hat, ist das Risiko hoch, dass eine Datenschutzaufsichtsbehörde zu der Auffassung gelangt, dass der Arbeitgeber nicht selbst das Heft des Handelns in die Hand nehmen und selbst medizinische Untersuchungs- oder Anamnesemaßnahmen ergreifen darf. Einige Datenschutzaufsichtsbehörden im EU-Ausland haben sich auch schon in diesem Sinne positioniert, z.B. die Aufsichtsbehörden von Frankreich, den Niederlanden, Belgien, Luxemburg und Italien.

Selbst in Italien, wo die Krise bereits größere Ausmaße angenommen hat als in Deutschland und deswegen der Infektionsschutz am Arbeitsplatz durch nationale Verordnung an die Arbeitgeber delegiert wurde, und sogar „Zwangs“-Fieber-Messungen als Maßnahme ausdrücklich erlaubt sind, sollen diese Messungen nur durch einen „medico competente“ (Betriebsarzt) oder einen Dienstleister durchgeführt werden, um dem Arbeitgeber selbst keinen direkten Zugriff auf die Gesundheitsdaten seiner Mitarbeiter zu erlauben. Eine solche Maßnahme soll durch Art. 6 Abs. 1 lit. (c) und Art. 9 Abs. 2 lit. (b) DS-GVO zu rechtfertigen sein. Die Datenerhebung durch einen Arzt ist gegenüber einer Datenerhebung durch den Arbeitgeber selbst allerdings auch das mildere Mittel.

Auch im Inland hat sich der Landesdatenschutzbeauftragte Baden-Württembergs inzwischen für die auch hier vertretene Ansicht ausgesprochen, dass der Arbeitgeber nicht „auf eigene Faust“ eingreifen und Ermitteln darf. Somit stehen solche Ermittlungs- und Eingriffsbefugnisse in Deutschland lediglich den Gesundheitsbehörden, nicht dem Arbeitgeber zu.

Die Empfehlung in dem vom Bundesamt für Zivilschutz und Katastrophenhilfe herausgegebenen Handbuch ist also wohl so zu verstehen, dass der Arbeitgeber Infrarot-Ohrthermometer allenfalls zur eigenen Temperaturkontrolle durch die Beschäftigten oder durch den (Betriebs-)Arzt und dessen Fachpersonal bereit halten sollte. Auch die Weltgesundheitsorganisation WHO sieht in ihren Hinweisen eine Fiebermessung durch den Arbeitgeber weder vor noch empfiehlt sie diese Maßnahme.

Selbst wenn das Unternehmen im Bereich der Lebensmittelproduktion tätig sein sollte, führt dies zu keiner anderen Beurteilung. Nach der veröffentlichten Auffassung des Robert-Koch-Instituts erfolgt die Übertragung von Coronaviren primär über Sekrete des Respirationstraktes. Gelangen diese infektiösen Sekrete an die Hände, die dann beispielsweise das Gesicht berühren, ist es möglich, dass auf diese Weise eine Übertragung stattfindet. Hingegen ist eine Übertragung über unbelebte Oberflächen bisher nicht dokumentiert. Eine Infektion mit Coronaviren über Oberflächen, die nicht zur direkten Umgebung eines symptomatischen Patienten gehören, wie z.B. importierte Waren, Postsendungen oder Gepäck, erscheint daher unwahrscheinlich. Somit ist auch insoweit die Maßnahme der Körpertemperaturmessung keine geeignete Maßnahme zum Schutz einer Lebensmittelproduktion.

Für die übrigen Besucher des Betriebsgeländes, die keine Beschäftigten des Unternehmens sind, ist nach Auffassung des Bundesbeauftragten für Datenschutz und Informationsfreiheit die Ausnahme in Art. 9 Abs. 2 lit.( i) DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. (c) BDSG anwendbar, wonach die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren. Seit der Klassifizierung des Coronavirus durch die WHO als Pandemie sei eine grundsätzliche Rechtfertigung für Erhebung medizinischer Daten zwar anzunehmen, jedoch scheitere die Rechtfertigung ebenfalls an der Erforderlichkeit, da Fiebermessungen keine geeignete Maßnahme zur Feststellung von Corona sind.

Von den in Art. 9 Abs. 2 DSGVO verschiedentlich vorgesehenen Möglichkeiten für die nationalen Gesetzgeber der EU-Mitgliedstaaten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und zu diesem Zweck die Erhebung und Weiterverarbeitung von Gesundheitsdaten durch Unternehmen zu legitimieren, hat der deutsche Gesetzgeber derzeit auch noch nicht so eindeutig Gebrauch gemacht, dass daraus eine Legitimation für die automatisierte Fiebermessung bei Besuchern mit der gerade im Verhältnis zu Externen erforderlichen Eindeutigkeit abgeleitet werden könnte. Auch insoweit sollten also zur Einhaltung des Datenminimierungsgrundsatzes gemäß Art. 5 Abs. 1 lit. (c) DS-GVO weniger einschneidende Maßnahmen implementiert werden.

Eine systematische Reihenbefragung aller Beschäftigten nach einschlägigen Erkrankungen, die als „Vorschädigung“ im Falle einer Infektion sofort zur Einordnung des Betroffenen in die Gruppe der besonders Risikobehafteten führte, durch das Unternehmen bei den Beschäftigten ist durch § 26 Abs. 3 BDSG nicht legitimierbar. Erst recht gilt dies für eine systematische Reihenbefragung des Unternehmens bei allen Beschäftigten nach Erkrankungen ihrer Familienangehörigen, für die sich in den Tatbeständen des Art. 9 Abs. 2 DS-GVO und den hierauf basierenden nationalen Vorschriften keine Rechtsgrundlage finden lässt.Nach Auffassung des Bundesbeauftragten für Datenschutz und Informationsfreiheit ist vor allem eine nachgelagerte Vorsorge gegenüber den Kontaktpersonen durch Datenerhebung bei Vorfällen oder bekannten Risikogebieten möglich. Jedoch müssen auch diese Daten vertraulich behandelt werden, und nach Ende des Verarbeitungszwecks, also spätestens nach Ende der Pandemie, gelöscht werden.

Es bliebe sowohl für die Kontrolle von Beschäftigten als auch sonstiger Besucher nur die Einholung einer Einwilligung vor dem Passieren der Temperaturkontrollgeräte. Diese ist jedoch datenschutzrechtlich an verschiedene inhaltliche und formale Kriterien geknüpft, die bei einer Messung auf der Grundstücksgrenze vor Betreten des Betriebsgeländes nur mit hohem Aufwand erfüllt werden könnten. Die Datenschutzaufsichtsbehörden dürften vor allem aber eine Einwilligung der Beschäftigten ebenso wie der sonstigen Besucher eines Betriebsgeländes nicht als freiwillig erteilt ansehen, da diese in der konkreten Situation keine andere Möglichkeit haben, das Betriebsgelände zu betreten, als die Temperaturprüfung zu passieren. Die Freiwilligkeit einer Einwilligung ist jedoch für deren Wirksamkeit unabdingbar.

Wenn die Beschäftigten in den betroffenen Betrieben einen Betriebsrat eingerichtet haben sollten, könnte zwar eine Betriebsvereinbarung über die Temperaturmessungen abgeschlossen werden; auch eine Betriebsvereinbarung kann gemäß § 26 Abs. 4 Satz 1 BDSG eine rechtliche Grundlage für die Erhebung und Verarbeitung personenbezogener Daten bilden. Jedoch kann eine Betriebsvereinbarung niemals die Einwilligung des Betroffenen ersetzen, da das Mandat eines Betriebsrats nicht die Befugnis umfasst, über höchstpersönliche Rechte des Beschäftigten wie insbesondere das Recht auf informationelle Selbstbestimmung zu entscheiden. Eine Temperaturmessungen der Beschäftigten erlaubende Betriebsratsvereinbarung wäre daher rechtswidrig.
Ein Verstoß gegen das geltende Datenschutzrecht ist eine Ordnungswidrigkeit, die von der zuständigen Datenschutzaufsichtsbehörde mit Bußgeldern von bis zu EUR 20 Millionen oder 4 % des weltweiten Konzernumsatzes des Vorjahres geahndet werden kann, je nachdem, welcher Betrag der höhere ist. Der umfangreiche Katalog von Entscheidungs-und Zumessungskriterien in Art. 82 Abs. 2 DS-GVO erlaubte es den Datenschutzaufsichtsbehörden, die besondere Konfliktlage zwischen Fürsorgepflicht für Beschäftigte und Besucher einerseits und Datenschutz andererseits, der sich Unternehmen derzeit ausgesetzt sehen, angemessen zu berücksichtigen und von der Verhängung von Bußgeldern zugunsten einer stärkeren Betonung von aufsichtlichen Maßnahmen (Art. 58 DS-GVO) abzusehen. Schmerzensgeldansprüche der betroffenen Personen gemäß Art. 82 Abs. 2 DS-GVO wären ebenso theoretisch möglich, wobei deren Zumessung derzeit noch vollkommen offen ist. Strafrechtliche Sanktionen gemäß § 42 Abs. 2 BDSG dürften mangels Entgeltlichkeit und Bereicherungsabsicht auf Seiten des Unternehmens eher nicht zu erwarten sein.