Datenschutz verstehen – Verpflichtung auf das Datengeheimnis
Achtung: Die bisher bekannte Bezeichnung “Verpflichtung auf das Datengeheimnis” (§ 53 BDSG-neu) kann auch durch die Bezeichnung Verpflichtung auf die Vertraulichkeit (Art. 32 DSGVO) erwirkt werden.
Die Verpflichtungserklärung auf das Datengeheimnis ist ein wichtiger Bestandteil des Onboarding-Prozesses bei neuen Mitarbeitern. Verantwortliche müssen sicherstellen, dass Mitarbeiter, die in Berührung mit personenbezogenen Daten kommen, auf das Datengeheimnis verpflichtet werden, um die gesetzlichen datenschutzrechtlichen Vorgaben zu erfüllen. Zu beachten ist in diesem Zusammenhang, dass die richtigen Rechtsvorschriften in der Verpflichtungserklärung auf das Datengeheimnis angegeben werden sollten. Darüber hinaus gibt es weitere Aspekte, die Verantwortliche im Rahmen der Verpflichtung auf das Datengeheimnis beachten müssen. In unserem Blogbeitrag erfahren Sie weitere Einzelheiten und eine Mustervorlage für Verpflichtung auf das Datengeheimnis von Mitarbeitern.
Datengeheimnis und Nachweispflichten nach der DSGVO
Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind auf das sog. Datengeheimnis zu verpflichten. Danach haben Mitarbeiter Verschwiegenheit über die ihnen bei der Datenverarbeitung bekannt gewordenen personenbezogenen Daten zu wahren. Der Arbeitgeber erfüllt diese Verpflichtung den Mitarbeitern gegenüber zweckmäßigerweise schriftlich, um der Nachweispflicht aus der DSGVO (vgl. Art. 5 Abs. 2 DSGVO) nachkommen zu können. In diesem Zusammenhang sind die Mitarbeiter entsprechend zu unterweisen. Zu verpflichten sind alle Mitarbeiter, die personenbezogene Daten – auch nur als Teil ihrer Arbeit – in automatisierten Verfahren oder in oder aus nicht automatisierten Dateien verarbeiten. Die Pflicht, Mitarbeiter auf das Datengeheimnis zu verpflichten, lässt sich aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO ableiten. Gleichzeitig kann auch auf § 53 BDSG-neu verwiesen, der allerdings nur nach dem Rechtsgedanken, nicht aber unmittelbar angewendet werden kann.
Verweis auf einschlägige Rechtsvorschriften nach der DSGVO und BDSG-neu
Um Mitarbeitern die Möglichkeit zu geben, die jeweils geltenden Rechtsvorschriften nachschlagen zu können, sind die maßgeblichen Vorschriften der Verpflichtungserklärung auf das Datengeheimnis beizufügen. Hierzu gehören neben Vorschriften aus der europäischen Datenschutz-Grundverordnung auch Vorschriften aus dem neuen Bundesdatenschutzgesetz, vgl. Art. 32 Abs. 1 lit. b) 2. Var. DSGVO, § 53 BDSG-neu. Aufgrund der strafrechtlichen Folgen für Personen bei Verstößen gegen § 42 BDSG-neu sollte diese Vorschrift ebenfalls erwähnt werden. Im Anhang zu der Verpflichtungserklärung sollten diese Vorschriften abgedruckt werden, damit die zu verpflichtenden Mitarbeiter auch die Möglichkeit haben, die einschlägigen Rechtsvorschriften nachzuschlagen.
Wer muss auf das Datengeheimnis verpflichtet werden?
Es empfiehlt sich in der Praxis, den Kreis der Personen, die zu schulen und zu verpflichten sind, nicht zu eng zu ziehen. Einzubeziehen in den Kreis der zu Verpflichtenden sind z.B. auch Teilzeitkräfte, Auszubildende, Werkstudenten, Aushilfskräfte, Praktikanten oder geringfügig Beschäftigte. Da eine Verpflichtung das Wissen um ihren Gegenstand voraussetzt, ist sie regelmäßig zusammen mit einer Unterweisung abzunehmen. Hierzu werden den Mitarbeitern regelmäßig auf die Unternehmenssituation bezogene Merkblätter zum Datenschutz zusammen mit der Verschwiegenheitserklärung übergeben.
Muster Verpflichtung auf die Vertraulichkeit und Fernmeldegeheimnis
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.