Apple hat Ärger mit den Datenschützern: Wie die FAZ berichtet, prüft die Hessische Datenschutzaufsicht derzeit die seit Kurzem in den Apple-Ladengeschäften praktizierte Fiebermessung bei Kunden. Die Hessische Behörde ist wohl der (vorläufigen) Meinung, dies verstoße gegen die DSGVO.

Mitarbeiter in den Apple-Stores sind vor dem Hintergrund der Corona-Pandemie offenbar angehalten, mit Infrarot-Thermometern die Körpertemperatur der Kunden zu messen. Es ist davon auszugehen, dass Kunden mit erhöhten Werten oder Fieber der Zutritt zum Geschäft zum Schutz von anderen Kunden und Mitarbeitern verweigert wird.

Datenschutz vs. Pandemieschutz

Zweifellos ist es die Aufgabe der Datenschutzbehörden, auf die Einhaltung des Datenschutzes hinzuwirken. Dies gilt grundsätzlich (natürlich) auch in Zeiten der Corona-Pandemie. Gleichwohl stellt sich – wie bei allen getroffenen Maßnahmen – die Frage der Gewichtung. Insoweit sortiert sich der Ansatz der Datenschutzbehörde nahtlos in die derzeitige Diskussion um das Spannungsfeld zwischen Freiheitsrechten und Gesundheitsschutz ein.

Rechtlicher Blick

Doch wie ist die Praxis von Apple vor dem Hintergrund des geltenden Rechts tatsächlich einzuordnen? Immerhin sind Temperaturmessungen – z. B. an Flughäfen – keineswegs unüblich.

Anwendbarkeit der DSGVO?

Auf den ersten Blick überraschend mag die Frage anmuten, ob die DSGVO überhaupt anwendbar ist. Gemäß Art. 2 Abs. 1 DSGVO gilt diese jedoch nur

„für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."

Stellt die Messung mit einem Fieberthermometer eine solche automatisierte Verarbeitung personenbezogener Daten dar, oder werden die Dateien in einem Dateisystem gespeichert (bzw. ist dies beabsichtigt)? Erstaunlicherweise definiert die DSGVO nicht, was unter einer automatisierten Verarbeitung zu verstehen ist. Jedenfalls nicht automatisiert sind Vorgänge, die ohne Zuhilfenahme eines informationstechnischen Systems stattfinden. Soweit die Kontrolle also – bei einem Technologiekonzern wie Apple allerdings wenig wahrscheinlich – mit dem guten, alten Quecksilberthermometer stattfindet und die Ergebnisse nachfolgend nicht aufgezeichnet werden, wäre die DSGVO nicht anwendbar.

Allerdings dürfte man auch bei Verwendung eines Digitalthermometers zum gleichen Ergebnis kommen. Zwar handelt es sich bei solchen Thermometern um (wenn auch unterkomplexe) IT-Systeme. Indes speichern diese Thermometer üblicherweise keine Messdaten, sondern zeigen diese lediglich für einen kurzen Augenblick an. Spätestens bei der Folgemessung ist der Wert der vorhergehenden Messung verworfen. Insoweit bestehen gewisse Parallelen zur Live-Übertragung eines Videobildes oder eines Audiosignals, bei denen – soweit keine Zwischenspeicherung erfolgt – nach herrschender Auffassung keine automatisierte Verarbeitung vorliegt.

Rechtfertigung der Verarbeitung

Wenn man gleichwohl eine Anwendbarkeit der DSGVO annehmen wollte, stellt sich die Frage nach der Rechtfertigung der Erhebung. Dabei ist zu differenzieren zwischen „normalen“ personenbezogenen Daten, bei denen sich die Legitimation aus Art. 6 DSGVO ergeben kann, und „Gesundheitsdaten“, die nur unter den Voraussetzungen von Art. 9 DSGVO verarbeitet werden dürfen.

Gesundheitsdaten sind nach der Definition in Art. 4 Nr. 15 DSGVO solche personenbezogenen Daten,

"die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen."

Da es hier um die Identifizierung von potentiell erkrankten Menschen geht, dürfte eine Einordnung als Gesundheitsdatum naheliegen, auch wenn – bezogen auf die nicht auffälligen Personen – letztlich aus einer Körpertemperatur im „Normalbereich“ keine Rückschlüsse auf den Gesundheitszustand gezogen werden können.

Einwilligung

Unabhängig davon, unter welchen Begriff man die erhobenen Daten fasst, dürfte die Messung auf freiwilliger Basis erfolgen, so dass sich die Frage nach einer Einwilligung aufdrängt. Eine Einwilligung könnte sowohl die Erfassung gewöhnlicher personenbezogener Daten als auch die Erfassung von Gesundheitsdaten rechtfertigen.

Es ist nicht klar, wie Apple die Messung durchführt. Im Hinblick auf die zur Wirksamkeit der Einwilligung notwendige Informiertheit dürfte es zweckmäßig sein, vor der Messung eine – im Zweifelsfall schriftliche – Information per „Merkblatt“ auszuhändigen. Unabhängig davon ist eine datenschutzrechtliche Information gemäß Art. 13 DSGVO erforderlich, sodass sich eine solche Dokumentation ohnehin nicht vermeiden lassen wird.

Alternative Rechtsgrundlagen

Weiter wäre an Art. 9 Abs. 2 lit. c DSGVO zu denken. Demnach kann eine Verarbeitung von Gesundheitsdaten zulässig sein, wenn diese zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. Letzteres dürfte bei den Ladenbesuchern kaum der Fall sein, so dass die Berufung auf lit. c ersichtlich ausscheidet.

Darüber hinaus kommt Art. 9 Abs. 2 lit. i DSGVO in Betracht. Dieser erlaubt jedoch zwar eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, jedoch nur auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaates. Eine solche Grundlage existiert jedoch nicht, da weder das Unionsrecht noch das deutsche Recht die Messung der Körpertemperatur in Ladengeschäften anordnen oder auch nur explizit regeln.

Schließlich bliebe Art. 9 Abs. 2 lit. f DSGVO zu betrachten: Dieser erlaubt die Verarbeitung, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Hier ist insbesondere daran zu denken, dass Apple aufgrund der Vertragsbeziehung zu den eigenen Beschäftigten und der vertraglichen Nähebeziehung zu anderen Kunden gewisse Fürsorge- und Rücksichtnahmepflichten treffen, die eine Temperaturmessung erforderlich machen könnte. Wenngleich eine solche Messung allein kaum geeignet ist, weil infolge der langen Inkubationszeit ein unauffälliges Messergebnis keineswegs bedeutet, dass der Betroffene gesund ist, dürfte doch eine auffällig hohe Körpertemperatur ein hinreichend starkes Indiz sein, dem Kunden den Zutritt zu verweigern. Insoweit erschiene die Messung daher möglicherweise selbst dann rechtmäßig, wenn die Einwilligung – aus welchem Grund auch immer – als solche scheitern sollte.