Fiebermessung durch den Arbeitgeber – ist das datenschutzkonform?

Die Corona-Pandemie hat viele Unternehmen und Organisationen unvorbereitet getroffen. Themen, die zuvor nie auf der Agenda standen, waren und sind plötzlich relevant und die Verunsicherung im Umgang damit groß. Eines der präsentesten Themen speziell in den ersten Monaten der Pandemie war dabei die Fiebermessung. Nun, da die Pandemie als solche circa ein Jahr alt ist, ist es Zeit einmal zurückzuschauen und zu bewerten, was von der allgegenwärtigen Fiebermessung an Fabrikstoren und Eingängen übriggeblieben ist und wie das Ganze in ähnlichen Fällen auch zukünftig datenschutzkonform zu handhaben wäre.
Mehrere Aspekte sind dabei zu betrachten.

Der Anwendungsbereich der DSGVO

Die DSGVO hat als Verordnung einen sachlichen und einen räumlichen Anwendungsbereich (Art. 2 u. 3 DSGVO). Ist dieser nicht eröffnet, sind wir nicht von den dort festgehaltenen Datenschutzregelungen betroffen. Wenn wir also mit Daten arbeiten, die keinerlei Personenbezug haben (auch nicht in Kombination), gibt es aus Datenschutzsicht schlichtweg keine Ansatzpunkte und Einwände. Eine Aufhebung des Personenbezugs (z.B. indem die Ergebnisse nicht aufgezeichnet werden und eine Identifizierung nicht stattfindet) kann also dazu führen, dass zumindest die Datenschutzgrundverordnung nicht greift. In den meisten Fällen wird dies aber nicht möglich sein, da z.B. Messungen am Betriebstor ggf. zu organisatorischen Konsequenzen führen – z.B. dass betreffende Mitarbeiter zum Arzt geschickt werden. Und das wiederum erfordert bereits aus arbeitsrechtlicher Perspektive eine personenbezogene Dokumentation der Gegebenheiten.
Für die meisten Organisationen wird dies also keine realistische Option darstellen, weswegen eine tiefere Betrachtung notwendig wird.

Datenschutz bei Gesundheitsdaten allgemein

Die DSGVO trifft zum Umgang mit besonderen Kategorien personenbezogener Daten separate Regelungen. Diese Datenkategorien – zu denen jegliche Gesundheitsdaten gehören – unterliegen gemäß Artikel 9 der DSGVO und §22 BDSG einem wesentlich höheren Schutzniveau als sonstige personenbezogene Daten. Folgende Möglichkeiten würden sich gesetzlich hier ggf. als Grundlage bieten, die Körpertemperatur-Daten bei einer wie auch immer gearteten Fiebermessung zu verarbeiten:

  • Art. 9 Abs. 2 lit. b DSGVO / § 22 Abs. 1 S. 1 lit. a BDSG – Fürsorgepflicht des Arbeitgebers
  • Art. 9 Abs. 2 lit. h DSGVO / § 22 Abs. 1 S. 1 lit. b BDSG – Gesundheitsvorsorge und Ermittlung der Arbeitsfähigkeit
  • Art. 9 Abs. 2 lit. i DSGVO / § 22 Abs. 1 S. 1 lit. c BDSG – öffentliches Interesse und Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren

Fürsorgepflichten des Arbeitgebers

Jeder Arbeitgeber entscheidet über die Arbeitsbedingungen vor Ort einseitig und ist damit verpflichtet, die Rechtsgüter seiner Angestellten wie zum Beispiel deren Gesundheit zu wahren. Prinzipiell sind also Maßnahmen zur Ausbreitung von gefährlichen Krankheiten durchaus rechtfertigbar, wenn eine Datenverarbeitung erforderlich ist, um den hieraus resultierenden Pflichten nachzukommen. Das heißt umgekehrt aber auch, dass Verarbeitungen, die dem Kriterium der Erforderlichkeit nicht genügen, keine Rechtsgrundlage in der Fürsorgepflicht des Arbeitgebers finden. Und weiterhin gilt trotzdem das Prinzip des „mildesten Mittels“, also des geringsten Grundrechtseingriffs zur Erreichung des Zwecks.

Gesundheitsvorsorge und Arbeitsfähigkeit

Die DSGVO und das BDSG erlauben ausdrücklich die Verarbeitung auch sensibler personenbezogener Daten zum Zweck der Gesundheitsvorsorge und zur Feststellung der Arbeitsfähigkeit. Prinzipiell könnte also eine Fiebermessung womöglich hierauf gestützt werden. Allerdings schränkt §22 BDSG hier die Möglichkeiten so weit ein, dass lediglich ärztliches Personal bzw. Geheimnisträger dazu befugt ist, diese Daten zu verarbeiten. Eine Verarbeitung durch andere Personen ist nicht zulässig. Das heißt, nicht jeder beliebige Mitarbeiter dürfte etwaige Messungen überhaupt vornehmen.

Öffentliches Interesse und Infektionsschutz

Weiterhin wäre auch aus naheliegenden Gründen Art. 9 Abs. 2 lit. i DSGVO als Verarbeitungsgrundlage denkbar, da es sich bei Corona als Pandemie ja genau um den im Artikel beschriebenen Fall einer „schwerwiegenden grenzüberschreitenden Gesundheitsgefahr“ handelt, die entsprechenden Maßnahmen und Verarbeitungen auch und speziell von Gesundheitsdaten rechtfertigt. Hier greift aber genau wie bei den Fürsorgepflichten das Kriterium der „Erforderlichkeit“ und das Prinzip des „mildesten Mittels“.
Das führt uns zu einem der entscheidenden Punkte, wenn es um die Frage geht, ob eine Fiebermessung durch einen Verantwortlichen datenschutzkonform umsetzbar ist – die „Erforderlichkeit“.

Fiebermessung und Erforderlichkeit im Kontext von Corona

Dadurch, dass bei den möglichen Rechtsgrundlagen für die Erhebung von Gesundheitsdaten auf „Erforderlichkeit“ verwiesen wird, werden die medizinischen Eigenschaften der CoVid-19 Infektion (und bei zukünftigen Anwendungsfällen auch die, anderer Erreger) ein relevantes Thema. Momentan stellt es sich laut dem offiziellen Steckbrief des RKI für CoVid-19 (Stand 09.02.2021) so dar, dass laut aktuellen Erhebungen 27% der bestätigten Infizierten Fieber aufweisen und die ersten Symptome im Mittel erst nach 5-6 Tagen auftreten. Dabei sind die Betroffenen aber bereits nach 3-5 Tagen hochinfektiös, also im Normalfall vor dem Auftreten von Symptomen und damit auch noch vor dem Auftreten von etwaigem Fieber. Von einer „Erforderlichkeit“ von Fiebermessungen kann daher nach weitverbreiteter Auffassung in diesem Fall nicht ausgegangen werden.
Eine verpflichtende Fiebermessung ist also nach aktuellem Stand der Erkenntnisse eine Placebo-Maßnahme und damit nicht datenschutzkonform.

Alternativen

Welche Optionen bestehen nun aber für Unternehmen, die sich nicht auf dieser Aussage ausruhen wollen?

Aufhebung des Personenbezuges der Messung

Da Daten ohne Personenbezug nicht den Regelungen der DSGVO unterliegen, wäre damit eine entsprechende vollkommen unpersonalisierte Messung zumindest möglich. Wenn man also den Ablauf so gestaltet und auch die Technik so wählt, dass bereits „by design“ kein Personenbezug hergestellt werden kann, gibt es zumindest eine theoretische Möglichkeit auch in diesem Falle trotz aller Argumente, die dagegensprechen, eine Fiebermessung zumindest datenschutzkonform durchzuführen. Allerdings kann es immer sein, dass andere spezifische Gesetze trotzdem noch dem Ganzen einen Strich durch die Rechnung machen und die Herstellung des Personenbezuges erzwingen – wie zum Beispiel etwaige angeordnete Maßnahmen zur Nachverfolgung der Pandemie auf der Grundlage des Infektionsschutzgesetzes.

Beibehaltung der kompletten Freiwilligkeit der Messung

Eine ausdrückliche Einwilligung gemäß Art. 9 DSGVO würde ebenfalls eine Grundlage für die Fiebermessung bieten. Hier gilt aber, dass die Freiwilligkeit nachgewiesen werden muss, da im Beschäftigungskontext die Freiwilligkeit von Einwilligungen von vornherein an Bedingungen geknüpft ist (§ 26 Abs. 2 S. 2 BDSG).

Fiebermessung ausschließlich in der Verantwortung von ärztlichem Personal

Zu Zwecken der Gesundheitsvorsorge dürfen Gesundheitsdaten verarbeitet werden, allerdings nicht vom Unternehmen selbst sondern lediglich von befugten Geheimnisträgern wie z.B. dem Betriebsarzt. Das heißt, diese würden entsprechend auch nicht weitergeleitet. Das böte aber lediglich einen Erlaubnistatbestand für die Verarbeitung der Daten. Eine Verpflichtung der Mitarbeiter, sich einer entsprechenden medizinischen Untersuchung zu unterziehen (was Fiebermessung faktisch ist), lässt sich daraus nicht ableiten.

Sensibilisierung und eigenverantwortliches Handeln der Mitarbeiter

Auf die Fiebermessung kann aufgrund ihrer prinzipiellen Ungeeignetheit auch komplett verzichtet werden, wenn stattdessen die Mitarbeiter sensibilisiert werden, bei jeglichen Anzeichen von Krankheit wie z.B. erhöhter Temperatur unverzüglich einen Arzt aufzusuchen.

Fragebögen

Für Besucher zum Beispiel kann die Messung durch einen standardisierten kurzen Fragebogen und eine Selbstauskunft ersetzt werden. Hier können zudem weitere Symptome abgefragt und andere sinnvolle Angaben gemacht werden wie i.e. der Aufenthalt in Risikogebieten oder der Kontakt zu infizierten Personen. Zumindest das Erheben dieser Informationen ist ja auch im aktuellen Fall für viele Organisationen verpflichtend gemacht worden.

Fazit

Alles in Allem ist von der anfänglichen Fiebermessungs-Euphorie oder -Panik zumindest im Falle von Corona nicht sonderlich viel übriggeblieben. Aber das Thema ist nicht endgültig vom Tisch, denn die nächste Krankheit kommt bestimmt und dann kann die Einzelfallentscheidung ganz anders aussehen. Hoffentlich lässt diese sich allerdings etwas Zeit. Eine globale Pandemiekatastrophe pro Jahrhundert reicht.

RS

Quellen

  • https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html?nn=13490888
  • https://www.datenschutzbeauftragter-info.de/coronavirus-beschaeftigtendatenschutz-was-ist-zu-beachten/
  • https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/Entschlieung_Pandemie_03_04_2020_final.pdf
  • https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html
  • https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/