Fieberkontrollen sind meist nicht mit dem Datenschutz vereinbar

Out-Law Analysis | 25 May 2020 | 1:43 pm | Lesedauer: 3 Min.

Unternehmen beginnen damit, am Eingang zu ihren Geschäften die Temperatur der Kunden zu messen, um eine Covid-19-Infektion auszuschließen. Allerdings lässt sich das nur selten mit dem Datenschutz in Einklang bringen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit kündigte kürzlich an, die Praxis eines großen Technologie-Unternehmens überprüfen zu wollen: Das Unternehmen hatte begonnen, am Eingang seiner Geschäfte in Deutschland bei Besuchern Fieber zu messen, um damit das Risiko zu verringern, dass an Covid-19 erkrankte Personen die Geschäfte betreten.

Auch bei anderen Unternehmen, in Einkaufszentren, an Flughäfen und Schiffsterminals wird zunehmend die Körpertemperatur von Besuchern und Reisenden kontrolliert, beispielsweise mit Infrarot-Thermometern oder Wärmebildkameras. Einige Systeme ermöglichen sogar, die Temperatur zu nehmen, ohne dass die Betroffenen es überhaupt merken: Ein Hamburger Hersteller von Kameras, mit denen sich mit einem Abstand von maximal zwei Metern die Temperatur von bis zu fünf Personen gleichzeitig messen lässt, vermeldet einen Anfrage-Boom, berichtet das Hamburger Abendblatt.

Viele Unternehmen, die ihre Mitarbeiter und Kunden vor einer Ansteckung mit Covid-19 schützen wollen, fragen sich nun, ob es datenschutzrechtlich zulässig ist, Besucher dazu aufzufordern, ihre Temperatur messen zu lassen, bevor sie ein Ladenlokal betreten.

Doch Fiebermessungen am Eingang eines Ladenlokals oder Betriebsgeländes sind häufig nicht mit dem Datenschutzrecht vereinbar. Solche Fiebermessungen wären noch am ehesten zulässig, wenn sie erfolgen, bevor eine Identifizierung der Person möglich erscheint, die Daten sofort wieder gelöscht werden und die Messung ausdrücklich freiwillig angeboten wird. Denn personenbezogene Daten sind nach Datenschutzgrundverordnung nur Informationen, die einer Person auch wirklich zugeordnet werden können. Wird die Temperatur bei einem Besucher gemessen, der für das Unternehmen nicht identifizierbar ist, so handelt es sich nicht um personenbezogene Daten. Für nicht personenbezogene Daten ist die Datenschutzgrundverordnung irrelevant.

Ein solcher Personenbezug kann aber häufig nicht ganz ausgeschlossen werden. Ist beispielsweise ein Besucher bei dem Unternehmen als Kunde registriert und besteht die Möglichkeit, dass er sich im Ladenlokal zu erkennen gibt, wäre es unter Umständen möglich, ihm die gemessene Temperatur zuzuordnen. Auch in anderen Konstellationen, etwa, wenn ein Kunde wegen eines Termins das Ladenlokal aufsucht oder wenn die Temperatur von Mitarbeitern beim Betreten eines Betriebsgeländes gemessen wird, dürfte ein Personenbezug häufig gegeben sein – jedenfalls dann, wenn das Unternehmen die Messwerte mit anderen Informationen zusammenführen kann, etwa Daten aus Schließ- oder Arbeitszeiterfassungssystemen oder Kenntnissen des Einlasspersonals und der Verkäufer über die betroffenen Besucher oder Mitarbeiter. Daher sollten die genauen Umstände der Temperaturkontrolle gründlich geprüft werden.

Können die Messwerte als personenbezogene Daten angesehen werden, muss das Datenschutzrecht eingehalten werden. Das Unternehmen muss dann rechtfertigen, warum es die Daten erhebt und nutzt. Allerdings werden Gesundheitsdaten durch das Datenschutzrecht besonders geschützt. Für ihre Nutzung gelten besonders strenge Anforderungen. Das Hausrecht eines Unternehmens ändert nichts daran.

Soll die Körpertemperatur von Personen erhoben werden, die keine Mitarbeiter des Unternehmens sind, so dürfte das gemäß Datenschutzgrundverordnung und Bundesdatenschutzgesetz regelmäßig nur in Betracht kommen, wenn die Person dem vorher zustimmt oder wenn es „wegen eines erheblichen öffentlichen Interesses“ zwingend erforderlich oder „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ erforderlich ist.

Letzteres dürfte bei Fieberkontrollen zum Schutz vor Covid-19 allerdings nicht zutreffen, denn eine erhöhte Temperatur gibt nicht zuverlässig Aufschluss darüber, ob jemand an Covid-19 erkrankt ist. Ebenso garantiert eine normale Körpertemperatur nicht, dass jemand nicht an Covid-19 erkrankt ist oder das Virus nicht bereits in sich trägt und Andere anstecken kann: Laut Robert Koch-Institut verläuft die Erkrankung in rund der Hälfte der Fälle gänzlich ohne Fieber. Zudem hat das Virus eine Inkubationszeit von bis zu 14 Tagen, in der die Infizierten weder Fieber noch andere Symptome zeigen, aber bereits ansteckend sind. Und: Fieber kann auf viele Krankheiten hinweisen, nicht nur auf Covid-19. Daher sind Fiebermessungen kein geeignetes Mittel, um eine Corona-Infektion eindeutig zu erkennen. Sie erfüllen damit nicht das Kriterium der Erforderlichkeit.

So bleibt in der Regel nur der Weg über die Zustimmung des Besuchers. Eine Zustimmung, die nur über nonverbales Verhalten zum Ausdruck gebracht wird, würde in diesem Fall allerdings nicht ausreichen. Die Zustimmung müsste besonderen datenschutzrechtlichen Anforderungen an Einwilligungserklärungen genügen. In der Praxis müsste also jedem Besucher vor dem Fiebermessen ein Formular ausgehändigt werden, in dem die Datenerhebung und -nutzung im Einzelnen erklärt wird. Durch eine Unterschrift könnte er der Datennutzung dann zustimmen. Die Methode wäre allerdings sehr bürokratisch und gerade für größere Ladengeschäfte mit viel Publikumsverkehr kaum umzusetzen. Zudem wären die Messwerte dann erst recht personenbezogen. So gesehen ist die Lösung nicht datenschutzfreundlich. Ohnehin ist eine datenschutzrechtliche Einwilligung nur wirksam, wenn sie freiwillig erteilt wird. Würde Besuchern, die nicht einwilligen möchten, der Zutritt verweigert, wäre ihre Einwilligung angreifbar.   

Im Ergebnis ähnlich verhält es sich mit Fieberkontrollen bei Mitarbeitern: Gesundheitsdaten von Mitarbeitern dürfen grundsätzlich nur verarbeitet werden, wenn die Verarbeitung „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt“.

Zwar ließe sich argumentieren, dass Fieberkontrollen dem Schutz der Gesundheit des Betroffenen und aller anderen Mitarbeiter und somit der Erfüllung der genannten Zwecke dienen. Auch hier ist aber das Kriterium der Erforderlichkeit nicht erfüllt, da Fieberkontrollen beim Einlass kein geeignetes Mittel sind, um eine Virusinfektion oder Covid-19-Erkrankung zu erkennen. Hinzu kommt, dass bei Mitarbeitern Maßnahmen denkbar sind, die nicht nur geeigneter erscheinen, sondern auch datenschutzfreundlicher sind. Dazu gehört insbesondere eine Untersuchung bei einem Betriebsarzt, der dem Berufsgeheimnis unterliegt. Auch können Mitarbeiter über die Symptome von Covid-19 aufgeklärt und gebeten werden, selbst darauf zu achten, ob sie Anzeichen der Krankheit zeigen.