Verpflichtung auf das Datengeheimnis
Verpflichtung von Beschäftigten auf das Datengeheimnis
Eine Pflicht Arbeitnehmer auf die Einhaltung des Datengeheimnisses zu verpflichten kennt die Datenschutzgrundverordnung (DSGVO) nicht. Bis Mai 2018 schrieb § 5 Bundesdatenschutzgesetz (BDSG-alt) eine solche Verpflichtung zwingend vor. Es ist jedoch vermutlich dennoch fahrlässig, vollständig auf eine solche Verpflichtung zu verzichten.
Quelle: pixabay.com
Gemäß Artikel 29 DS-GVO dürfen Beschäftigte – hierbei ist es nicht relevant, ob diese Beschäftigte des Verantwortlichen oder eines Auftragsverarbeiters sind – personenbezogene Daten ausschließlich auf Weisung des Arbeitgebers verarbeiten, wenn nicht eine andere gesetzliche Regelung die Verarbeitung dieser personenbezogenen Daten vorschreibt bzw. regelt. Das Datengeheimnis steht daher nicht nur für die Wahrung eines Geheimnisses, sondern für die Verpflichtung eines jeden Beschäftigten nicht unbefugt Daten zu verarbeiten. Verantwortliche und Auftragsverarbeiter werden durch Artikel 32 Abs. 4 DS-GVO in die Pflicht genommen:
„Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
Eine explizite Verpflichtung der Arbeitnehmer auf Vertraulichkeit ist lediglich bei Auftragsverarbeitern vorgesehen (vgl. Artikel 28 Abs. 3 lit. b DS-GVO ). Inhaltlich ist es dennoch für jedes verantwortliche Unternehmen sinnvoll, seine Beschäftigten auf das Datengeheimnis zu verpflichten.
Die DS-GVO regelt nicht weiter wie eine solche Verpflichtung umgesetzt werden soll. Aus diesem Grund schließen wir uns den Empfehlungen der Aufsichtsbehörden an. Diese raten dazu, eine schriftliche Form zu wählen.
Verpflichtung von Beschäftigten auf das Datengeheimnis im KDG
Beim Kirchlichen Datenschutz (KDG) und der dazugehörigen Durchführungsverordnung (KDG-DVO) verhält sich dieser Umstand anders als bei der DS-GVO. Hier wird explizit eine Verpflichtung auf das Datengeheimnis gem. § 5 KDG i.V.m. § 2, 3 KDG-DVO gefordert. Dies gilt für alle Beschäftigten, egal ob haupt- oder ehrenamtlich oder eines Auftragsverarbeiters. Hierfür stellen die Aufsichtsbehörden verschiedene Formulierungshilfen und Mindeststandards für eine solche Erklärung sowie Arbeitshilfen zur Umsetzung zur Verfügung. Diese orientieren sich insbesondere an den Vorgaben des § 3 KDG-DVO. Grundsätzlich ist es wichtig drauf hinzuweisen, dass eine Unterscheidung der Verpflichtung für ehren- und hauptamtlich Beschäftigte durch die Aufsichtsbehörden vorgenommen wird. Dies führt dazu, dass unterschiedliche Formulierungen notwendig werden. Schlussendlich muss gemäß den Vorgaben des § 2 Abs. 5 KDG die Verpflichtung in nachweisbarer und dokumentierter Form erfolgen.
Wann ist die Verpflichtung vorzunehmen?
Idealerweise sollten Beschäftigte bei Neueinstellungen auf das Datengeheimnis verpflichtet werden. Sollten in Ihrem Unternehmen Beschäftigte bereits vor dem 25.05.2018 auf das Datengeheimnis nach § 5 BDSG-alt verpflichtet worden sein, ist es ratsam, diese durch eine Rundmail oder sonstige betriebsinterne Kommunikationskanäle auf das Thema bzw. auf die neue rechtliche Grundlage aufmerksam zu machen. Wir raten dazu, die Rundmail sowie das Datum dieser zu dokumentieren.
Muster „Verpflichtung auf das Datengeheimnis“
Aufbauend auf dem vom Bayerischen Landesamt für Datenschutzaufsicht auf seiner Website zur Verfügung gestellten Muster haben wir eine PDF aufgelegt, die alle Inhalte einer Verpflichtung zusammenfasst. Diese können Sie gerne für eine Verpflichtung in Ihrem Unternehmen nutzen. Sollten Sie weitergehenden Beratungsbedarf haben, stehen wir hierzu jederzeit zur Verfügung.
Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen
Muster „Verpflichtung auf das Datengeheimnis“ gem. § 5 KDG
Aufbauend auf der Formulierungshilfe des Katholischen Datenschutzzentrums haben wir eine eigene Vorlage aufgelegt, die alle Inhalte einer Verpflichtung sowohl für Haupt- als auch für Ehrenamtliche zusammenfasst. Sollten Sie Unterstützung bei der Formulierung einer solchen Erklärung benötigen oder Beratung benötigen welche Ehrenamtlichen innerhalb ihres Vereins oder ihrer gemeinnützigen Organisation auf das Datengeheimnis verpflichtet werden müssen, können Sie sich gerne jederzeit mit uns in Verbindung setzten.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei deren Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.