Dass Mitarbeiter auf das Datengeheimnis verpflichtet werden, ist mittlerweile Standard in vielen Unternehmen. Aber müssen Sie als Unternehmenslenker diese Praxis ab Geltung der DSGVO beibehalten? Wie sollten Verpflichtungserklärungen zukünftig aussehen? Und müssen Sie alle Mitarbeiter neu verpflichten? Wir erläutern Ihnen die wichtigsten Fragen zum Datengeheimnis nach der DSGVO.
Datengeheimnis und DSGVO
Weder in der DSGVO noch im neuen BDSG (gilt ebenfalls ab dem 25. Mai 2018) ist explizit geregelt, dass Unternehmen zukünftig ihre Mitarbeiter auf das Datengeheimnis verpflichten müssen. Zwar regelt § 53 BDSG-neu das Datengeheimnis, allerdings betrifft diese Norm nur die Strafverfolgung.
Dennoch bietet es sich an, Mitarbeiter weiterhin auf das Datengeheimnis zu verpflichten, denn die rechtswidrige Verarbeitung personenbezogener Daten bleibt unzulässig. Anstelle des Begriffs „Datengeheimnis“ sollte allerdings der Ausdruck „Vertraulichkeit der Daten“ genutzt werden, da dies der gesetzlichen Terminologie entspricht.
Die juristische Begründung hierfür stellt sich wie folgt dar: Personenbezogene Daten müssen auf rechtmäßige Weise (Art. 5 Abs. 1 lit. a) DSGVO) und unter Gewährleistung angemessener Sicherheit verarbeitet werden (Art. 5 Abs. 1 lit. f) DSGVO). Dies muss gemäß Art. 32 Abs. 4 und Art. 29 DSGVO auch dadurch erfolgen, dass Mitarbeiter die personenbezogenen Daten nur auf Anweisung verarbeiten. All diese Anforderungen muss ein Unternehmen im Streitfall nachweisen können (Art. 5 Abs. 2 DSGVO). Ein Mittel hierfür kann die Verpflichtung der Mitarbeiter auf die Vertraulichkeit der Daten sein.
Für Unternehmen, die Daten im Auftrag für ein anderes Unternehmen verarbeiten (z.B. IT-Dienstleister), ist die Verpflichtung auf die Vertraulichkeit der Daten besonders wichtig. Denn sie werden hierzu durch den Vertrag zur Auftragsverarbeitung verpflichtet (Art. 28 Abs. 3 UAbs. 1 Satz 2 lit. b) DSGVO).
Belehrung und Verpflichtungserklärung: Form und Zeitpunkt
Bevor Mitarbeiter die Verpflichtungserklärung unterschreiben, müssen sie über die wesentlichen Aspekte des Datenschutzes aufgeklärt werden, am Besten am ersten Arbeitstag. Das kann Ihr Datenschutzbeauftragter, ein spezialisiertes Beratungsunternehmen oder eine sonstige, mit dem Datenschutzrecht vertraute Person übernehmen. Online-Schulungen sind ebenfalls ein probates Mittel.
Hinsichtlich der Form der Verpflichtungserklärung trifft die DSGVO keine Vorgaben. Sie können diese schriftlich oder elektronisch einholen. Sie sollten aber darauf achten, dass die Erklärung Ihrer Mitarbeiter ausreichend dokumentiert ist – die Beweislast trifft im Zweifel Sie.
Bleiben die Alt-Verpflichtungen wirksam?
Diese Frage ist nicht einfach zu beantworten. Denn die Alt-Verpflichtungen betreffen die Rechtslage nach dem bisherigen BDSG. Mit der DSGVO ändern sich jedoch die Datenschutzregeln, wenn auch nicht zu 100%. Soweit die Bestimmungen der DSGVO dem bisherigen BDSG entsprechen, ist davon auszugehen, dass die Alt-Verpflichtungen ausreichen. Hinsichtlich der Änderungen ist dies hingegen nicht der Fall. Es ist deshalb ratsam, zumindest ein Datenschutz-Update an die Beschäftigten zu versenden, das die wesentlichen Neuerungen der DSGVO enthält.
Update: Mai 2018
Die Datenschutzkonferenz (DSK) äußerte sich als unabhängige Datenschutzbehörde des Bundes und der Länder kürzlich zu dieser Thematik in einem Kurzpapier und beantwortet die Frage in unserer Überschrift mit einem deutlichen „Nein“. Die DSK bestätigt insoweit die Empfehlungen und Ansichten unseres Beitrags und empfiehlt insbesondere den Kreis der zu verpflichtenden Personen (die DSGVO spricht von „unterstellten natürlichen Personen“) besonders weit auszulegen. So sind neben den angestellten Mitarbeitern auch Auszubildende, Praktikanten, Referendare, Leiharbeiter und ehrenamtliche Tätige zur Vertraulichkeit zu verpflichten. Wenn Sie ihre Belegschaft bis dato noch nicht zur Vertraulichkeit verpflichtet haben oder aber vielleicht lediglich eine „Alt-Verpflichtung“ nach dem BDSG a.F. vorliegt, empfehlen wir Ihnen sich an der Vorlage des DSK zu bedienen, welche dem Kurzpapier angehängt ist. Los geht’s!
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.
Dr. Malte Kröger