Zulässigkeit und Reichweite von Präventivmaßnahmen wie Zutrittskontrollen und Kontaktdokumentation
Stand: 23.03.2020
Welche Maßnahmen dürfen Unternehmen treffen, um eigene Mitarbeiter vor einer Infektion durch das Coronavirus zu schützen und eine Betriebsschließung durch Behörden zu verhindern? Dürfen Lieferanten, Boten oder Dienstleister und Besucher vor dem Zutritt zum eigenen Gebäude zu ihrem Gesundheitszustand und etwaigen Aufenthalten in Risikogebieten befragt werden? Darf man diesen Personen bei entsprechenden Antworten den Zugang zum Gebäude verwehren und welche Folgen hat das Ganze? Das wollen wir in diesem Beitrag näher beleuchten.
Das allgemeinen Hausrecht (§§ 903, 1004 BGB) erlaubt es Unternehmen, den Zutritt zum Gebäude zu reglementieren. Dies umfasst auch das Recht, einzelnen Personen den Zutritt zu verwehren.
Verweigert man allerdings dem Mitarbeiter eines Vertragspartners oder einem Dienstleister den Zutritt, wird das Konsequenzen für die bestehenden vertraglichen Beziehungen nach sich ziehen. Können infolge des Zutrittsverbotes Dienstleistungen nicht erbracht werden oder Produkte nicht ausgeliefert werden, kann dies zulasten des Unternehmens gehen, das den Zutritt verweigert hat. Je nach vertraglicher Gestaltung, kommt in diesen Fällen ein sog. Annahmeverzug des Gläubigers in Betracht. Infolge der Zutrittsverweigerung muss das Unternehmen seinem Schuldner dann etwa dadurch entstandene Mehraufwendungen wie die Kosten einer zweiten Anlieferung ersetzen (§ 304 BGB) oder auch für einen Untergang der Sache haften. Gleichzeitig müssen Unternehmen Leistungen nicht annehmen, wenn dies für sie unzumutbar ist. Das mag der Fall sein, wenn die anbietende Person offensichtliche Symptome des Coronavirus zeigt und bekannt ist, dass sich diese Person in der Vergangenheit in einem Risikogebiet aufgehalten hat. Die Verweigerung des Zutritts kann daher nachteilige zivilrechtliche Folgen für Auftraggeber und Auftragnehmer haben und alle daraus erwachsenden Rechtsfragen sollten schon aus diesem Grund sorgsam geprüft werden. Unternehmen auf beiden Seiten tun daher gut dran, die Risiken vorab abzuwägen und es nicht zu einer Konfrontation am Werkstor kommen zu lassen.
Durch die Abfrage von Informationen im Rahmen der Zutrittskontrolle tritt eine weitere wesentliche rechtliche Schranke hinzu: das Datenschutzrecht. Will ein Unternehmen von externen Besuchern Informationen erhalten, wo sich diese in den letzten Wochen aufgehalten haben und ob sie bestimmte Krankheitssymptome aufweisen, so werden damit personenbezogene Daten erhoben. Geschieht dies rechtswidrig, drohen auch aufsichtsbehördliche Sanktionen und im schlimmsten Fall hohe Bußgelder. Die Beachtung der datenschutzrechtlichen Grenzen ist daher von mindestens ebenso gewichtiger Bedeutung. Hierbei gilt:
- Das Datenschutzrecht ist dann anwendbar, wenn die personenbezogenen Daten automatisiert erhoben werden, also z.B. über ein an der Pforte angebrachtes Tablet. Wenn diese Daten nicht-automatisiert erhoben werden, also etwa über handschriftlich zu beantwortende „Ausfüllzettel“, ist das Datenschutzrecht nur dann anwendbar, wenn die ausgefüllten Zettel im Nachgang systematisch gespeichert werden sollen, z.B. alphabetisch oder chronologisch in Ordnern. Im Umkehrschluss bedeutet dies: Fragen Sie handschriftlich am Eingang Informationen ab und vernichten die Zettel im Nachgang sofort, spricht viel dafür, dass der Anwendungsbereich des Datenschutzrechts nicht eröffnet ist und ohne Berücksichtigung der nachfolgenden Ausführungen kein Bußgeld droht.
- Ist das Datenschutzrecht anwendbar, dürfen Informationen von den Besuchern nur erhoben werden, wenn und soweit dafür eine Erlaubnisgrundlage zur Verfügung steht.
Denkbar ist dies zunächst mit einer wirksamen Einwilligung der Betroffenen. Wirksam ist eine solche Einwilligung aber nur dann, wenn sie freiwillig und informiert erfolgt. Die Freiwilligkeit dürfte hier oftmals eine kaum überwindbare Hürde darstellen, wenn sich etwa Arbeitnehmer „gezwungen sehen“, zu antworten, um ihre Arbeit ordnungsgemäß zu erbringen und keine Nachteile zu erleiden. Wenn eine nachweislich freiwillige Situation geschaffen werden kann, ist das Nachfragen auch datenschutz- und zivilrechtlich erlaubt. Das erfordert eine sorgsame Gestaltung und eine gute und sensible Kommunikation. Verweigert ein Betroffener die Antworten, darf ihm bei dieser Gestaltung nicht deshalb der Zutritt verwehrt werden.
Im Ausgangspunkt sind die Gesundheit einer jeden Person und auch etwaige Fragen darüber von dem Allgemeinen Persönlichkeitsrecht umfasst. Ein Betroffener darf selbst entscheiden, ob und wie viel er in diesem Zusammenhang mit anderen Personen teilt. Die Gesundheit ist etwas Höchstpersönliches und damit der eigenen Intimsphäre zuzuordnen. Wird eine Person zu ihrem Gesundheitszustand gefragt, muss sie deswegen auf eine solche Frage nicht antworten. Insbesondere besteht auch keine Aufklärungspflicht zwischen Vertragsparteien, sobald bei einer Partei bzw. ihren Mitarbeitern das Allgemeine Persönlichkeitsrecht betroffen ist.
Ob jenseits einer freiwilligen Einwilligungslösung auch andere gesetzliche Erlaubnisgründe die Datenverarbeitung tragen könnten, ist diskutabel. Dies gilt insbesondere für die Abfrage von Gesundheitsdaten wie die Frage nach erhöhter Temperatur, Fieber oder Atemnot. Eine Solche ist nur unter den engen Voraussetzungen der Art. 9 DSGVO, § 22 BDSG zulässig. Eine Rechtfertigung wegen einer Meldepflicht scheidet dabei bei fast allen Unternehmen aus – namentlich meldepflichtig sind nach dem Infektionsschutzgesetz, vereinfacht zusammengefasst, nur Angehörige von Gesundheitsberufen und Gemeinschaftseinrichtungen wie Kindertagesstätten. Eine Erfassung aus Gründen der öffentlichen Gesundheit und Vermeidung einer weiteren Verbreitung schließlich dürfte unter den aktuellen Gegebenheiten zunehmend zu bejahen sein. Dazu haben sich die Datenschutzaufsichtsbehörden kürzlich wie folgt geäußert: „Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.“ (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html)
Abfragen nach vergangenen Reisen dagegen könnten noch als allgemeine personenbezogene Daten und nicht als Gesundheitsdaten einzuordnen sein. Diese können dann unter erleichterten Voraussetzungen gem. Art. 6 DSGVO erhoben werden. Hier könnte je nach Gegebenheiten im Einzelfall eher diskutiert werden, ob aus überwiegenden berechtigten Unternehmensinteressen heraus eine auch namentliche Erhebung und Speicherung zulässig ist, wenn bei später notwendigen Betriebsschließungen etwa Schadensersatzansprüche gegen das verursachende Unternehmen geprüft werden sollen. Ganz abstrakt dürfen derartige Schadensersatzansprüche aber nicht sein; dann würden auch sie keine Datenverarbeitung erlauben.
Insgesamt sind daher Unternehmen gut beraten, bei Zutrittskontrollen auf ein möglichst hohes Maß an Freiwilligkeit zu setzen und einen Ausschluss von Personen zu vollziehen, wenn deutliche Umstände für eine konkrete Gefahr sprechen und die vertraglichen Haftungs- und Folgerisiken als gering einzustufen sind.
