Seit Beginn der Covid-19 Pandemie stellt sich die Frage welche Maßnahmen Arbeitgeber ergreifen können um die betriebliche Tätigkeit aufrechtzuerhalten und gleichzeitig die Pandemie einzudämmen. Eine relativ einfach umzusetzende Maßnahme ist eine Einlasskontrolle mit Fiebermessung der Mitarbeiter. Da es sich hierbei aber um besondere Arten von personenbezogenen Daten (Gesundheitsdaten) handelt stellte sich die Frage nach der Rechtmäßigkeit der Temperaturmessungen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz sieht die Temperaturmessung von Mitarbeitern kritisch und stellte fest, dass eine verpflichtende Fiebermessung der Mitarbeiter als Zugangskontrolle unzulässig sei. Nach seiner Auffassung fehle es unter anderem an der Erforderlichkeit der Fiebermessung.
Zwar sei nach Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG die Verarbeitung besonderer Arten personenbezogener Daten zulässig, wenn eine Erforderlichkeit bestehe. Diese sei jedoch nicht anzunehmen, da eine erhöhte Körpertemperatur keinen automatischen Schluss auf eine Covid-19 Infektion zulasse. Umgekehrt müsse sich eine bereits bestehende Covid-Erkrankung nicht zwangsläufig durch eine erhöhte Körpertemperatur zu erkennen geben.
Damit zweifelte die Aufsichtsbehörde sogar bereits an der Geeignetheit der Körpertemperaturmessung.
Der Europäische Datenschutzbeauftragte (European Data Protection Supervisor – EDPS) hat sich ebenfalls mit diesem Thema auseinandergesetzt. Er ist der Meinung, dass Temperaturmessungen bei Mitarbeitern und Besuchern als Mittel der Covid-19 Abwehr eingesetzt werden können, wenn gewisse Vorgaben eingehalten werden. Hierzu hat er eine Orientierungshilfe herausgegeben.
So unterscheidet der Europäische Datenschutzbeauftragte zwischen Temperaturmessungen die der DSGVO unterliegen und solchen die nicht unter die DSGVO fallen.
Temperaturmessungen die manuell vorgenommen werden und bei denen anschließend keine Speicherung oder Registrierung erfolgt sind seiner Auffassung nach nicht vom europäischen Datenschutzrecht erfasst.
Verpflichtende Temperaturkontrollen sollten nicht ausschließlich auf einer automatisierten Verarbeitung ohne jegliche menschliche Beteiligung beruhen und die die Menge der aufgenommenen personenbezogenen Daten sollte minimiert werden.
Weiterhin sollten technischen und organisatorischen Maßnahmen ergriffen werden um sicherzustellen, dass angemessene Sicherheitsvorkehrungen vorhanden sind sowie spezifische Empfehlungen umgesetzt werden, damit die nötige Transparenz gegenüber den betroffenen Personen eingehalten wird.
Quellen:
https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/
