Sie befinden sich hier:

Verpflichtung auf das Datengeheimnis

Die bisherigen Datenschutzgesetze (ob Bundesdatenschutzgesetz oder Landesdatenschutzgesetze) sahen jeweils eine „Verpflichtung auf das Datengeheimnis“ vor. Diese Verpflichtung ist weder in der DSGVO noch im neuen BDSG explizit aufgenommen. Trotzdem macht es Sinn, weiterhin eine entsprechende Verpflichtung der Mitarbeiter vorzunehmen.

Den bei der Datenverarbeitung beschäftigten Personen war und ist es bisher gemäß § 5 BDSG untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Ähnliche Verpflichtungen sehen die noch gültigen Landesdatenschutzgesetze vor.

Eine vergleichbare eindeutige Regelung ist in der DSGVO nicht zu finden. Auch das neue BDSG sieht diese Verpflichtung nicht vor. Trotzdem macht eine entsprechende Verpflichtung weiterhin Sinn, auch wenn die Mitarbeiter natürlich auch ohne einen entsprechenden Gesetzestext zur Verschwiegenheit und zur Beachtung der Regelungen der Datenschutzgesetze verpflichtet sind. So wird dem Mitarbeiter im Rahmen einer Verpflichtung auf das Datengeheimnis eindringlich verdeutlicht, dass er selbst in der Verantwortung steht, das Datengeheimnis zu wahren und personenbezogene Daten vertraulich zu behandeln.

Außerdem ist der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung des Datenschutzes in seinem Unternehmen verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Im Rahmen dieser Rechenschaftsplicht macht es durchaus Sinn, seine Mitarbeiter schriftlich auf die Einhaltung des Datengeheimnisses zu verpflichten.

Das Datengeheimnis stellt zudem sicher, dass dem Verantwortlichen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind gesetzlich dazu verpflichtet.

Diese weisungsgebundene Verarbeitung wird auch im Art. 29 DSGVO deutlich, der festlegt, dass Personen, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Im Rahmen einer Verpflichtung auf das Datengeheimnis können die Mitarbeiter auf diese gesetzlichen Vorschriften und auf die Risiken, die ihnen bei etwaigen Datenschutzverstößen drohen, hingewiesen werden.

Muster einer Verpflichtungserklärung

Ein Muster einer Verpflichtungserklärung enthält die GDD-Praxishilfe DS-GVO XI „Verpflichtung auf die Vertraulichkeit“ – abrufbar im Internet unter https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo. Bei der GDD handelt es sich um die „Gesellschaft für Datenschutz und Datensicherheit e.V.“, die es sich zur Aufgabe gestellt hat, „das Berufsbild des Datenschutzbeauftragten weiterzuentwickeln und die Fachkunde der Datenschutzbeauftragten zu fördern“.

nach oben