Toolbar-Menü

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 10. September 2020: Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie

Stand: 10. September 2020

I. AUSGANGSLAGE

Da eine SARS-CoV-2-Infektion teilweise mit einer spezifisch erhöhten Körpertemperatur der infizierten Person einhergeht, werden zunehmend elektronische Geräte zur Temperaturerfassung als Mittel der Zutrittssteuerung zu bis dahin öffentlich zugänglichen Räumen oder zu Arbeitsstätten eingesetzt.

Eine kontaktlose Temperaturmessung erfolgt in der Regel per Infrarotmessung und wird entweder mithilfe eines Fieberthermometers oder einer Thermalkamera / Infrarot-Wärmebildkamera1 vorgenommen. In den nunmehr angedachten Szenarien für den Zugang zu Flughäfen, Geschäften, Behörden, Arbeitsstätten etc. wird insbesondere die Nutzung von Wärmebildkameras in Betracht gezogen, da mittels klassischer Fieberthermometer keine Temperaturmessung bei größeren Gruppen erfolgen kann. Sie kann höchstens für die Messung von Einzelpersonen nacheinander, wie z.B. in Vereinzelungsschleusen zum Einsatz kommen, wobei bei einer einzelnen Fiebermessung mittels Thermometer ohne Protokollierung abhängig vom Einsatzszenario die Anwendbarkeit der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) in Frage stehen kann. Einzelhandelsunternehmen und Behörden setzen bereits vergleichbare Wärmemessungen ein, um den Zutritt zu ihren Geschäftsräumen zu regulieren.

ANWENDUNGSBEREICH DES BESCHLUSSES

Der Beschluss betrifft den Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung zur Steuerung oder aus Anlass des Zugangs zu Flughäfen, Geschäften, Behörden und Arbeitsstätten im Rahmen der Corona-Pandemie. Einrichtungen im Bereich der Gesundheitsversorgung einschließlich der Pflege können besonderen Maßnahmen unterliegen.

II. ZUSAMMENFASSUNG

Für die elektronische Messung der Körpertemperatur zur allgemeinen Regulierung des Zutritts zu Flughäfen, Geschäften, Behörden und Arbeitsstätten kann zwar Art. 6 Abs. 1 UAbs. 1 Buchst. e, Art. 9 Abs. 2 DSGVO i. V. m. § 3 BDSG und vergleichbaren Vorschriften in den Landesdatenschutzgesetzen (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) bzw. Art. 6 Abs. 1 UAbs. 1 Buchst. f, Art. 9 Abs. 2 DSGVO (Verfolgung eines berechtigten Interesses) als Rechtsgrundlage in Betracht kommen. Auch ist die Messung als betriebliche Maßnahme des Arbeitsschutzes bzw. zur Beurteilung der Arbeitsfähigkeit gestützt auf Art. 88 DSGVO i. V. m. § 26 Abs. 3 BDSG (bzw. das Personaldatenschutzrecht des jeweiligen Landes) bzw. § 22 Abs. 1 Nr. 1 Buchst. b BDSG i.V.m. Art. 9 Abs. 2 DSGVO grundsätzlich denkbar. Jedoch fehlt es i.d.R. an der Eignung und der Erforderlichkeit der Messung. Denn eine erhöhte Körpertemperatur kann nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden, und viele Infizierte weisen keine Symptome und damit auch keine erhöhte Temperatur auf. Zudem sind mildere Maßnahmen wie z. B. die Einhaltung der Hygiene- und Abstandsbestimmungen und die anlassbezogene Befragung der Beschäftigten durch den Arbeitgeber denkbar.

III. DATENSCHUTZRECHTLICHE BEWERTUNG

Die elektronische Messung der Körpertemperatur fällt - jedenfalls typischerweise - in den Anwendungsbereich der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO).

Die Messung der Körpertemperatur eines Menschen stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DSGVO dar.

Lässt ein Verantwortlicher Körpertemperaturmessungen an Personen vornehmen, sind hierdurch regelmäßig personenbezogene Daten betroffen. Zwar erfassen die Temperaturmessungen selbst noch keine eindeutig identifizierenden Angaben wie Namen und Anschriften der Personen, die eine entsprechende Messeinrichtung passieren. Typischerweise kann jedoch die betroffene Person dabei anderweitig identifiziert werden, etwa durch Personal, das die Messungen und eventuell Aufzeichnungen vornimmt, durch den Einsatz von Videokameras oder durch Arbeitszeiterfassungsgeräte. Anderes könnte allenfalls gelten, wenn eine automatisierte Temperaturmessung stattfindet, die vollkommen ohne Protokollierung und ohne anderweitige Zuordnung der Werte zu bestimmten oder bestimmbaren Personen erfolgt. Im Zusammenhang mit der Corona-Pandemie würde eine solche Messung allerdings ihren präventiven Zweck verfehlen.

In aller Regel sind die mithilfe einer automatisierten Temperaturmessung erzeugten Daten also personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Erst recht unterstützt die Speicherung von Infrarotkamera-Aufnahmen eine nachträgliche persönliche Identifikation betroffener Personen. Wird eine Wärmebilderfassung gar mit einer herkömmlichen Videoüberwachung verknüpft, ist generell von einem Personenbezug der Bildaufnahmen auszugehen (vgl. BVerwG, Urteil vom 27.03.2019, Az. 6 C 2/18, Absatz 43 der Entscheidungsbegründung).

Die Anwendung der Datenschutz-Grundverordnung setzt nach Art. 2 Abs. 1 DSGVO weiterhin voraus, dass entweder eine automatisierte Verarbeitung oder eine nichtautomatisierte Verarbeitung personenbezogener Daten erfolgt, die in einem Dateisystem gespeichert werden oder werden sollen.

Beispiel: Die Erfassung der Körpertemperatur mithilfe eines Wärmebildkamerasystems ist eine automatisierte Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO - unabhängig davon, ob die Aufnahmen gespeichert werden oder ob ein Live-Monitoring erfolgt (vgl. BVerwG, Urteil vom 27.03.2019, a.a.O., Absatz 43 der Entscheidungsbegründung).

Ausgehend von den beschriebenen Einsatzbedingungen der elektronischen Temperaturerfassung setzen die nachfolgenden Ausführungen die Anwendbarkeit der Datenschutz-Grundverordnung voraus. Sie beziehen sich allerdings nicht auf solche Temperaturmessungen, für die der Anwendungsbereich der Datenschutz-Grundverordnung ausnahmsweise nicht eröffnet ist.

Da die elektronische Temperaturmessung darauf gerichtet ist, Personen zu identifizieren, die mit SARS-CoV-2 infiziert sind, handelt es sich um eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO. Soweit eine solche Verarbeitung von personenbezogenen Gesundheitsdaten erfolgt, ist sie nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Dieses grundsätzliche Verarbeitungsverbot gilt nur dann nicht, wenn die Verarbeitung einen Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO erfüllt.

Im Folgenden werden daher die je nach Anwendungsfall in Betracht kommenden Rechtsgrundlagen näher untersucht, beginnend mit den allgemeinen Verarbeitungsbefugnissen.

Dabei ist neben dem grundsätzlichen Verarbeitungsverbot und den Ausnahmetatbeständen des Art. 9 DSGVO zu beachten, dass eine Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 Buchstabe a, Art. 6 Abs. 1 UAbs. 1 DSGVO nur dann rechtmäßig ist, wenn sie mindestens auf eine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO gestützt werden kann. Bei der elektronischen Temperaturmessung ist dies regelmäßig nicht gegeben. Folgende Erwägungen sind diesbezüglich zu beachten:

  • Eine Einwilligung im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe a DSGVO kann nur wirksam erteilt werden, wenn die Voraussetzungen der Art. 4 Nr. 11, Art. 7 DSGVO erfüllt sind (zu Einzelheiten vgl. Datenschutzkonferenz, Kurzpapier Nr. 20, Einwilligung nach der DSGVO; Europäischer Datenschutzausschuss, WP 259 rev. 01: Leitlinien in Bezug auf die Einwilligung gemäß Verordnung EU 2016/679). Zudem ist zu beachten, dass die Wärmemessung gerade der Erfassung einer etwaigen Erkrankung dient; deshalb hat die betroffene Person ihre Einwilligung ausdrücklich zu erklären (vgl. Art. 9 Abs. 2 Buchstabe a DSGVO).

    Im Zusammenhang mit der Zielsetzung der Zutrittsregulierung mithilfe von Wärmebildmessungen wird die Einwilligung als Verarbeitungsgrundlage schon in praktischer Hinsicht oft ausscheiden, weil es an der Freiwilligkeit der Zustimmungserklärung fehlt. Zudem wird die Wirksamkeit der Einwilligung häufig auch daran scheitern, dass eine transparente Information der betroffenen Person vor Durchführung des Messvorganges in der Praxis zweifelhaft scheint.

    Beispiel: Zahlreiche Beschäftigungsverhältnisse sind stark von einem Ungleichgewicht zwischen den Beschäftigten und ihrem Arbeitgeber bzw. Dienstherrn geprägt (Erwägungsgrund 43 DSGVO). Vor diesem Hintergrund werden die Beschäftigten kaum eine vom Vorgesetzten etablierte Zutrittskontrolle verweigern können, wenn sie zu ihrem Arbeitsplatz gelangen wollen. Anderes kann ausnahmsweise gelten, wenn Arbeitgeber bzw. Dienstherren etwa mithilfe von Betriebs- bzw. Dienstvereinbarungen die Rahmenbedingungen für die Freiwilligkeit einer Einwilligungserklärung von Beschäftigten festlegen.

    Beispiel: Die Zutrittsregelung betreffend Behörden- oder Gerichtsgebäuden kann typischerweise nicht auf die Einwilligung gestützt werden, sofern die betroffenen Personen eine gesetzlich vorgesehene, staatliche Leistung in Anspruch nehmen wollen oder gar auf behördliche oder gerichtliche Ladung hin den Zutritt zum jeweiligen Gebäude begehren. Denn insoweit ist die Freiwilligkeit einer Zustimmung stets zweifelhaft und kann durch den Verantwortlichen regelmäßig nicht belegt werden (vgl. Art. 7 Abs. 1, Erwägungsgrund 43 DSGVO).

    Beispiel: In Bezug auf den Zutritt zum Geschäftslokal eines Unternehmens wird die Einholung einer hier nach Art. 9 Abs. 2 Buchstabe a DSGVO rechtlich gebotenen ausdrücklichen Einwilligung der Kunden häufig bereits aus pragmatischen Erwägungen nicht in Frage kommen. Zudem hängt die Freiwilligkeit auch dann von den Umständen des Einzelfalls ab, wobei die gesetzliche Wertung des Art. 7 Abs. 4 DSGVO zu beachten ist. Soweit der Zutritt zum Geschäftslokal an die Einwilligung zur Temperaturmessung geknüpft wird, kann also nicht ohne weiteres von einer Freiwilligkeit ausgegangen werden.

  • Auch Art. 6 Abs. 1 UAbs. 1 Buchstabe b DSGVO scheidet als Rechtsgrundlage in aller Regel aus. Bei Zugangskontrollen erfolgt die Temperaturmessung nicht zur Erfüllung eines bestehenden Vertragsverhältnisses zwischen den Parteien.

    Als Verarbeitungsgrundlage kommt der Vertrag am ehesten bei Beschäftigungsverhältnissen im nichtöffentlichen Sektor und bei Tarifbeschäftigten des öffentlichen Sektors in Betracht. Insoweit sieht Art. 9 Abs. 2 Buchstabe b DSGVO unter den dort festgelegten Voraussetzungen u.a. eine Ausnahme vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO vor, soweit der Verantwortliche oder die betroffene Person einer aus dem Arbeitsrecht folgenden Pflicht nachkommen muss. In Bezug auf die elektronische Temperaturmessung bei Beschäftigten kommt allenfalls in Betracht, dass mit ihr der Arbeitgeber bzw. Dienstherr seine aus dem Arbeitsschutzrecht folgenden Pflichten erfüllen will.
    Eine solche vertragliche Befugnis zur Temperaturmessung kann allerdings nicht weiter reichen als eine rechtliche Verpflichtung des Verantwortlichen im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO.

  • Teilweise berufen sich Unternehmen bei der Temperaturmessung darauf, sie sei erforderlich, um eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO zu erfüllen. Diese Vorschrift stellt selbst keine rechtliche Verarbeitungsgrundlage dar, sondern setzt gemäß Art. 6 Abs. 2, Abs. 3 UAbs. 1 DSGVO eine Rechtsgrundlage im bereichsspezifischen EU-Recht oder im Recht eines Mitgliedstaates voraus. Die in dieser Vorschrift normierte Verpflichtung muss sich unmittelbar auf die Verarbeitung personenbezogener Daten beziehen. Allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht demgegenüber nicht aus (vgl. z.B. LSG Hessen, Beschluss vom 29.01.2020, Az. L 4 SO 154/19 B, Absatz 13 der Entscheidungsgründe).

    Eine solche rechtliche Verpflichtung der Unternehmen zur Temperaturmessung ist im deutschen Recht nicht ausdrücklich vorgesehen. In Beschäftigungsverhältnissen verpflichtet § 3 Abs. 1 Arbeitsschutzgesetz den Arbeitgeber zwar allgemein dazu, die erforderlichen Maßnahmen des Arbeitsschutzes "unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen." Ferner ist der Arbeitgeber nach § 618 Bürgerliches Gesetzbuch grundsätzlich verpflichtet, Maßnahmen zum Schutz von Leben und Gesundheit seiner Beschäftigten zu ergreifen. Aus diesen allgemeinen gesetzlichen Vorgaben zum betrieblichen Gesundheitsschutz lässt sich jedoch gerade nicht eine konkrete rechtliche Pflicht im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO ableiten, den Zugang zum Betriebsgelände mithilfe einer elektronischen Temperaturmessung zu regulieren.

    Auch unter Berücksichtigung des am 16. April 2020 durch das Bundesministerium für Arbeit und Soziales veröffentlichten "Arbeitsschutzstandard SARS-CoV-2" oder der sonstigen bereichs- und branchenspezifischen Arbeitsschutzstandards ergibt sich nichts anderes. Ungeachtet dessen, dass darin Temperaturmessungen als betriebliche Maßnahme in Betracht gezogen werden sollen (II. Nr. 13 des Arbeitsschutzstandards SARS-CoV-2: "insbesondere Fieber, Husten und Atemnot … Anzeichen für eine Infektion mit dem Coronavirus sein (können). Hierzu ist im Betrieb eine möglichst kontaktlose Fiebermessung vorzusehen."), begründen sie keine rechtliche Verpflichtung des Arbeitgebers oder Dienstherrn im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO, im Wege der Fiebermessung personenbezogene Daten zu verarbeiten. Denn die Arbeitsschutzstandards SARS-CoV-2 sind kein Rechtssatz, aus denen eine rechtliche Verpflichtung folgt, sondern eine Art Leitlinie der öffentlichen Verwaltung zum Arbeitsschutz.

    Damit existiert gegenwärtig keine spezifische rechtliche Verpflichtung für Verantwortliche im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO, elektronische Fiebermessungen durchzuführen.

  • Art. 6 Abs. 1 UAbs. 1 Buchstabe d DSGVO gestattet die Verarbeitung personenbezogener Daten, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Bei der im Raum stehenden Verarbeitung von personenbezogenen Gesundheitsdaten durch elektronische Temperaturmessung muss allerdings gem. Art. 9 Abs. 2 Buchstabe c DSGVO die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande sein, ihre Einwilligung in die Verarbeitung zu geben, sodass diese Rechtsgrundlage nicht herangezogen werden kann.

  • Hingegen kommt in einzelnen Fällen in Betracht, dass die Temperaturmessung für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, die dem Verantwortlichen übertragen wurde. Dazu stellt Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO selbst keine Verarbeitungsbefugnis dar, sondern setzt nach Art. 6 Abs. 2 und 3 UAbs. 1 DSGVO eine Rechtsgrundlage voraus. Eine solche Verarbeitungsgrundlage kann grundsätzlich auch in einer Generalklausel bestehen; insbesondere muss sie von EU-Rechts wegen nicht, wie bei der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, konkret den Verarbeitungszweck enthalten. Es genügt nach Art. 6 Abs. 3 UAbs. 2 DSGVO, wenn der Zweck der Verarbeitung erforderlich ist, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies setzt immerhin voraus, dass eine solche Aufgabe im Recht des Mitgliedstaats so klar und konkret beschrieben wird, dass aus ihr rechtssicher ein zulässiger Verarbeitungszweck abgeleitet werden kann. Insbesondere darf die gesetzliche Zuständigkeits- und Aufgabenordnung nicht durch zu unbestimmte Verarbeitungsregeln unterlaufen werden.

    Daraus folgt, dass die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 Buchstabe i DSGVO, § 22 Abs. 1 Nr. 1 Buchstabe c Bundesdatenschutzgesetz (BDSG) keine allgemeine Befugnis von Behörden für die Verarbeitung von Gesundheitsdaten begründet. Diese Vorschriften beziehen sich ihrem Wortlaut und ihrer Entstehungsgeschichte nach auf das öffentliche Gesundheitswesen und auf die Gesundheitsverwaltung.

    Dient die Temperaturmessung allerdings der allgemeinen Zutrittsregulierung zu Gebäuden der öffentlichen Verwaltung, kommt mangels bereichsspezifischer Vorschriften der Rückgriff auf die datenschutzrechtlichen Generalklauseln in § 3 BDSG und vergleichbaren Vorschriften in den Landesdatenschutzgesetzen in Betracht. Anknüpfungspunkt wäre insoweit die Aufgabe einer jeder öffentlichen Stelle, einen ordnungsgemäßen - das heißt auch für Besucherinnen und Besucher sowie Beschäftigte möglichst gefahrlosen - Dienstbetrieb zu gewährleisten. Zusätzlich muss eine Verarbeitungsbefugnis im Hinblick auf die nach Art. 9 Abs. 2 DSGVO besonders geschützten Gesundheitsdaten vorliegen (etwa, soweit anwendbar, § 22 Abs. 1 Nr. 1 Buchstabe d BDSG). Dabei ist regelmäßig der Grundsatz der Erforderlichkeit zu berücksichtigen, anhand dessen zu prüfen ist, ob das Fiebermessen tatsächlich erforderlich und zielführend zur Erreichung des Zwecks ist. Für die Prüfung der Erforderlichkeit sind Konzepte zu erstellen, die die beabsichtigten Maßnahmen und die damit verfolgten Zwecke schlüssig und nachvollziehbar darlegen. Zusätzlich haben die Behörden dabei die besonderen Regeln zum Schutz sensibler Daten zu beachten. An der Eignung und Erforderlichkeit einer elektronischen Fiebermessung bestehen allerdings erhebliche Zweifel; diese werden weiter unten im Zusammenhang mit den Ausführungen zu Art. 6 Abs. 1 UAbs.1 Buchstabe f DSGVO näher erörtert.

    Die Steuerung des Zutritts zu öffentlichen Verkaufsflächen von Unternehmen lässt sich hingegen regelmäßig nicht auf Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO in Verbindung mit der jeweiligen mitgliedstaatlichen Befugnisnorm stützen. Unternehmen und andere nichtöffentliche Verantwortliche können sich auf diese Vorschrift nur berufen, wenn ihnen eine Verarbeitungsbefugnis im öffentlichen Interesse oder als Ausübung öffentlicher Gewalt "übertragen" ist. Sie müssen anstelle einer Behörde tätig werden, was einen wie auch immer gearteten staatlichen Übertragungsakt voraussetzt. Mit anderen Worten können sich Privatpersonen nicht selbst zum Sachwalter eines öffentlichen Interesses erklären. Deshalb scheidet die Wahrnehmung einer öffentlichen Aufgabe im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO für nichtöffentliche Verantwortliche gegenwärtig als Verarbeitungsgrund aus (vgl. BVerwG, Urteil vom 27.03.2019, a.a.O., Absatz 46 der Entscheidungsbegründung).

  • Für Unternehmen und andere nichtöffentliche Stellen steht allerdings Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO zur Verfügung, der - verkürzt ausgedrückt - eine Verarbeitung auf Grundlage einer Interessenabwägung dann erlaubt, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und nicht die Interessen der betroffenen Person überwiegen. Verantwortliche des öffentlichen Sektors können sich im Rahmen ihrer Aufgabenerfüllung nicht auf diese Verarbeitungsgrundlage stützen, vgl. Art. 6 Abs. 1 UAbs. 2 DSGVO. Im Zusammenhang mit der elektronischen Fiebermessung ist wiederum zu beachten, dass sie als Verarbeitung personenbezogener Gesundheitsdaten nur zulässig sein kann, wenn eine Ausnahme vom grundsätzlichen Verarbeitungsverbot nach Art. 9 Abs. 2 DSGVO besteht. Eine solche Ausnahme ist jedoch allenfalls in seltenen Ausnahmefällen denkbar.

    Die Verarbeitungsgrundlage des Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO setzt nach gefestigter Rechtsprechung drei Prüfschritte voraus (vgl. u.a. EuGH, Urteil vom 04.05.2017, Az. C-13/16, Absatz 28 der Entscheidungsgründe):

    Erstens muss die Verarbeitung ein berechtigtes Interesse verfolgen, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht das Verarbeitungsinteresse des Verantwortlichen überwiegen.

    Ein berechtigtes Verarbeitungsinteresse ist vorliegend zu bejahen, soweit die mit der elektronischen Fiebermessung verbundene Erhebung von Daten zur Abwehr von Gefährdungen für die Belegschaft bzw. der übrigen Kundschaft und damit auch der Aufrechterhaltung des Geschäftsbetriebs dienen soll.

    Die Erforderlichkeit der Maßnahme hingegen ist regelmäßig nicht zu bejahen. Soweit die Veröffentlichung der Datenschutzkonferenz "Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie" insoweit für die Ermittlung der Erforderlichkeit verallgemeinerungsfähig darauf hinweist, dass - unter Beachtung des Gebots der Verhältnismäßigkeit - die "Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern legitim sein könne, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben", beschränkt sich dies auf die zulässige Datenverarbeitung im unmittelbaren Kontext der mit dem Pandemiegeschehen verbundenen Gesundheitsgefahren. Vor diesem Hintergrund sind Befragungen und auch weitergehende Maßnahmen nicht generell ausgeschlossen, allerdings ist das Tatbestandsmerkmal der Erforderlichkeit im spezifischen Verarbeitungszusammenhang zu beachten.

    Bei der Erforderlichkeitsprüfung ist zu beachten, dass eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann. Sie kann auch durch zahlreiche andere Ursachen, wie etwa Erkältungen, Stoffwechsel- und Gefäßerkrankungen, Rheuma, entzündliche Prozesse bedingt sein. Zudem weisen nach Angaben des Robert-Koch-Instituts (RKI) nur etwa 41 Prozent der Infizierten einen Krankheitsverlauf mit Fieber auf; in der bis zu 14 Tage umfassenden Inkubationszeit weisen die infizierten Personen noch keine Symptome auf oder bleiben über den gesamten Infektionsverlauf vollständig symptomfrei, sind aber aufgrund der Viruslast potentielle Überträger (vgl. https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html#doc13776792bodyText2, Stand: 12.06.2020).

    Ungeachtet dessen, dass Fieber grundsätzlich symptomatisch für eine SARS-CoV-2-Infektion sein kann, kann eine Temperaturmessung mit dem Ziel des Schutzes von Beschäftigten, Kunden oder Besuchern angesichts einer überwiegenden Anzahl symptomfreier Infektionsträger allenfalls als bedingt geeignet erachtet werden. Das RKI rät daher in seinem Epidemiologischen Bulletin 20/2020 vom 14.05.2020 von der Nutzung entsprechender Vorrichtungen an Flughäfen ab, da kein Mehrwert gesehen wird (https://www.rki.de/DE/Content/Infekt/EpidBull/Archiv/2020/Ausgaben/20_20.pdf?__blob=publicationFile).

    In diesem Zusammenhang kommt daher der Prüfung besondere Bedeutung zu, ob mildere, weniger eingriffsintensive Maßnahmen zur Erreichung des verfolgten Zwecks, dem Schutz der Beschäftigten und Kunden, die gleichsam der Zweckerreichung dienen, ersichtlich sind. Angesichts dessen sind die üblichen Maßnahmen im Einzelhandel, wie etwa die Begrenzung der Kundenanzahl, das Anbringen von Hinweisschildern zu Verhaltensregeln und Zutrittsbeschränkungen, die Gewährleistung der Einhaltung von Mindestabständen, die Aufforderung zum Tragen eines Mundschutzes, die Anbringung von Trennwänden im Kassenbereich und an Verkaufstresen sowie die Implementierung von Hygienevorgaben zu nennen. Ein derartiges Maßnahmenpaket verspricht gerade auch im Hinblick auf die größere Gefahr der Virus-Exposition aufgrund nicht festgestellter symptomfrei Infizierter einen nachhaltigeren Schutz von Kunden und Beschäftigten als eine eingriffsintensive kameragestützte Erhebung von Gesundheitsdaten.

    Im Ergebnis kann daher eine Erforderlichkeit der elektronischen Fieber-messung als Instrument der Zutrittsregulierung zu öffentlichen Verkaufs- und Verkehrsflächen, insbesondere im Bereich der Grundversorgung sowie für Bereiche, deren Nutzung für das tägliche Leben unabdingbar sind (z.B. Bahnhöfe, Flughäfen, Gebäude von Verwaltungsbehörden) nicht bejaht werden.

    Bei der Fiebermessung als betriebliche Maßnahme des Arbeitsschutzes ist zu beachten, dass ihre rechtliche Zulässigkeit aufgrund der Konkretisierungsklausel des Art. 88 DSGVO anhand des § 26 BDSG zu beurteilen ist. Für Beschäftigte des öffentlichen Sektors der Länder ist das Personaldatenschutzrecht des jeweiligen Landes maßgeblich; auf dieses wird nachfolgend aber nicht weiter eingegangen. Im Hinblick auf die Erforderlichkeit ist zu berücksichtigen, dass der Verantwortliche als Arbeitgeber bzw. Dienstherr die Feststellung einer erhöhten Körpertemperatur mit nachfolgenden Untersuchungen kombinieren kann, was die Eignung der Maßnahme etwas erhöht. Nichtsdestotrotz ist im Hinblick auf die Erforderlichkeit zu berücksichtigen, dass symptomfreie Infektionsfälle durch eine elektronische Temperaturerfassung nicht aufgedeckt werden können. Im Übrigen bestünde - je nach Fragestellung und anlassbezogen - als mildere Maßnahme noch die Möglichkeit, nach gesundheitlichen Beeinträchtigungen der Arbeitsfähigkeit zu fragen, wenn dies wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung darstellt. Danach ist anlassbezogen die Frage nach dem Gesundheitszustand eines Beschäftigten zulässig, wenn gezielt die Beschäftigung unzumutbar machende potenzielle Ausfallzeiten oder Einschränkungen der Tätigkeit bestehen oder zu erwarten sind. Weiterhin darf allgemein nach dem Vorliegen von ansteckenden Krankheiten gefragt werden, die Kollegen oder Kunden gefährden könnten.

    Bejaht man ungeachtet der vorstehenden Bedenken die Erforderlichkeit ebenso wie das Nichtüberwiegen der schutzwürdigen Interessen der betroffenen Personen, ist zu prüfen, ob das grundsätzliche Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO der Fiebermessung nicht entgegensteht. Nach den bereits gegebenen Hinweisen kommt insoweit gegenwärtig eine Ausnahme vom Verarbeitungsverbot nur noch nach Art. 9 Abs. 2 Buchstabe h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 Buchst. b bzw. 26 Abs. 3 BDSG in Betracht. Danach ist eine Verarbeitung personenbezogener Gesundheitsdaten nicht verboten, wenn sie für die Beurteilung der Arbeitsfähigkeit erforderlich ist. Die Dokumentation müsste den zentralen Grundsätzen, u.a. der Zweckbindung, der Datenminimierung und Speicherbegrenzung, folgen. Zudem ist die Erfüllung der in Art. 9 Abs. 3 DSGVO, § 22 Absatz 1 Nummer 1 Buchstabe b) BDSG genannten Bedingungen und Garantien geboten. Mit anderen Worten dürfte eine elektronische Fiebermessung nur durch einen betriebsärztlichen Dienst vorgenommen werden. Dieser dürfte dem Arbeitgeber bzw. Dienstherrn allenfalls mitteilen, welchen Beschäftigten der Zutritt zum Betriebsgelände verweigert worden ist.

    Im Bereich des betrieblichen Gesundheitsschutzes sind im Übrigen die Beteiligungsrechte der Interessensvertretungen zu beachten.

    Die zulässige Verwendung elektronischer Temperaturmessgeräte hängt schließlich insgesamt von der Erfüllung weiterer datenschutzrechtlicher Vorgaben ab, z.B. sind die Regelungen zum Verzeichnis von Verarbeitungstätigkeiten, zur Datenschutz-Folgenabschätzung sowie zur Information nach Art. 12 ff. DSGVO (Hinweisbeschilderung) zu beachten.

    Der Verantwortliche hat zudem dafür Sorge zu tragen, dass die Vorgaben des Datenschutzes durch Technikgestaltung aus Art. 25 DSGVO und der Datensicherheit nach Art. 32 DSGVO erfüllt werden. Hierbei können beispielsweise folgende Gesichtspunkte eine Rolle spielen:

    • Geeignete Körperstellen zur Messung: Eine aussagekräftige Erfassung eines kompletten Wärmebilds eines Menschen ist kaum möglich, da z.B. die Kleidung die Infrarot-Abstrahlung verändern kann. In der Regel wird daher an der Stirn oder den Innenwinkeln der Augen gemessen. Es sind somit Spezialkameras nötig, die diese Stellen automatisiert erkennen und anvisieren können.
    • Messgenauigkeit: Klassische kontaktlose Stirnthermometer haben häufig größere Abweichungen. Abhängig vom Einsatzkontext müssen daher Systeme zum Einsatz kommen, die eine deutlich höhere Messgenauigkeit haben, als übliche kontaktlose Fieberthermometer für den Hausgebrauch bieten.
    • Verfälschung der Messung: Zudem muss berücksichtigt werden, dass neben anderen Erkrankungen auch körperliche Betätigung (Sport, Eile), Umgebungsbedingungen etc. zu Messunterschieden oder Abweichungen beitragen können.
    • Absolute / relative Messung: Es gibt sowohl die Herangehensweise, einen Schwellwert festzulegen, ab dem die Wärmebildkamera positiv detektiert, als auch die Messung und Alarmierung im Vergleich zu den umgebenden Menschen durchzuführen. Im ersteren Fall stellt sich insbesondere die Schwierigkeit, wie der relevante Grenzwert für Fieber festzulegen ist, soweit die Körpertemperatur im Verlauf des Tages schwankt und zudem bei Kindern und Erwachsenen unterschiedlich ausfallen kann.
    • Fehlerrate: Aufgrund der technischen Schwierigkeiten der Messung kann es auch unabhängig von der Problematik, dass Infizierte noch keine Symptome zeigen, zu "falsch-positiven" wie auch "falsch-negativen" Ergebnissen kommen, beispielsweise abhängig von der Festlegung der Schwellwerte und der Aufstellsituation.
    • Auflösung, Bildgenauigkeit: Viele Wärmebildkameras bieten eine sehr hohe Auflösung, so dass sich die Frage stellt, welche zusätzlichen Informationen damit ersichtlich sind, insbesondere wenn ein Echtbild des Gesichts in hoher Auflösung erfasst wird (Erkennung anderer Krankheiten, biometrische Identifikation etc.).
    • Automatische Messung / menschlicher Bediener: Aufgrund des Aufwands für die Messung ist davon auszugehen, dass diese nicht vollautomatisiert erfolgen kann, sondern zumindest von menschlichem Personal überwacht werden muss. Zudem ist im Fall einer positiven Detektion in der Regel menschliche Intervention nötig, um die betroffene Person herauszufiltern und weitere Maßnahmen zu ergreifen.

1Sofern im Folgenden allein der Einsatz von Wärmebildkameras oder der elektronischen Temperaturerfassung thematisiert wird, beziehen sich die Ausführungen grundsätzlich stets auf beide Verarbeitungsarten.

Stand: 10. September 2020

I. AUSGANGSLAGE

Da eine SARS-CoV-2-Infektion teilweise mit einer spezifisch erhöhten Körpertemperatur der infizierten Person einhergeht, werden zunehmend elektronische Geräte zur Temperaturerfassung als Mittel der Zutrittssteuerung zu bis dahin öffentlich zugänglichen Räumen oder zu Arbeitsstätten eingesetzt.

Eine kontaktlose Temperaturmessung erfolgt in der Regel per Infrarotmessung und wird entweder mithilfe eines Fieberthermometers oder einer Thermalkamera / Infrarot-Wärmebildkamera1 vorgenommen. In den nunmehr angedachten Szenarien für den Zugang zu Flughäfen, Geschäften, Behörden, Arbeitsstätten etc. wird insbesondere die Nutzung von Wärmebildkameras in Betracht gezogen, da mittels klassischer Fieberthermometer keine Temperaturmessung bei größeren Gruppen erfolgen kann. Sie kann höchstens für die Messung von Einzelpersonen nacheinander, wie z.B. in Vereinzelungsschleusen zum Einsatz kommen, wobei bei einer einzelnen Fiebermessung mittels Thermometer ohne Protokollierung abhängig vom Einsatzszenario die Anwendbarkeit der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) in Frage stehen kann. Einzelhandelsunternehmen und Behörden setzen bereits vergleichbare Wärmemessungen ein, um den Zutritt zu ihren Geschäftsräumen zu regulieren.

ANWENDUNGSBEREICH DES BESCHLUSSES

Der Beschluss betrifft den Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung zur Steuerung oder aus Anlass des Zugangs zu Flughäfen, Geschäften, Behörden und Arbeitsstätten im Rahmen der Corona-Pandemie. Einrichtungen im Bereich der Gesundheitsversorgung einschließlich der Pflege können besonderen Maßnahmen unterliegen.

II. ZUSAMMENFASSUNG

Für die elektronische Messung der Körpertemperatur zur allgemeinen Regulierung des Zutritts zu Flughäfen, Geschäften, Behörden und Arbeitsstätten kann zwar Art. 6 Abs. 1 UAbs. 1 Buchst. e, Art. 9 Abs. 2 DSGVO i. V. m. § 3 BDSG und vergleichbaren Vorschriften in den Landesdatenschutzgesetzen (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) bzw. Art. 6 Abs. 1 UAbs. 1 Buchst. f, Art. 9 Abs. 2 DSGVO (Verfolgung eines berechtigten Interesses) als Rechtsgrundlage in Betracht kommen. Auch ist die Messung als betriebliche Maßnahme des Arbeitsschutzes bzw. zur Beurteilung der Arbeitsfähigkeit gestützt auf Art. 88 DSGVO i. V. m. § 26 Abs. 3 BDSG (bzw. das Personaldatenschutzrecht des jeweiligen Landes) bzw. § 22 Abs. 1 Nr. 1 Buchst. b BDSG i.V.m. Art. 9 Abs. 2 DSGVO grundsätzlich denkbar. Jedoch fehlt es i.d.R. an der Eignung und der Erforderlichkeit der Messung. Denn eine erhöhte Körpertemperatur kann nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden, und viele Infizierte weisen keine Symptome und damit auch keine erhöhte Temperatur auf. Zudem sind mildere Maßnahmen wie z. B. die Einhaltung der Hygiene- und Abstandsbestimmungen und die anlassbezogene Befragung der Beschäftigten durch den Arbeitgeber denkbar.

III. DATENSCHUTZRECHTLICHE BEWERTUNG

Die elektronische Messung der Körpertemperatur fällt - jedenfalls typischerweise - in den Anwendungsbereich der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO).

Die Messung der Körpertemperatur eines Menschen stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DSGVO dar.

Lässt ein Verantwortlicher Körpertemperaturmessungen an Personen vornehmen, sind hierdurch regelmäßig personenbezogene Daten betroffen. Zwar erfassen die Temperaturmessungen selbst noch keine eindeutig identifizierenden Angaben wie Namen und Anschriften der Personen, die eine entsprechende Messeinrichtung passieren. Typischerweise kann jedoch die betroffene Person dabei anderweitig identifiziert werden, etwa durch Personal, das die Messungen und eventuell Aufzeichnungen vornimmt, durch den Einsatz von Videokameras oder durch Arbeitszeiterfassungsgeräte. Anderes könnte allenfalls gelten, wenn eine automatisierte Temperaturmessung stattfindet, die vollkommen ohne Protokollierung und ohne anderweitige Zuordnung der Werte zu bestimmten oder bestimmbaren Personen erfolgt. Im Zusammenhang mit der Corona-Pandemie würde eine solche Messung allerdings ihren präventiven Zweck verfehlen.

In aller Regel sind die mithilfe einer automatisierten Temperaturmessung erzeugten Daten also personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Erst recht unterstützt die Speicherung von Infrarotkamera-Aufnahmen eine nachträgliche persönliche Identifikation betroffener Personen. Wird eine Wärmebilderfassung gar mit einer herkömmlichen Videoüberwachung verknüpft, ist generell von einem Personenbezug der Bildaufnahmen auszugehen (vgl. BVerwG, Urteil vom 27.03.2019, Az. 6 C 2/18, Absatz 43 der Entscheidungsbegründung).

Die Anwendung der Datenschutz-Grundverordnung setzt nach Art. 2 Abs. 1 DSGVO weiterhin voraus, dass entweder eine automatisierte Verarbeitung oder eine nichtautomatisierte Verarbeitung personenbezogener Daten erfolgt, die in einem Dateisystem gespeichert werden oder werden sollen.

Beispiel: Die Erfassung der Körpertemperatur mithilfe eines Wärmebildkamerasystems ist eine automatisierte Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO - unabhängig davon, ob die Aufnahmen gespeichert werden oder ob ein Live-Monitoring erfolgt (vgl. BVerwG, Urteil vom 27.03.2019, a.a.O., Absatz 43 der Entscheidungsbegründung).

Ausgehend von den beschriebenen Einsatzbedingungen der elektronischen Temperaturerfassung setzen die nachfolgenden Ausführungen die Anwendbarkeit der Datenschutz-Grundverordnung voraus. Sie beziehen sich allerdings nicht auf solche Temperaturmessungen, für die der Anwendungsbereich der Datenschutz-Grundverordnung ausnahmsweise nicht eröffnet ist.

Da die elektronische Temperaturmessung darauf gerichtet ist, Personen zu identifizieren, die mit SARS-CoV-2 infiziert sind, handelt es sich um eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO. Soweit eine solche Verarbeitung von personenbezogenen Gesundheitsdaten erfolgt, ist sie nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Dieses grundsätzliche Verarbeitungsverbot gilt nur dann nicht, wenn die Verarbeitung einen Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO erfüllt.

Im Folgenden werden daher die je nach Anwendungsfall in Betracht kommenden Rechtsgrundlagen näher untersucht, beginnend mit den allgemeinen Verarbeitungsbefugnissen.

Dabei ist neben dem grundsätzlichen Verarbeitungsverbot und den Ausnahmetatbeständen des Art. 9 DSGVO zu beachten, dass eine Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 Buchstabe a, Art. 6 Abs. 1 UAbs. 1 DSGVO nur dann rechtmäßig ist, wenn sie mindestens auf eine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO gestützt werden kann. Bei der elektronischen Temperaturmessung ist dies regelmäßig nicht gegeben. Folgende Erwägungen sind diesbezüglich zu beachten:

  • Eine Einwilligung im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe a DSGVO kann nur wirksam erteilt werden, wenn die Voraussetzungen der Art. 4 Nr. 11, Art. 7 DSGVO erfüllt sind (zu Einzelheiten vgl. Datenschutzkonferenz, Kurzpapier Nr. 20, Einwilligung nach der DSGVO; Europäischer Datenschutzausschuss, WP 259 rev. 01: Leitlinien in Bezug auf die Einwilligung gemäß Verordnung EU 2016/679). Zudem ist zu beachten, dass die Wärmemessung gerade der Erfassung einer etwaigen Erkrankung dient; deshalb hat die betroffene Person ihre Einwilligung ausdrücklich zu erklären (vgl. Art. 9 Abs. 2 Buchstabe a DSGVO).

    Im Zusammenhang mit der Zielsetzung der Zutrittsregulierung mithilfe von Wärmebildmessungen wird die Einwilligung als Verarbeitungsgrundlage schon in praktischer Hinsicht oft ausscheiden, weil es an der Freiwilligkeit der Zustimmungserklärung fehlt. Zudem wird die Wirksamkeit der Einwilligung häufig auch daran scheitern, dass eine transparente Information der betroffenen Person vor Durchführung des Messvorganges in der Praxis zweifelhaft scheint.

    Beispiel: Zahlreiche Beschäftigungsverhältnisse sind stark von einem Ungleichgewicht zwischen den Beschäftigten und ihrem Arbeitgeber bzw. Dienstherrn geprägt (Erwägungsgrund 43 DSGVO). Vor diesem Hintergrund werden die Beschäftigten kaum eine vom Vorgesetzten etablierte Zutrittskontrolle verweigern können, wenn sie zu ihrem Arbeitsplatz gelangen wollen. Anderes kann ausnahmsweise gelten, wenn Arbeitgeber bzw. Dienstherren etwa mithilfe von Betriebs- bzw. Dienstvereinbarungen die Rahmenbedingungen für die Freiwilligkeit einer Einwilligungserklärung von Beschäftigten festlegen.

    Beispiel: Die Zutrittsregelung betreffend Behörden- oder Gerichtsgebäuden kann typischerweise nicht auf die Einwilligung gestützt werden, sofern die betroffenen Personen eine gesetzlich vorgesehene, staatliche Leistung in Anspruch nehmen wollen oder gar auf behördliche oder gerichtliche Ladung hin den Zutritt zum jeweiligen Gebäude begehren. Denn insoweit ist die Freiwilligkeit einer Zustimmung stets zweifelhaft und kann durch den Verantwortlichen regelmäßig nicht belegt werden (vgl. Art. 7 Abs. 1, Erwägungsgrund 43 DSGVO).

    Beispiel: In Bezug auf den Zutritt zum Geschäftslokal eines Unternehmens wird die Einholung einer hier nach Art. 9 Abs. 2 Buchstabe a DSGVO rechtlich gebotenen ausdrücklichen Einwilligung der Kunden häufig bereits aus pragmatischen Erwägungen nicht in Frage kommen. Zudem hängt die Freiwilligkeit auch dann von den Umständen des Einzelfalls ab, wobei die gesetzliche Wertung des Art. 7 Abs. 4 DSGVO zu beachten ist. Soweit der Zutritt zum Geschäftslokal an die Einwilligung zur Temperaturmessung geknüpft wird, kann also nicht ohne weiteres von einer Freiwilligkeit ausgegangen werden.

  • Auch Art. 6 Abs. 1 UAbs. 1 Buchstabe b DSGVO scheidet als Rechtsgrundlage in aller Regel aus. Bei Zugangskontrollen erfolgt die Temperaturmessung nicht zur Erfüllung eines bestehenden Vertragsverhältnisses zwischen den Parteien.

    Als Verarbeitungsgrundlage kommt der Vertrag am ehesten bei Beschäftigungsverhältnissen im nichtöffentlichen Sektor und bei Tarifbeschäftigten des öffentlichen Sektors in Betracht. Insoweit sieht Art. 9 Abs. 2 Buchstabe b DSGVO unter den dort festgelegten Voraussetzungen u.a. eine Ausnahme vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO vor, soweit der Verantwortliche oder die betroffene Person einer aus dem Arbeitsrecht folgenden Pflicht nachkommen muss. In Bezug auf die elektronische Temperaturmessung bei Beschäftigten kommt allenfalls in Betracht, dass mit ihr der Arbeitgeber bzw. Dienstherr seine aus dem Arbeitsschutzrecht folgenden Pflichten erfüllen will.
    Eine solche vertragliche Befugnis zur Temperaturmessung kann allerdings nicht weiter reichen als eine rechtliche Verpflichtung des Verantwortlichen im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO.

  • Teilweise berufen sich Unternehmen bei der Temperaturmessung darauf, sie sei erforderlich, um eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO zu erfüllen. Diese Vorschrift stellt selbst keine rechtliche Verarbeitungsgrundlage dar, sondern setzt gemäß Art. 6 Abs. 2, Abs. 3 UAbs. 1 DSGVO eine Rechtsgrundlage im bereichsspezifischen EU-Recht oder im Recht eines Mitgliedstaates voraus. Die in dieser Vorschrift normierte Verpflichtung muss sich unmittelbar auf die Verarbeitung personenbezogener Daten beziehen. Allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht demgegenüber nicht aus (vgl. z.B. LSG Hessen, Beschluss vom 29.01.2020, Az. L 4 SO 154/19 B, Absatz 13 der Entscheidungsgründe).

    Eine solche rechtliche Verpflichtung der Unternehmen zur Temperaturmessung ist im deutschen Recht nicht ausdrücklich vorgesehen. In Beschäftigungsverhältnissen verpflichtet § 3 Abs. 1 Arbeitsschutzgesetz den Arbeitgeber zwar allgemein dazu, die erforderlichen Maßnahmen des Arbeitsschutzes "unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen." Ferner ist der Arbeitgeber nach § 618 Bürgerliches Gesetzbuch grundsätzlich verpflichtet, Maßnahmen zum Schutz von Leben und Gesundheit seiner Beschäftigten zu ergreifen. Aus diesen allgemeinen gesetzlichen Vorgaben zum betrieblichen Gesundheitsschutz lässt sich jedoch gerade nicht eine konkrete rechtliche Pflicht im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO ableiten, den Zugang zum Betriebsgelände mithilfe einer elektronischen Temperaturmessung zu regulieren.

    Auch unter Berücksichtigung des am 16. April 2020 durch das Bundesministerium für Arbeit und Soziales veröffentlichten "Arbeitsschutzstandard SARS-CoV-2" oder der sonstigen bereichs- und branchenspezifischen Arbeitsschutzstandards ergibt sich nichts anderes. Ungeachtet dessen, dass darin Temperaturmessungen als betriebliche Maßnahme in Betracht gezogen werden sollen (II. Nr. 13 des Arbeitsschutzstandards SARS-CoV-2: "insbesondere Fieber, Husten und Atemnot … Anzeichen für eine Infektion mit dem Coronavirus sein (können). Hierzu ist im Betrieb eine möglichst kontaktlose Fiebermessung vorzusehen."), begründen sie keine rechtliche Verpflichtung des Arbeitgebers oder Dienstherrn im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO, im Wege der Fiebermessung personenbezogene Daten zu verarbeiten. Denn die Arbeitsschutzstandards SARS-CoV-2 sind kein Rechtssatz, aus denen eine rechtliche Verpflichtung folgt, sondern eine Art Leitlinie der öffentlichen Verwaltung zum Arbeitsschutz.

    Damit existiert gegenwärtig keine spezifische rechtliche Verpflichtung für Verantwortliche im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO, elektronische Fiebermessungen durchzuführen.

  • Art. 6 Abs. 1 UAbs. 1 Buchstabe d DSGVO gestattet die Verarbeitung personenbezogener Daten, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Bei der im Raum stehenden Verarbeitung von personenbezogenen Gesundheitsdaten durch elektronische Temperaturmessung muss allerdings gem. Art. 9 Abs. 2 Buchstabe c DSGVO die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande sein, ihre Einwilligung in die Verarbeitung zu geben, sodass diese Rechtsgrundlage nicht herangezogen werden kann.

  • Hingegen kommt in einzelnen Fällen in Betracht, dass die Temperaturmessung für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, die dem Verantwortlichen übertragen wurde. Dazu stellt Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO selbst keine Verarbeitungsbefugnis dar, sondern setzt nach Art. 6 Abs. 2 und 3 UAbs. 1 DSGVO eine Rechtsgrundlage voraus. Eine solche Verarbeitungsgrundlage kann grundsätzlich auch in einer Generalklausel bestehen; insbesondere muss sie von EU-Rechts wegen nicht, wie bei der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, konkret den Verarbeitungszweck enthalten. Es genügt nach Art. 6 Abs. 3 UAbs. 2 DSGVO, wenn der Zweck der Verarbeitung erforderlich ist, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies setzt immerhin voraus, dass eine solche Aufgabe im Recht des Mitgliedstaats so klar und konkret beschrieben wird, dass aus ihr rechtssicher ein zulässiger Verarbeitungszweck abgeleitet werden kann. Insbesondere darf die gesetzliche Zuständigkeits- und Aufgabenordnung nicht durch zu unbestimmte Verarbeitungsregeln unterlaufen werden.

    Daraus folgt, dass die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 Buchstabe i DSGVO, § 22 Abs. 1 Nr. 1 Buchstabe c Bundesdatenschutzgesetz (BDSG) keine allgemeine Befugnis von Behörden für die Verarbeitung von Gesundheitsdaten begründet. Diese Vorschriften beziehen sich ihrem Wortlaut und ihrer Entstehungsgeschichte nach auf das öffentliche Gesundheitswesen und auf die Gesundheitsverwaltung.

    Dient die Temperaturmessung allerdings der allgemeinen Zutrittsregulierung zu Gebäuden der öffentlichen Verwaltung, kommt mangels bereichsspezifischer Vorschriften der Rückgriff auf die datenschutzrechtlichen Generalklauseln in § 3 BDSG und vergleichbaren Vorschriften in den Landesdatenschutzgesetzen in Betracht. Anknüpfungspunkt wäre insoweit die Aufgabe einer jeder öffentlichen Stelle, einen ordnungsgemäßen - das heißt auch für Besucherinnen und Besucher sowie Beschäftigte möglichst gefahrlosen - Dienstbetrieb zu gewährleisten. Zusätzlich muss eine Verarbeitungsbefugnis im Hinblick auf die nach Art. 9 Abs. 2 DSGVO besonders geschützten Gesundheitsdaten vorliegen (etwa, soweit anwendbar, § 22 Abs. 1 Nr. 1 Buchstabe d BDSG). Dabei ist regelmäßig der Grundsatz der Erforderlichkeit zu berücksichtigen, anhand dessen zu prüfen ist, ob das Fiebermessen tatsächlich erforderlich und zielführend zur Erreichung des Zwecks ist. Für die Prüfung der Erforderlichkeit sind Konzepte zu erstellen, die die beabsichtigten Maßnahmen und die damit verfolgten Zwecke schlüssig und nachvollziehbar darlegen. Zusätzlich haben die Behörden dabei die besonderen Regeln zum Schutz sensibler Daten zu beachten. An der Eignung und Erforderlichkeit einer elektronischen Fiebermessung bestehen allerdings erhebliche Zweifel; diese werden weiter unten im Zusammenhang mit den Ausführungen zu Art. 6 Abs. 1 UAbs.1 Buchstabe f DSGVO näher erörtert.

    Die Steuerung des Zutritts zu öffentlichen Verkaufsflächen von Unternehmen lässt sich hingegen regelmäßig nicht auf Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO in Verbindung mit der jeweiligen mitgliedstaatlichen Befugnisnorm stützen. Unternehmen und andere nichtöffentliche Verantwortliche können sich auf diese Vorschrift nur berufen, wenn ihnen eine Verarbeitungsbefugnis im öffentlichen Interesse oder als Ausübung öffentlicher Gewalt "übertragen" ist. Sie müssen anstelle einer Behörde tätig werden, was einen wie auch immer gearteten staatlichen Übertragungsakt voraussetzt. Mit anderen Worten können sich Privatpersonen nicht selbst zum Sachwalter eines öffentlichen Interesses erklären. Deshalb scheidet die Wahrnehmung einer öffentlichen Aufgabe im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchstabe e DSGVO für nichtöffentliche Verantwortliche gegenwärtig als Verarbeitungsgrund aus (vgl. BVerwG, Urteil vom 27.03.2019, a.a.O., Absatz 46 der Entscheidungsbegründung).

  • Für Unternehmen und andere nichtöffentliche Stellen steht allerdings Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO zur Verfügung, der - verkürzt ausgedrückt - eine Verarbeitung auf Grundlage einer Interessenabwägung dann erlaubt, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und nicht die Interessen der betroffenen Person überwiegen. Verantwortliche des öffentlichen Sektors können sich im Rahmen ihrer Aufgabenerfüllung nicht auf diese Verarbeitungsgrundlage stützen, vgl. Art. 6 Abs. 1 UAbs. 2 DSGVO. Im Zusammenhang mit der elektronischen Fiebermessung ist wiederum zu beachten, dass sie als Verarbeitung personenbezogener Gesundheitsdaten nur zulässig sein kann, wenn eine Ausnahme vom grundsätzlichen Verarbeitungsverbot nach Art. 9 Abs. 2 DSGVO besteht. Eine solche Ausnahme ist jedoch allenfalls in seltenen Ausnahmefällen denkbar.

    Die Verarbeitungsgrundlage des Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO setzt nach gefestigter Rechtsprechung drei Prüfschritte voraus (vgl. u.a. EuGH, Urteil vom 04.05.2017, Az. C-13/16, Absatz 28 der Entscheidungsgründe):

    Erstens muss die Verarbeitung ein berechtigtes Interesse verfolgen, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht das Verarbeitungsinteresse des Verantwortlichen überwiegen.

    Ein berechtigtes Verarbeitungsinteresse ist vorliegend zu bejahen, soweit die mit der elektronischen Fiebermessung verbundene Erhebung von Daten zur Abwehr von Gefährdungen für die Belegschaft bzw. der übrigen Kundschaft und damit auch der Aufrechterhaltung des Geschäftsbetriebs dienen soll.

    Die Erforderlichkeit der Maßnahme hingegen ist regelmäßig nicht zu bejahen. Soweit die Veröffentlichung der Datenschutzkonferenz "Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie" insoweit für die Ermittlung der Erforderlichkeit verallgemeinerungsfähig darauf hinweist, dass - unter Beachtung des Gebots der Verhältnismäßigkeit - die "Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern legitim sein könne, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben", beschränkt sich dies auf die zulässige Datenverarbeitung im unmittelbaren Kontext der mit dem Pandemiegeschehen verbundenen Gesundheitsgefahren. Vor diesem Hintergrund sind Befragungen und auch weitergehende Maßnahmen nicht generell ausgeschlossen, allerdings ist das Tatbestandsmerkmal der Erforderlichkeit im spezifischen Verarbeitungszusammenhang zu beachten.

    Bei der Erforderlichkeitsprüfung ist zu beachten, dass eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann. Sie kann auch durch zahlreiche andere Ursachen, wie etwa Erkältungen, Stoffwechsel- und Gefäßerkrankungen, Rheuma, entzündliche Prozesse bedingt sein. Zudem weisen nach Angaben des Robert-Koch-Instituts (RKI) nur etwa 41 Prozent der Infizierten einen Krankheitsverlauf mit Fieber auf; in der bis zu 14 Tage umfassenden Inkubationszeit weisen die infizierten Personen noch keine Symptome auf oder bleiben über den gesamten Infektionsverlauf vollständig symptomfrei, sind aber aufgrund der Viruslast potentielle Überträger (vgl. https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html#doc13776792bodyText2, Stand: 12.06.2020).

    Ungeachtet dessen, dass Fieber grundsätzlich symptomatisch für eine SARS-CoV-2-Infektion sein kann, kann eine Temperaturmessung mit dem Ziel des Schutzes von Beschäftigten, Kunden oder Besuchern angesichts einer überwiegenden Anzahl symptomfreier Infektionsträger allenfalls als bedingt geeignet erachtet werden. Das RKI rät daher in seinem Epidemiologischen Bulletin 20/2020 vom 14.05.2020 von der Nutzung entsprechender Vorrichtungen an Flughäfen ab, da kein Mehrwert gesehen wird (https://www.rki.de/DE/Content/Infekt/EpidBull/Archiv/2020/Ausgaben/20_20.pdf?__blob=publicationFile).

    In diesem Zusammenhang kommt daher der Prüfung besondere Bedeutung zu, ob mildere, weniger eingriffsintensive Maßnahmen zur Erreichung des verfolgten Zwecks, dem Schutz der Beschäftigten und Kunden, die gleichsam der Zweckerreichung dienen, ersichtlich sind. Angesichts dessen sind die üblichen Maßnahmen im Einzelhandel, wie etwa die Begrenzung der Kundenanzahl, das Anbringen von Hinweisschildern zu Verhaltensregeln und Zutrittsbeschränkungen, die Gewährleistung der Einhaltung von Mindestabständen, die Aufforderung zum Tragen eines Mundschutzes, die Anbringung von Trennwänden im Kassenbereich und an Verkaufstresen sowie die Implementierung von Hygienevorgaben zu nennen. Ein derartiges Maßnahmenpaket verspricht gerade auch im Hinblick auf die größere Gefahr der Virus-Exposition aufgrund nicht festgestellter symptomfrei Infizierter einen nachhaltigeren Schutz von Kunden und Beschäftigten als eine eingriffsintensive kameragestützte Erhebung von Gesundheitsdaten.

    Im Ergebnis kann daher eine Erforderlichkeit der elektronischen Fieber-messung als Instrument der Zutrittsregulierung zu öffentlichen Verkaufs- und Verkehrsflächen, insbesondere im Bereich der Grundversorgung sowie für Bereiche, deren Nutzung für das tägliche Leben unabdingbar sind (z.B. Bahnhöfe, Flughäfen, Gebäude von Verwaltungsbehörden) nicht bejaht werden.

    Bei der Fiebermessung als betriebliche Maßnahme des Arbeitsschutzes ist zu beachten, dass ihre rechtliche Zulässigkeit aufgrund der Konkretisierungsklausel des Art. 88 DSGVO anhand des § 26 BDSG zu beurteilen ist. Für Beschäftigte des öffentlichen Sektors der Länder ist das Personaldatenschutzrecht des jeweiligen Landes maßgeblich; auf dieses wird nachfolgend aber nicht weiter eingegangen. Im Hinblick auf die Erforderlichkeit ist zu berücksichtigen, dass der Verantwortliche als Arbeitgeber bzw. Dienstherr die Feststellung einer erhöhten Körpertemperatur mit nachfolgenden Untersuchungen kombinieren kann, was die Eignung der Maßnahme etwas erhöht. Nichtsdestotrotz ist im Hinblick auf die Erforderlichkeit zu berücksichtigen, dass symptomfreie Infektionsfälle durch eine elektronische Temperaturerfassung nicht aufgedeckt werden können. Im Übrigen bestünde - je nach Fragestellung und anlassbezogen - als mildere Maßnahme noch die Möglichkeit, nach gesundheitlichen Beeinträchtigungen der Arbeitsfähigkeit zu fragen, wenn dies wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung darstellt. Danach ist anlassbezogen die Frage nach dem Gesundheitszustand eines Beschäftigten zulässig, wenn gezielt die Beschäftigung unzumutbar machende potenzielle Ausfallzeiten oder Einschränkungen der Tätigkeit bestehen oder zu erwarten sind. Weiterhin darf allgemein nach dem Vorliegen von ansteckenden Krankheiten gefragt werden, die Kollegen oder Kunden gefährden könnten.

    Bejaht man ungeachtet der vorstehenden Bedenken die Erforderlichkeit ebenso wie das Nichtüberwiegen der schutzwürdigen Interessen der betroffenen Personen, ist zu prüfen, ob das grundsätzliche Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO der Fiebermessung nicht entgegensteht. Nach den bereits gegebenen Hinweisen kommt insoweit gegenwärtig eine Ausnahme vom Verarbeitungsverbot nur noch nach Art. 9 Abs. 2 Buchstabe h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 Buchst. b bzw. 26 Abs. 3 BDSG in Betracht. Danach ist eine Verarbeitung personenbezogener Gesundheitsdaten nicht verboten, wenn sie für die Beurteilung der Arbeitsfähigkeit erforderlich ist. Die Dokumentation müsste den zentralen Grundsätzen, u.a. der Zweckbindung, der Datenminimierung und Speicherbegrenzung, folgen. Zudem ist die Erfüllung der in Art. 9 Abs. 3 DSGVO, § 22 Absatz 1 Nummer 1 Buchstabe b) BDSG genannten Bedingungen und Garantien geboten. Mit anderen Worten dürfte eine elektronische Fiebermessung nur durch einen betriebsärztlichen Dienst vorgenommen werden. Dieser dürfte dem Arbeitgeber bzw. Dienstherrn allenfalls mitteilen, welchen Beschäftigten der Zutritt zum Betriebsgelände verweigert worden ist.

    Im Bereich des betrieblichen Gesundheitsschutzes sind im Übrigen die Beteiligungsrechte der Interessensvertretungen zu beachten.

    Die zulässige Verwendung elektronischer Temperaturmessgeräte hängt schließlich insgesamt von der Erfüllung weiterer datenschutzrechtlicher Vorgaben ab, z.B. sind die Regelungen zum Verzeichnis von Verarbeitungstätigkeiten, zur Datenschutz-Folgenabschätzung sowie zur Information nach Art. 12 ff. DSGVO (Hinweisbeschilderung) zu beachten.

    Der Verantwortliche hat zudem dafür Sorge zu tragen, dass die Vorgaben des Datenschutzes durch Technikgestaltung aus Art. 25 DSGVO und der Datensicherheit nach Art. 32 DSGVO erfüllt werden. Hierbei können beispielsweise folgende Gesichtspunkte eine Rolle spielen:

    • Geeignete Körperstellen zur Messung: Eine aussagekräftige Erfassung eines kompletten Wärmebilds eines Menschen ist kaum möglich, da z.B. die Kleidung die Infrarot-Abstrahlung verändern kann. In der Regel wird daher an der Stirn oder den Innenwinkeln der Augen gemessen. Es sind somit Spezialkameras nötig, die diese Stellen automatisiert erkennen und anvisieren können.
    • Messgenauigkeit: Klassische kontaktlose Stirnthermometer haben häufig größere Abweichungen. Abhängig vom Einsatzkontext müssen daher Systeme zum Einsatz kommen, die eine deutlich höhere Messgenauigkeit haben, als übliche kontaktlose Fieberthermometer für den Hausgebrauch bieten.
    • Verfälschung der Messung: Zudem muss berücksichtigt werden, dass neben anderen Erkrankungen auch körperliche Betätigung (Sport, Eile), Umgebungsbedingungen etc. zu Messunterschieden oder Abweichungen beitragen können.
    • Absolute / relative Messung: Es gibt sowohl die Herangehensweise, einen Schwellwert festzulegen, ab dem die Wärmebildkamera positiv detektiert, als auch die Messung und Alarmierung im Vergleich zu den umgebenden Menschen durchzuführen. Im ersteren Fall stellt sich insbesondere die Schwierigkeit, wie der relevante Grenzwert für Fieber festzulegen ist, soweit die Körpertemperatur im Verlauf des Tages schwankt und zudem bei Kindern und Erwachsenen unterschiedlich ausfallen kann.
    • Fehlerrate: Aufgrund der technischen Schwierigkeiten der Messung kann es auch unabhängig von der Problematik, dass Infizierte noch keine Symptome zeigen, zu "falsch-positiven" wie auch "falsch-negativen" Ergebnissen kommen, beispielsweise abhängig von der Festlegung der Schwellwerte und der Aufstellsituation.
    • Auflösung, Bildgenauigkeit: Viele Wärmebildkameras bieten eine sehr hohe Auflösung, so dass sich die Frage stellt, welche zusätzlichen Informationen damit ersichtlich sind, insbesondere wenn ein Echtbild des Gesichts in hoher Auflösung erfasst wird (Erkennung anderer Krankheiten, biometrische Identifikation etc.).
    • Automatische Messung / menschlicher Bediener: Aufgrund des Aufwands für die Messung ist davon auszugehen, dass diese nicht vollautomatisiert erfolgen kann, sondern zumindest von menschlichem Personal überwacht werden muss. Zudem ist im Fall einer positiven Detektion in der Regel menschliche Intervention nötig, um die betroffene Person herauszufiltern und weitere Maßnahmen zu ergreifen.

1Sofern im Folgenden allein der Einsatz von Wärmebildkameras oder der elektronischen Temperaturerfassung thematisiert wird, beziehen sich die Ausführungen grundsätzlich stets auf beide Verarbeitungsarten.

Seite drucken