Darf der Arbeitgeber das Fieber seiner Angestellten messen oder steht dem das Datenschutzrecht entgegen? Einlass nur mit Fiebermessung? Und auf welcher Rechtsgrundlage kann diese Datenverarbeitung gestützt werden?

Derartige Überschriften sind spätestens seit der Corona-Pandemie ab März dieses Jahres hierzulande viel zu lesen gewesen und sorgten insgesamt für viel Diskussionsstoff. Mittlerweile gibt es hierzu auch Empfehlungen von den deutschen Aufsichtsbehörden (so z.B. die FAQ vom LfDI NRW).

Der europäischen Datenschutzbeauftragte (EDSB) als eigenständige Datenschutzbehörde der EU veröffentlichte vor wenigen Tagen ein englischsprachiges Papier zur datenschutzrechtlichen Bewertung der Messung der Körpertemperatur im Kontext der Covid-19 Krise, die jedoch nur für Organe und Stellen der EU gilt (!).

Hierbei wenden die Datenschützer einen diskussionswürdigen „Kniff“ an und kommen zum Ergebnis:

„1. „Basic body temperature checks” designed to measure body temperature only, operated manually and not followed by registration, documentation or other processing of an individual’s personal data. Such checks would, in principle, not be subject to the scope of the Regulation.

2. Other systems of temperature checks, operated manually and followed by registration, documentation or other processing of an individual’s personal data, or systems operated automatically with advanced temperature measurement devices. Such checks would in general fall under the scope of the Regulation.“

Mit anderen Worten: Es wurde festgestellt, dass die manuell durchgeführte einfache/grundlegende Kontrolle der Körpertemperatur nicht in den Anwendungsbereich der Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union [..]“ fällt und somit konsequenterweise auch nicht die datenschutzrechtlichen Anforderungen zu wahren sind.
Daran anknüpfende Vorgänge (wie die Registrierung oder Dokumentation) sowie die automatische (moderne) Temperaturmessung durch entsprechende Systeme fallen hingegen grundsätzlich in den Anwendungsbereich dieser Verordnung.

Ein wichtiger Hinweis: Die hier erwähnte Verordnung ist jedoch zunächst nicht mit der DSGVO gleichzusetzen, sondern ist spezieller für die Institutionen der EU erschaffen worden. Gleichwohl sind die Begrifflichkeiten im Wesentlichen identisch, so unter anderem auch der Begriff der „Verarbeitung“.

Definition der Verarbeitung (nach der DSGVO)

Die unterschiedliche Bewertung der Fiebermessung durch den EDSB resultiert unter anderem aus der rechtsdogmatischen Problematik der Definition des Begriffs der „Verarbeitung“ im Sinne der DSGVO. Denn nur eine solche Verarbeitung unterliegt den Bestimmungen der Verordnung.

Die Definition (in Art. 4 Ziffer 2 DSGVO) hierzu lautet: „”Verarbeitung” jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Gemeint sind damit nahezu alle Vorgänge vom ersten zeitlichen Moment der „Erhebung“ einer Information bis hin zur „Vernichtung“. Letzteres ist in jedem Fall absolut und macht deutlich, dass ein personenbezogenes Datum vor jedweder Form der Zerstörung/Unkenntlichmachung geschützt wird. Schließlich wird auch die „Verwendung“ als Bestandteil der Verarbeitung genannt, womit auch das Nutzen der personenbezogenen Daten gemeint ist.

Aber nach Ansicht des Europäischen Datenschutzbeauftragten findet sich die bloße, manuelle Körpertemperaturmessung mit Darstellung der gemessenen Temperatur ohne Aufzeichnung nicht in diesen beispielhaft genannten Vorgängen aus der Definition und ist daher losgelöst von der Verordnung zu betrachten. So würde der Officer am Eingang nur mit seinen Augen die Werte vom Messgerät ablesen.

Also bräuchte es für diese manuell durchgeführte Körpertemperaturmessung der Personen keine Rechtsgrundlage und müssten diese Erkenntnisse auch nicht entsprechend durch die Datenschutzbestimmungen geschützt werden. Erst ab dem Moment der Aufzeichnung würden automatisierte Daten, die Teil eines Ablagesystems sind bzw. hierzu bestimmt sind, vorliegen und in den Anwendungsbereich der Norm fallen: „However, under those specific circumstances, such measures do, in principle, not fall under the material scope of the Regulation as defined under Article 2(5): the EDPS considers that such basic body temperature checks do not involve a processing of personal data wholly or partly by automated means, and that in the absence of any registration of the temperature, such measurements cannot be considered as a processing other than by automated means of personal data forming part of a filing system or are intended to form part of a filing system.“ (S. 5 der Orientierungshilfe vom EDSB).

(Bewusste) Regelungslücke im Datenschutz?

Es tritt eine gewisse Regelungslücke im Datenschutzrecht zutage. Denn die darin genannten Vorgänge wie beispielsweise das „Ordnen“, die „Speicherung“, das „Auslesen“ oder das „Abfragen“ werden häufig – zu Unrecht nach der hier vertretenen Ansicht – im Kontext mechanischer (elektronischer?) Prozesse verstanden, die unmittelbar die personenbezogenen oder personenbeziehbaren Daten aufgreifen. Dabei soll es nach einzelnen Stimmen der Datenschützer jedoch vielmehr um eine Ausführung (englisch: „operation on personal data“) mit unmittelbaren Bezug der Daten gehen, die auf eine menschliche Handlung zurückgeht (Vgl. Kühling/Buchner, DS-GVO, Art. 4. Nr. 2, Rn. 14), ohne dass es auf ein automatisiertes Verfahren ankommt. Dies wird dadurch noch bestärkt, dass die DSGVO ausweislich des Erwägungsgrundes 15 „technikneutral“ sein soll und auch keine zeitliche Komponente der Mindestdauer der Verarbeitung (Zu erkennen auch an den Begriffen wie „Speicherung“, „Nutzung“ etc.) aufweist.

Jedoch heißt es ebenso an dieser Stelle: „Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.“ (Erwägungsgrund 15 S. 2 und S. 3).

Die Verarbeitung lässt sich zumeist durch eine „Zustandsänderung“ der Daten beweisen (Vgl. Arning/Rothkegel, in: Taeger/Gabel, DSGVO BDSG, 3. Auflage 2019, Art. 4 Rn. 62), was von einer physischen Komponente der Daten getragen und von den reinen „Gedanken im Kopf“ abzugrenzen ist. Denn bloße Gedanken oder das Aussprechen eines Wortes stellen keine Datenverarbeitung nach der DSGVO dar. Und das ist auch gut so.

Das schriftliche Führen und Sortieren von Listen mit Namen und Kontaktdaten von Personen jedoch sollte dem Sinn und Zweck nach bereits als Verarbeitung gelten (auch wenn dies Gerichte z.B. schon bei den „Corona-Listen“ anders gesehen haben). Vorausgesetzt: Es liegt eine systematische Ablage (Speicherung) vor.

Es lässt sich feststellen, dass der Begriff der Verarbeitung und somit die Einordnung von Vorgängen unter der DSGVO sehr weit zu verstehen ist, jedoch weiterhin eine gewisse Schwelle vorsieht, unterhalb der bestimmte menschliche Handlungen erfolgen können, die „noch nicht“ in das Datenschutzrecht Einzug finden – und somit mehr oder wenig frei von der DSGVO stattfinden können.

Dies mag umgangssprachlich als „Pragmatismus“ oder „Realitätsnähe“ bezeichnet werden, kann aber auch ebenso gut als Mangel gesehen werden. Immerhin würden derartige Vorgänge das Datenschutzrecht unterlaufen, auch wenn sie de facto eine menschliche und ebenso mechanische Handlung besitzen, wie es auch bei der Fiebermessung mit einem altmodischen Thermometer mit „Quecksilber“ anzusehen ist. Auch hier findet eine Darstellung eines Wertes (Körpertemperatur), sei es auf einem digitalen Display oder sei es physikalisch durch entsprechende Quecksilberveränderung statt.  Immerhin lässt sich hieraus eine Information zur Person, sogar zur noch besonders schutzwürdigen Gesundheit der Person, gewinnen und auch nach Maßstäben der Natur abbilden/darstellen, ohne sie zu speichern und ohne unmittelbar direkt personenbezogene Daten zu berühren. Ob diese mechanische/physikalische oder digitale Darstellung der Körpertemperatur des Menschen durch eine andere, handelnden Person nun erst dann den Datenschutzrecht unterfällt, wenn die gemessenen Werte auf einem Papier abgeschrieben und in einem Ordner systematisch abgeheftet werden (Dokumentation, Aufbewahrung), lässt sich sicherlich diskutieren. In einem anderen Bereich, dem Patientengeheimnis, würde hier schon die Information („die Person hat Fieber“) ausreichend sein, um den rechtlichen Schutzumfang zu genießen.

Fazit

Im konkreten Fall erscheint die Differenzierung etwas unverständlich. Es lässt sich gut vertreten, dass die analoge Messung der Körpertemperaturen aus dem Anwendungsbereich der DSGVO (und hier: Der Datenschutzverordnung der EU-Institutionen) fällt, jedoch daran anschließende Dokumentations- und Verarbeitungsvorgänge gleichwohl und auch erst dann das Datenschutzrecht eröffnen. Allerdings besteht hier die Gefahr, dass eine Regelungslücke bewusst ausgenutzt und das Datenschutzrecht umgangen wird. Wird hingegen einem Besucher nur der Zugang zum Museum verwehrt und hat dieser noch gar kein Ticket gekauft, wären die Folgen eher gering. Würde ein solcher Test bei Angestellten vorgenommen werden und könnten diese dann nicht zur Arbeit erscheinen bzw. müssten sich krankmelden, wäre der Vorgang unter Umständen anders zu beurteilen.