Die steigenden Fallzahlen der Infektionen mit dem Corona-Virus bringen aktuell die beinahe schon wieder vergessene Frage des „Fiebermessens“ bei Beschäftigten und Besuchern als Einlassvoraussetzung in Unternehmen und Einrichtungen auf den Tisch. Gerade auch in der Pflege und Betreuung von „Risikogruppen“ scheint die tägliche Temperaturerfassung vielen Arbeitgebern als geeignetes Mittel der Infektionsprävention. Das sieht das Datenschutzrecht indes nicht immer so.
“Da eine erhöhte Körpertemperatur jedoch keinesfalls den gesicherten Schluss des Vorliegens einer Corona-Erkrankung zulässt sondern vielmehr eine bekannte Begleiterscheinung vieler Erkrankungen ist, ist die Geeignetheit der Körpertemperaturmessung in datenschutzrechtlichen Sinn zumindest zweifelhaft.” – Matthias Herkert
In zahlreichen kirchlichen Einrichtungen werden aktuell wieder verschiedene Möglichkeiten der Infektionsprävention diskutiert, um gerade im Bereich der Pflege und Betreuung dem Schutzbedarf von Risikogruppen bestmöglich entsprechen zu können.
Kontaktlose Fiebermessungen zielen hierbei darauf, bei Besuchern und Beschäftigten Messungen der Körpertemperatur vorzunehmen. Zwar gibt es derzeit keine gesicherten Erkenntnisse darüber, ob Fieber ein verlässliches Kriterium zur Feststellung einer Corona-Infektion ist, die Temperaturkontrolle kann aber ein geeignetes Mittel sein, um Hinweise auf etwaige Corona-Verdachtsfälle zu erhalten ( so u.a. auch vom Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in den FAQs zu Fragen und Maßnahmen des Arbeitgebers zum Schutz vor Corona-Infektionen mit Stand vom 25.03.2020 angeführt – hier geht es zum PDF-Dokument).
Für den besonderen Kontext der Corona-Pandemie haben der Beauftragte für den Datenschutz der Evangelische Kirche in Deutschland (EKD) und der Beauftragte für den Datenschutz der Evangelischen Nordkirche Ende März 2020 festgestellt, dass zum Schutz der Gesundheit und zur Eindämmung der weiteren Verbreitung des Coronavirus aus datenschutzrechtlicher Sicht unter Beachtung der Grundsätze des Datenschutzes Maßnahmen getroffen werden können, die auch die Verarbeitung von Daten, mit denen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt werden können, einschließen.
Hier rückt nun also auch die Möglichkeit der Temperaturmessung wieder in den Bereich der möglichen Maßnahmen, obwohl es sich bei den durch diese Vorgehensweisen generierten personenbezogenen Daten um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten i.S.d. § 1 Nr. 2 lit. e des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) handelt.
Rechtsgrundlagen für die Erhebung der Körpertemperatur bei Beschäftigten und Besuchern
Für die Datenverarbeitung von Beschäftigten i. S. v. § 4 Nr. 20 DSG-EKD kann die Verarbeitung grundsätzlich auf § 13 Abs. 2 Nr. 2 DSG-EKD sowie § 49 Abs. 1 DSG-EKD gestützt werden. Da § 49 DSG-EKD die Datenverarbeitung im Beschäftigungsverhältnis abschließend regelt, ist eine Inanspruchnahme von Voraussetzungen aus § 6 DSG-EKD, anders als etwa unter der DSGVO oder dem katholischen Gesetz über den Kirchlichen Datenschutz (KDG), nicht möglich.Über die Öffnungsklausel des § 49 Abs. 1 DSG-EKD können spezielle Rechtsvorschriften als Rechtsgrundlage der Datenverarbeitung jedoch in Betracht kommen.
In Fällen, in denen personenbezogene Daten von Dritten (z.B. Besuchern) verarbeitet werden sollen, ergibt sich die Berechtigung über die Fürsorgepflicht zur Veranlassung notwendiger Schutzmaßnahmen zur Verhinderung und Eindämmung ansteckender Krankheiten für die grundsätzliche Verarbeitung personenbezogener Daten aus § 6 Nr. 7, 8 DSG-EKD i.V.m. § 6 Nr. 4 DSG-EKD. Die Verarbeitung von Gesundheitsdaten ist auf § 13 Abs. 2 Nr. 9 DSG-EKD zu stützen, da die Fürsorgepflicht i.S.d. Gesundheitsvorsorge nach wohl h.M. als öffentliches Interesses im Bereich der öffentlichen Gesundheit anzusehen ist.
In allen Fällen ist jedoch zu beachten, dass § 5 Abs. 1 Nr. 1 DSG-EKD fordert, dass die Verarbeitung personenbezogener Daten mit Blick auf die Erfüllung der Verarbeitungszwecke verhältnismäßig und geeignet sein muss.
Da eine erhöhte Körpertemperatur des Betroffenen jedoch keinesfalls den gesicherten Schluss des Vorliegens einer Corona-Erkrankung zulässt, vielmehr eine bekannte Begleiterscheinung vieler Erkrankungen ist, und umgekehrt eine bestehende Corona-Erkrankung nicht zwangsläufig in jedem Fall zu einer erhöhten Körpertemperatur führen muss, ist die Geeignetheit der Körpertemperaturmessung in datenschutzrechtlichen Sinn zumindest zweifelhaft.
Uneinigkeit bei der Frage der Temperaturmessungen
Während etwa der Landesbeauftragte für den Datenschutz und die Informationsfreiheit aus Rheinland-Pfalz und der Landesbeauftragte für den Datenschutz in Sachsen-Anhalt sich gegen eine zumindest grundsätzliche Eignung der Körpertemperaturmessungen aussprechen, stellt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen fest, dass Temperaturkontrollen ein geeignetes Mittel sein können, um Hinweise auf etwaige Corona-Verdachtsfälle zu erhalten und macht die Zulässigkeit vom Ergebnis geeigneter Einzelfallbetrachtungen abhängig. In diesem Sinn führt auch der Datenschutzbeauftragte für Kirche und Diakonie für Sachsen, Thüringen und Sachsen-Anhalt in seinen „Hinweise zur Verarbeitung von Daten zum Schutz vor ansteckenden Krankheiten“ vom 19.05.2020 aus, dass kontaktlose Fiebermessungen am Eingang zu Betriebsgeländen oder Gebäuden unter den Voraussetzungen § 13 Abs. 2 Nr. 2 DSG-EKD gerechtfertigt sein können, jedoch immer einer Einzelfallprüfung zu unterziehen sei.
Alternative Maßnahmen um der Fürsorgepflicht nachzukommen, die im Rahmen der durchzuführenden Interessenabwägungen zu betrachten sind, wie etwa die z.T. von den Aufsichtsbehörden vorgeschlagenen wiederholten Hinweise an die Beschäftigten, dass bei Verspüren grippaler Symptome der Arbeibt fernzubleiben und ein Arzt aufzusuchen sei, erscheinen zumindest bei den aktuell rasch steigenden Infektionszahlen und der steten Ausweitung von „Risikogebieten“ durch das Robert Koch-Institut (RKI) im Kontext der Pflege kaum ausreichend.
Daten müssen nicht gespeichert werden
Im Umgang mit den erhobenen Gesundheitsdaten der Beschäftigten und Besucher ist davon auszugehen, dass der Verarbeitungszweck mit dem Abschluss der Messung erreicht ist. Eine weitere Verarbeitung der Daten wird regelmäßig weder erforderlich noch zulässig sein, da die Fiebermessungen lediglich der Feststellung dienen können, ob dem Betroffenen am jeweiligen Tag der Messung Zutritt gewährt werden soll. Die Daten sind daher, unabhängig vom Messergebnis, gem. § 5 Abs. 1 nur. 5 S. 1 i.V.m. § 21 Abs. 1 DSG-EKD unmittelbar nach der Messung zu löschen. Dies setzt so weit voraus, dass allgemein anerkannte „Grenzwerte“ der Messungen festzulegen sind, sowie die Maßnahmen, die im Fall einer Überschreitung greifen sollen (z.B. zweite Messung, Zutrittsverbot gegenüber Beschäftigten und Besuchern, Aufforderung / Anordnung eines Arztbesuches zur weiteren Abklärung bei Beschäftigten).
Informationspflichten erfüllen
Die Informationspflichten bei der Datenerhebung i.S.d. § 17 DSG-EKD sind in diesen Fällen unbedingt zu beachten. Hier macht es in jedem Fall Sinn, die mit der Messung beauftragen Personen durch den Datenschutzbeauftragten unterweisen zu lassen, damit die zu erwartenden Fragen möglichst direkt und unkompliziert beantwortet werden können.
Fazit
Kontaktlose Körpertemperaturmessungen sind sowohl im Beschäftigungsverhältnis wie auch gegenüber Besuchern ein datenschutzrechtlich kritisches Thema. Während das Thema in den vergangenen Monaten von Datenschützern und den meisten Aufsichtsbehörden eher kritisch gesehen wurde, kann das aktuelle Infektionsgeschehen und der im Bereich der Pflege und Betreuung völlig regelmäßige Umgang mit Risikogruppen den Einsatz entsprechender Geräte derzeit wohl rechtfertigen..
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]