Verpflichtung auf das Datengeheimnis

Verpflichtung von Beschäftigten auf das Datengeheimnis

Eine Pflicht Arbeitnehmer auf die Einhaltung des Datengeheimnisses zu verpflichten kennt die Datenschutzgrundverordnung (DS-GVO) nicht. Bis Mai 2018 schrieb § 5 Bundesdatenschutzgesetz (BDSG-alt) eine solche Verpflichtung zwingend vor. Es ist jedoch vermutlich dennoch fahrlässig vollständig auf eine solche Verpflichtung zu verzichten.

Gemäß Artikel 29 DS-GVO  dürfen Beschäftigte – hierbei ist es nicht relevant ob diese Beschäftigte des Verantwortlichen oder eines Auftragsverarbeiters sind – personenbezogene Daten ausschließlich auf Weisung des Arbeitgebers verarbeiten wenn nicht eine andere gesetzliche Regelung die Verarbeitung dieser personenbezogenen Daten vorschreibt bzw. regelt. Das Datengeheimnis steht daher nicht nur für die Wahrung eines Geheimnisses, sondern für die Verpflichtung eines jeden Beschäftigten nicht unbefugt Daten zu verarbeiten. Verantwortliche und Auftragsverarbeiter werden durch Artikel 32 Abs. 4 DS-GVO in die Pflicht genommen:

„Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

Eine explizite Verpflichtung der Arbeitnehmer auf Vertraulichkeit ist lediglich bei Auftragsverarbeitern vorgesehen (vgl. Artikel 28 Abs. 3 lit. b DS-GVO ). Inhaltlich ist es aus dem oben beschriebenen Sachverhalt dennoch für jedes verantwortliche Unternehmen sinnvoll seine Beschäftigten auf das Datengeheimnis zu verpflichten.

Da die DS-GVO nicht weiter regelt, wie eine solche Verpflichtung umgesetzt werden soll, schließen wir uns den Empfehlungen der Aufsichtsbehörden an. Diese raten dazu, eine schriftliche Form zu wählen.

Verpflichtung von Beschäftigten auf das Datengeheimnis im KDG

Anders als die DS-GVO sieht das Gesetz über den Kirchlichen Datenschutz (KDG) und die dazugehörige Durchführungsverordnung (KDG-DVO) explizit eine Verpflichtung auf das Datengeheimnis gem. § 5 KDG i.V.m. § 2, 3 KDG-DVO für alle Beschäftigten – egal ob haupt- oder ehrenamtlich oder eines Auftragsverarbeiters – vor. Hierfür stellen die Aufsichtsbehörden verschiedene Formulierungshilfen und Mindeststandards für eine solche Erklärung, sowie Arbeitshilfen zur Umsetzung zur Verfügung. Diese orientieren sich insbesondere an den Vorgaben des § 3 KDG-DVO. Grundsätzlich ist es wichtig drauf hinzuweisen, dass eine Unterscheidung der Verpflichtung für ehren- und hauptamtlich Beschäftigte durch die Aufsichtsbehörden vorgenommen wird, was dazu führt, dass unterschiedliche Formulierungen notwendig werden. Schlussendlich muss gemäß den Vorgaben des § 2 Abs. 5 KDG ist die Verpflichtung in nachweisbarer und dokumentierter Form erfolgen.

Wann ist die Verpflichtung vorzunehmen?

Idealerweise sollten Beschäftigte bei Neueinstellungen auf das Datengeheimnis verpflichtet werden. Sollten in Ihrem Unternehmen Beschäftigte bereits vor dem 25.05.2018 auf das Datengeheimnis nach § 5 BDSG-alt verpflichtet worden sein, ist es ratsam, diese durch eine Rundmail oder sonstige betriebsinterne Kommunikationskanäle auf das Thema aufmerksam zu machen bzw. auf die neue rechtliche Grundlage. Wir raten dazu, die Rundmail sowie das Datum dieser zu dokumentieren.

Muster „Verpflichtung auf das Datengeheimnis“

Aufbauend auf dem vom Bayerischen Landesamt für Datenschutzaufsicht auf seiner Website zur Verfügung gestellten Muster haben wir eine PDF aufgelegt, die alle Inhalte einer Verpflichtung zusammenfasst. Diese können Sie gerne für eine Verpflichtung in Ihrem Unternehmen nutzen. Sollten Sie weitergehenden Beratungsbedarf haben, stehen wir hierzu jederzeit zur Verfügung.

Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen 

Muster „Verpflichtung auf das Datengeheimnis“ gem. § 5 KDG

Aufbauend auf der Formulierungshilfe des Katholischen Datenschutzzentrums haben wir eine eigene Vorlage aufgelegt, die alle Inhalte einer Verpflichtung sowohl für Haupt- als auch für Ehrenamtliche zusammenfasst. Sollten Sie Unterstützung bei der Formulierung einer solchen Erklärung benötigen oder Beratung benötigen welche Ehrenamtlichen innerhalb ihres Vereins oder ihrer gemeinnützigen Organisation auf das Datengeheimnis verpflichtet werden müssen, können Sie sich gerne jederzeit mit uns in Verbindung setzten.

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog