Zusammenfassung

In Zeiten einer weltweiten Pandemie, die für viele Unternehmen zum Teil existenzbedrohende Ausmaße angenommen hat, ist es vernünftig und nötig, sich über Prioritäten im Betrieb bewusst zu sein. Den Datenschutz jedoch reflexartig als einen Bereich anzusehen, in dem man Ressourcen einsparen könnte, kann sich als gefährlicher Bumerang entpuppen. Nicht nur ist das Recht auf informationelle Selbstbestimmung ein Grundrecht, das es gerade in Krisensituationen zu verteidigen gilt und das auch von Kunden als solches wahrgenommen wird. Zu Recht erwarten sie nämlich auch in Corona-Zeiten einen angemessenen Umgang mit ihren personenbezogenen Daten. Folgerichtig ist der Datenschutz nicht aufgehoben, vielmehr kommen auf Verantwortliche durch Corona eher neue Herausforderungen hinzu, nicht zuletzt wegen der immer noch steigenden Zahl von Beschwerden und Kontrollanregungen.

Hatten wir uns bereits im Artikel „Beschäftigtendatenschutz in der Corona-Krise“ eingehender der COVID-19-Pandemie gewidmet, beschäftigen wir uns nun abermals mit Maßnahmen rund um die Eindämmung der Pandemie und gehen zunächst auf die zuletzt häufiger gestellte Frage ein, was bei einer Überprüfung der Befreiung von der Maskenpflicht datenschutzrechtlich zu beachten ist. Insbesondere wird beleuchtet, welche Konsequenzen es für die Überprüfung hat, dass für die Befreiung von der Maskenpflicht schon eine sogenannte Glaubhaftmachung ausreicht. Außerdem werden wir erläutern, warum sich Wärmebildkameras als Zutrittskontrolle in der Regel nicht datenschutzkonform gestalten lassen.

Auch unsere Warnung vor Cyberattacken steht im Zeichen von Corona, nachdem Angreifer derzeit erneut versuchen, die Situation für sich zu nutzen, und vermehrt Phishing-Versuche mit angeblichen Corona-Soforthilfen verbreiten.

Phishing-Versuche mit Corona-Soforthilfen

Seit Beginn der Corona-Pandemie sind verstärkt Phishing-Versuche mit vermeintlichen Corona-Soforthilfeanträgen im Umlauf. Das Bundeskriminalamt stufte diese Strategie Ende 2020 sogar als eine vorrangige IT-Bedrohung in der Corona-Pandemie ein. Kriminelle versuchten mit angeblichen Weihnachtsboni und Corona-Hilfen für kleine Unternehmen oder Soloselbstständige sensible Daten zu erschleichen. Hierfür wurden E-Mails versandt, die den Eindruck erwecken sollen, als stammten sie von der EU-Kommissionsvertretung. Darin werden Corona-Soforthilfen in Aussicht gestellt, für die ein Antrag ausgefüllt werden soll, der auch gleich im Anhang als PDF-Datei beigefügt wurde und der allerlei sensible Daten abgreift. Um die Authentizität der gefälschten E-Mails zu unterstreichen, wurde als Absender „deutschland@ek-europa.eu“ eingerichtet, wobei die E-Mail-Adressen der EU-Kommissionsvertretung jedoch in Wirklichkeit mit „ec.europa.eu“ enden. Falls Sie solche Nachrichten erhalten, sollten diese unter keinen Umständen geöffnet werden, da nicht klar ist, ob „nur“ Daten über die Eingabemasken abgegriffen werden oder die Anhänge nicht auch Schadcodes enthalten.

Nun warnen Landesbehörden erneut vor einer Betrugsmasche, bei der Kriminelle gefälschte E-Mails versenden und mit Formulierungen wie „Sie werden hiermit nochmals belehrt“ die Empfänger verunsichern. Insbesondere Solo-Selbstständige und Kleinstunternehmen werden aufgefordert, ggf. falsche Angaben bei der Stellung eines Antrags auf Corona-Hilfen richtigzustellen und das angefügte Formular auszufüllen. Teilweise werden die Empfänger zudem aufgefordert, bereits erhaltene Zahlungen zurückzuerstatten. Nach Recherchen des NDR wurden von den Betrügern hierfür zahlreiche Domains registriert, die denen von Behörden und Banken in 13 Bundesländern ähneln. An die offizielle Bezeichnung wurde lediglich ein „.com“ angefügt, beispielsweise „ibb.de.com“ statt „ibb.de“ für die Investitionsbank Berlin (IBB).

Datenschutz – trotz Corona eine zentrale Unternehmensaufgabe

Mit den erneut verschärften Corona-Maßnahmen, die seit dem 1. Dezember 2020 in Kraft getreten sind, und nach über einem Jahr Pandemie-Bekämpfung stellt sich auch in den Betrieben eine gewisse Corona-Müdigkeit ein. Umso verständlicher ist es, dass man bei all den Belastungen geneigt ist, Unwichtiges auf später zu verschieben und auch beim Datenschutz zu hinterfragen, ob man nicht in diesem Bereich „sparen“ könnte. Empfehlenswert ist dies keinesfalls, allein weil Kunden zu Recht erwarten, dass mit ihren personenbezogenen Informationen auch in Corona-Zeiten angemessen umgegangen wird. Außerdem berichteten wir bereits im Artikel „Beschäftigtendatenschutz in der Corona-Krise“, dass der Europäische Datenschutzausschuss (EDSA) in einer Erklärung vom 19. März 2020 betonte, dass die informationelle Selbstbestimmung ein Grundrecht ist, das es gerade auch in Krisensituationen zu verteidigen gelte. Ähnliche Aussagen finden sich auch in den Tätigkeitsberichten der deutschen Aufsichtsbehörden für das Jahr 2020. Es gibt also gute Gründe, warum der Datenschutz nicht aufgehoben ist.

Unternehmen sollten außerdem eher mit einer Zunahme von Datenschutzkontrollen rechnen, als auf Kulanz seitens der Aufsichtsbehörden zu hoffen. Zum einen wegen der nach wie vor ungebrochenen allgemeinen Zunahme von Beschwerden, die durch einen Corona-Effekt noch deutlicher steigen könnten, da insbesondere Mitarbeiter, denen gekündigt wurde, ein gewichtiger Faktor für die an die Aufsichtsbehörden übermittelten Beschwerden und Kontrollanregungen sind. Zum anderen werden auch die Corona bedingten Maßnahmen selbst überprüft. Bereits im Juni 2020 ließ beispielsweise der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in Hamburg stichprobenartig etwa 100 Friseursalons, Gaststätten und andere Betriebe auf die Einhaltung der Datenschutzauflagen überprüfen, nachdem zahlreiche Beschwerden über offen einsichtbare Gästelisten und den Missbrauch der dort erhobenen Kontaktdaten eingegangen waren. Dies führte bei etwa einem Drittel der Kontrollierten zu Beanstandungen – zu Sanktionen vorerst nicht. Als es bei Nachkontrollen vereinzelt immer noch zu Beanstandungen kam, wurden bei diesen Betrieben Bußgeldverfahren eingeleitet und in drei Fällen ein Bußgeld zwischen 50 und 100 Euro verhängt.

Befreiung von der Maskenpflicht

Betriebe mit direktem Kundenkontakt beschäftigte zuletzt zunehmend die Frage, wie im Rahmen eines Hygienekonzepts die Überprüfung der Befreiung von einer Mund-Nasen-Bedeckung – so der Terminus technicus für die Alltagsmaske – datenschutzkonform durchgeführt werden kann. Nachdem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hierzu zahlreiche Anfragen und Beschwerden erhielt, veröffentlichte es in einer Stellungnahme vom 22.10.2020 einige Richtlinien. An dieser Stelle sei darauf hingewiesen, dass sich die folgenden Ausführungen explizit auf den nicht schulischen Bereich beziehen und für den schulischen Bereich teilweise andere Regelungen gelten:

Grundsätzlich gilt, dass Personen, für die aufgrund von Behinderungen oder aus gesundheitlichen Gründen das Tragen einer Mund-Nasen-Bedeckung unzumutbar ist, von einer Trageverpflichtung befreit sind. Für eine Befreiung reicht eine sogenannte Glaubhaftmachung aus. D. h., Personen, die unter diese Ausnahmeregelung fallen, müssen die Voraussetzungen für eine Befreiung lediglich hinreichend wahrscheinlich darlegen können – z.B. mittels eines ärztlichen Attests. Überprüfende Stellen wiederum, also beispielsweise Gastwirte oder die Filialleitung, dürfen die für die Überprüfung der Befreiung erforderlichen Daten erheben. Welche Daten erhoben werden dürfen, hängt allerdings vom konkreten Einzelfall ab.

Als Glaubhaftmachung für die Befreiung von einer Mund-Nasen-Bedeckung empfiehlt das BayLDA ein ärztliches Attest ohne Diagnose, vergleichbar mit einer Arbeitsunfähigkeitsbescheinigung. Hierbei sollten Betroffene darauf achten, dass aus arztrechtlichen Gründen eine Facharztbezeichnung auf dem Attest angegeben sein muss. Bei Zweifeln, dass das Attest auf die überprüfte Person ausgestellt wurde, kann die Vorlage eines Ausweises verlangt werden. Für das Anfertigen einer Kopie des Ausweises oder des Attests hingegen fehlt es an einer Rechtsgrundlage.

In der Stellungnahme mahnte das BayLDA die überprüfenden Stellen zur Datensparsamkeit. So dürfen keine weiteren Daten erhoben werden, wenn bereits Umstände bekannt sind, die es schon als hinreichend wahrscheinlich erscheinen lassen, dass eine Befreiung oder die Voraussetzung für eine Befreiung vorliegt. In solch einem Fall wäre eine Überprüfung nicht zulässig. Eine Dokumentation der einzelnen Prüfung, die zu einer Speicherung personenbezogener Daten führt, wird ausdrücklich kritisch gesehen, da sie als nicht erforderlich bewertet wird. Zudem wird empfohlen, die Prüfungen möglichst von nur einer zuständigen Person durchführen zu lassen, die zur Verschwiegenheit verpflichtet worden sein muss.

Körpertemperaturmessung von Beschäftigten mittels Wärmebildkameras

Im Rahmen des Beschäftigtendatenschutzes in Zeiten von Corona berichteten wir ausführlich über das Dilemma der Arbeitgeber, dass sie einerseits aufgrund ihrer Fürsorgepflichten dazu verpflichtet sind, Maßnahmen zum Schutz der Beschäftigten zu ergreifen, was andererseits jedoch dazu führt, dass Gesundheitsdaten verarbeitet werden, die besonders geschützt sind, sodass an diese Verarbeitung besonders hohe Anforderungen gestellt werden.

Doch wie verhält es sich mit scheinbar minimalinvasiven Maßnahmen wie einer Zutrittskontrolle zur Arbeitsstätte mithilfe von kontaktlosen Temperaturmessungen – z.B. durch Infrarot-Fieberthermometer oder Wärmebildkameras? Solche Maßnahmen werden gerade für Flughäfen oder Behörden diskutiert und hätten auch für Unternehmen einen gewissen Reiz, zumal sie doch scheinbar einen Lösungsansatz im Sinne aller Beteiligten darstellen könnten?

Nach genauerer Betrachtung und unter Berücksichtigung des aktuellen Beschlusses der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 10.09.2020 zeigt sich, dass eine Temperaturmessung durch Wärmebildkameras in der Regel nicht erlaubt sein wird. Entscheidend sind hierfür zwei Aspekte:

Anwendbarkeit der DS-GVO?

Für die Beurteilung, welches konkrete Szenario einer Körpertemperaturmessung zulässig sein könnte, ist es nötig, sich zunächst zu vergegenwärtigen, ob bei den angestrebten Maßnahmen eine Verarbeitung von personenbezogenen Daten stattfindet, denn nicht jede Körpertemperaturmessung muss zwingend mit einer Verarbeitung solcher Daten einhergehen. Was zunächst vielleicht etwas trivial klingt, kann im Einzelfall bei der Beurteilung durchaus Schwierigkeiten bereiten. So führte die Datenschutzkonferenz (DSK) an, dass bei einer Fiebermessung der einzelnen Person ohne Protokollierung die Anwendbarkeit der DS-GVO infrage stehen kann. Diese vorsichtige Formulierung bedeutet, dass beispielsweise ein Szenario, bei dem eine kontaktlose Fiebermessung mittels eines Infrarotmessers in einer Vereinzelungsschleuse erfolgt und darauf basierend Zutritt gewährt oder nicht gewährt wird, im Sinne der DS-GVO keine Verarbeitung von personenbezogenen Daten darstellt. In solch einem Fall würde die DS-GVO also nicht greifen.

Aber wie so oft liegt der Teufel im Detail: Auch wenn über derartige Fiebermessungen noch keine personenbezogenen Daten erhoben werden, ist darauf zu achten, dass Personen nicht anderweitig identifizierbar sind, wie etwa durch das Personal, das die Messungen durchführt, Arbeitszeiterfassungsgeräte oder gar Videogeräte. Eindeutiger ist der Sachverhalt wiederum, wenn der Arbeitgeber Nachricht über das Ergebnis erhält oder darauf basierend weitere Maßnahmen getroffen werden, wie etwa die Anordnung eines Corona-Tests. In solchen Fällen würde es sich nach Art. 4 Nr. 15 DS-GVO und EG 35 DS-GVO sehr wohl um eine Verarbeitung von personenbezogenen Daten handeln. Ebenfalls eindeutig fällt die Beurteilung der Körpertemperaturerfassung mittels Wärmebildkameras aus. Hierbei handelt es sich um eine automatisierte Verarbeitung personenbezogener Daten, unabhängig davon, ob die Aufzeichnungen gespeichert werden oder ein Live-Monitoring erfolgt.

Rechtlicher Hintergrund der Verarbeitung von Gesundheitsdaten

Eine Temperaturmessung bei Beschäftigten wird also bis auf einige Ausnahmen in den meisten Szenarien als eine Verarbeitung von Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO zu bewerten sein. Allerdings ist nach der DS-GVO die Verarbeitung solcher Daten grundsätzlich erst einmal verboten, es sei denn, es gibt hierfür einen sogenannten Erlaubnistatbestand. Für die Regulierung des Zutritts durch die kontaktlose Temperaturmessung kommen hierbei mehrere Rechtsgrundlagen in Betracht, wobei wir uns an dieser Stelle nur auf die Betrachtung der relevantesten konzentrieren:

  • Kontaktlose Körpertemperaturmessungen von Beschäftigten und die damit verbundene Verarbeitung von Gesundheitsdaten ließen sich aus der Fürsorgepflicht des Arbeitgebers ableiten und als Maßnahme des Arbeitsschutzes durch Art. 88 DS-GVO in Verbindung mit § 26 Abs. 3 BDSG bzw. als Maßnahme zur Beurteilung der Arbeitsfähigkeit durch Art. 9 Abs. 2 lit. h) in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b) legitimieren.
  • Für Unternehmen und nicht öffentliche Stellen besteht darüber hinaus die Möglichkeit, eine Verarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO zu stützen, sofern es sich beim berechtigten Verarbeitungsinteresse um die Abwehr von Gefährdungen für die Belegschaft oder Kunden handelt.

So weit ließe sich eine elektronische Fiebermessung noch legitimieren, doch spätestens bei der anschließenden Überprüfung der Erforderlichkeit und Verhältnismäßigkeit sind die Maßnahmen nicht mehr mit der DS-GVO in Einklang zu bringen. Besonders problematisch und der Kernpunkt, woran die Legitimierung derartiger Maßnahmen scheitert, ist der Umstand, dass eine erhöhte Körpertemperatur nicht symptomatisch für eine SARS-CoV-2-Infektion ist, sondern diverse Gründe haben kann. Zudem entwickeln laut RKI nur etwa 41 Prozent der Infizierten Fieber-Symptome. Daher sieht das RKI aus epidemiologischer Sicht keinen Mehrwert in solchen Maßnahmen und rät davon ab. Als Konsequenz hieraus fehlt es diesen Maßnahmen an der Erforderlichkeit, da sie nicht geeignet sind, den angestrebten Zweck zu erfüllen.

Ähnlich verhält es sich mit der Überprüfung der Verhältnismäßigkeit. Alle Maßnahmen sind kritisch auf die Frage hin zu überprüfen, ob nicht mildere Mittel zur Verfügung stehen, mit denen sich das Gleiche erreichen lässt. Zwangsläufig wird man zum Ergebnis gelangen, dass die Maßnahmen eines allgemeinen Hygienekonzepts, wie etwa die Einhaltung von Mindestabständen, das Tragen einer Alltagsmaske etc. gerade auch in Hinblick auf die symptomfreien Infizierten einen besseren Schutz bieten und zugleich weniger invasiv sind als eine videogestützte Erfassung der Körpertemperatur.

Letztlich ergibt sich hieraus, dass die Körpertemperaturmessung, sei es durch Infrarot-Fieberthermometer oder Wärmebildkameras, generell nicht zulässig ist, auch wenn die DS-GVO grundsätzlich die Möglichkeit hierzu böte, da es in der derzeitigen Situation an einer Erforderlichkeit sowie Angemessenheit dieser Maßnahmen fehlt.

Digitale Kontaktnachverfolgung mithilfe von Apps

Eine weitere, nicht nur datenschutzrechtliche Herausforderung ist für viele Unternehmen zudem das Führen von Besucherlisten von Kunden, Gästen oder Veranstaltungsteilnehmern zum Zweck der Kontaktnachverfolgung. Zu Beginn der Pandemie wurden diese Listen überwiegend in Papierform geführt, mittlerweile bieten verschiedene Unternehmen auch digitale Lösungen an. Die wohl bekannteste Möglichkeit ist die „luca“-App, welche von der culture4life GmbH entwickelt wurde. Der Anbieter hat mehrere Aufsichtsbehörden gebeten, die Anwendung aus Datenschutzsicht zu prüfen, darunter waren unter anderem auch die Behörden in Baden-Württemberg und Bayern. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 26.03.2021 ebenfalls eine Stellungnahme zu der App veröffentlicht.

Die DSK begrüßt grundsätzlich eine Digitalisierung der Kontaktnachverfolgung, da dies sowohl die Arbeit der Gesundheitsämter erleichtert als auch die Umsetzung der Dokumentationspflichten für VeranstalterInnen. Bei richtiger technischer Gestaltung können die personenbezogenen Daten zudem besser vor unbefugter Einsichtnahme und Missbrauch geschützt werden als bei Papierformularen. Das gleiche gilt für Funktionen, die gesicherte Übermittlung der Daten an das Gesundheitsamt, eine fristgemäße und datenschutzkonforme Löschung sowie die Benachrichtigung der Nutzer im Falle eines Infektionsrisikos nach einer Veranstaltung gewährleisten. Dabei muss die Datenverarbeitung bei der Nutzung der App für den Anwender transparent sein, die Freiwilligkeit der Nutzung ist zu betonen und die Daten dürfen ausschließlich für die Kontaktnachverfolgung verwendet werden (strenge Zweckbindung).

Nach aktueller Einschätzung der DSK bietet die „luca“-App die genannten Vorteile und hat identifizierte Risiken teilweise behandelt. Kritisiert wird allerdings die zentrale Speicherung der gesammelten Daten, da der große Datenbestand bei unbefugter Einsichtnahme erhebliche Risiken für die Betroffenen birgt. Mithilfe der Informationen kann nachvollzogen werden, wo sich die betreffende Person wann aufgehalten hat, wobei die Anwesenheit in bestimmten Einrichtungen weitere Rückschlüsse bspw. zum Gesundheitszustand der Person zulassen kann. Das Risiko der zentralen Datenspeicherung möchte der Anbieter dadurch verringern, dass die gespeicherten Daten verschlüsselt sind. Das eingesetzte Verschlüsselungskonzept empfindet die DSK allerdings nicht als ausreichend, insbesondere da alle Gesundheitsämter die Daten mithilfe des gleichen Schlüssels entschlüsseln können. Zudem können VeranstalterInnen nur schwer prüfen, ob eine Anforderung zur Entschlüsselung legitim ist oder nicht, was die Gefahr einer unberechtigten Entschlüsselung birgt. Eine weitere Prüfung der App soll nach der angekündigten Offenlegung des Quellcodes erfolgen. Außerdem steht der Anbieter mit den Aufsichtsbehörden in Kontakt, um Nachbesserungserfordernisse umzusetzen. Grundsätzlich untersagen wollen die Behörden die Nutzung der App in Unternehmen aus diesem Grund derzeit nicht. Vielmehr wird der Einsatz trotz der noch bestehenden Bedenken befürwortet.