Mit der Wärmebildkamera am Eingangsgebäude oder am Werkstor soll eine automatisierte Temperaturmessung bei allen Personen – Bediensteten und Besuchern – erfolgen, die das Gelände oder Gebäude betreten. Auch wenn bei der automatisierten Messung noch keine weiteren Daten wie der Name oder sonstige Kontaktdaten der betroffenen Person erhoben werden und auch keine Daten gespeichert werden, kann trotzdem ein Rückschluss auf eine konkrete natürliche Person erfolgen. Schließlich würden Personen vom Security-Dienst angesprochen und am Betreten des Gebäudes gehindert. Daraus folgt: Die persönliche Körpertemperatur ist ein Gesundheitsdatum und ganz sicher ein Datum aus der Kategorie besonderer personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Besondere personenbezogene Daten erfordern eine Legitimation. Gibt es diese?
Zwei Gruppen müssen getrennt voneinander betrachtet werden: A) Bedienstete und B) Besucher des Unternehmens.
- A) Bei Beschäftigten ist in § 26 Abs. 3 Satz 1 BDSG („Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses“) keine Legitimation zu finden, weil in jedem Einzelfall eine Interessenabwägung vorzunehmen ist, um die schutzwürdigen Interessen der jeweiligen betroffenen Personen zu berücksichtigen. Es müsste also für jeden einzelnen Beschäftigten abgewogen werden, ob in seinem speziellen Fall die Temperaturmessung verhältnismäßig ist.
- B) Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 BDSG („Verarbeitung besonderer Kategorien personenbezogener Daten“) könnte eine Ausnahme bei anderen Personen als Beschäftigten begründen. Der Schutz der öffentlichen Gesundheit könnte dies sein, zumal die WHO bereits Anfang März das Coronavirus als Pandemie klassifiziert hat. Aber ist darüber hinaus anzunehmen, dass die Erhebung der Körpertemperatur ein geeignetes Mittel zur Eindämmung der Pandemie ist? Klares Nein. Schließlich können auch andere Krankheiten mit einer erhöhten Körpertemperatur einhergehen. Theoretisch möglich, aber praktisch kaum umsetzbar, wäre das Einholen einer Einwilligung.