ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Verpflichtung auf die Vertraulichkeit nach der DS-GVO

/von

Nach § 5 BDSG hatten die Unternehmen ihre Beschäftigten schriftlich auf das Datengeheimnis zu verpflichten. In den meisten Unternehmen war diese Forderung umgesetzt und entsprechende Verpflichtungserklärungen wurden in der Regel mit oder kurz nach Unterzeichnung des Arbeitsvertrags ebenfalls abgegeben. Die DS-GVO schreibt eine solche Verpflichtung nicht mehr explizit vor. Aufgrund der sich aus der DS-GVO ergebenden Nachweis- und Rechenschaftspflichten liegt es jedoch nahe, dass auch künftig derartige Erklärungen sinnvoll sein können. Bereits in einem früheren Artikel hatten wir daher die Beibehaltung der Verpflichtung auf das Datengeheimnis empfohlen. Erste zwischenzeitlich erschienene Kommentare zur DS-GVO sowie Veröffentlichungen der Aufsichtsbehörden oder Datenschutzverbänden lassen den Schluss zu, dass derartige Verpflichtungen auch weiterhin obligatorisch sind.

Rechenschaftspflicht der DS-GVO

Über die Rechenschaftspflicht hatten wir bereits ausführlich hier berichtet. Letztlich geht es darum, dass die Unternehmen nachweisen müssen, dass sie wirksame Maßnahmen getroffen haben, um die Anforderungen der DS-GVO umzusetzen. Da ein Unternehmen nur dann alle Vorgaben der DS-GVO erfüllen kann, wenn alle Mitarbeiter entsprechend geschult und sensibilisiert sind, wird deutlich, dass derartige Weiterbildungen ein zentraler Bestandteil eines jeden Datenschutz-Managementsystems sein müssen. Ein einfacher und wirksamer Nachweis, dass diese Sensibilisierung der Mitarbeiter stattgefunden hat, ist die Unterzeichnung einer entsprechenden Erklärung. Dass der Verordnungsgeber eine derartige Verpflichtung für ein wirksames Mittel hält, den datenschutzkonformen Umgang der Mitarbeiter mit sensiblen personenbezogenen Daten zu gewährleisten, zeigt sich an mehreren Stellen. So gibt es zwar, wie zuvor beschrieben, keine generelle Vorgabe, die Mitarbeiter entsprechend zu verpflichten. Für Auftragsverarbeiter definiert der Verordnungsgeber allerdings sehr wohl eine derartige Verpflichtung. In Art. 28 Abs. 3 ist festgelegt, dass der Auftragsverarbeiter „gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“. Auch der deutsche Gesetzgeber hat im BDSG-neu festgelegt, dass Polizei und Justiz ihre Mitarbeiter zwingend zu verpflichten haben.

Fortbestand bisheriger Verpflichtungen

Gut formulierte Verpflichtungen nach dem BDSG haben gute Chancen, ihre Wirksamkeit nicht zu verlieren. Die Verpflichtungen müssen allerdings die notwendigen Inhalte enthalten, um den Mitarbeitern die Bedeutung des Datengeheimnisses zu vermitteln. Da die DS-GVO keine formalen Vorgaben an die Verpflichtung enthält, können zumindest auch keine formalen Gründe, gegen den Fortbestand der bereits bestehenden Verpflichtungen sprechen. Allerdings ist darauf hinzuweisen, dass die alleinige schriftliche Verpflichtung nicht gewährleistet, dass der Mitarbeiter ausreichend sensibilisiert und geschult ist, um alle datenschutzrechtlichen Vorgaben einzuhalten. Regelmäßige Schulungen und Weiterbildungen sind selbstverständlich nach wie vor zusätzlich durchzuführen und nachzuweisen. Dies gilt natürlich insbesondere unter dem Geltungsbereich der DS-GVO, da die Mitarbeiter mit umfangreichen Neuerungen vertraut gemacht werden müssen.

Verpflichtung auf das Datengeheimnis oder die Vertraulichkeit?

Ob die Verpflichtungen künftig weiterhin formal „auf das Datengeheimnis“ erfolgen wird oder ob eine andere Begrifflichkeit verwendet wird, dürfte unerheblich sein. Aus unserer Sicht bietet es sich an, eine „Verpflichtung auf die Vertraulichkeit“ zu verwenden. Dies lässt sich einerseits aus Art. 28 ableiten, da der Verordnungsgeber für Auftragsverarbeiter ausdrücklich eine Verpflichtung auf die Vertraulichkeit festlegt. Zudem ist die „Vertraulichkeit“ in der DS-GVO ein zentrales Schutzziel, das an verschiedenen Stellen definiert und verwendet wird (Art. 5, Art. 32 DSGVO).

Weitere Verpflichtungen

Häufig werden in den Unternehmen weitere Verpflichtungen eingesetzt, die von den vorherigen Ausführungen unberührt bleiben. Verpflichtungen auf das Fernmeldegeheimnis (TKG) oder das Sozialgeheimnis (SGB X) können nach wie vor sinnvoll sein, sofern die entsprechenden Daten verarbeitet werden. Zwingend vorgeschrieben sind diese durch den Gesetzgeber nicht. Anders sieht dies bei Verpflichtungen nach § 203 StGB aus. Hier sieht der Gesetzgeber beispielsweise beim Einsatz von Auftragsverarbeitern als „sonstige mitwirkende Person“ eine Verpflichtung zwingend vor. Hierzu haben wir bereits einen ausführlichen Artikel veröffentlicht.

Verpflichtungen auf das Datengeheimnis bzw. die Vertraulichkeit werden auch nach der DS-GVO notwendig sein. Wir unterstützen Sie gerne bei der Formulierung Ihrer Vorlagen für die entsprechenden Verpflichtungen.

Das könnte Sie auch interessieren
auftragsverarbeitung vertrag informationspflichten ausnahmenWann gelten die Ausnahmen für die Informationspflichten?
dashcam crashcam datenpanne meldepflichtDatenpannen – worauf kommt es jetzt an?
nudging cookie banner tracking edsa taskforceNudging Cookie-Banner – alles im grünen oder doch grauen, dunkelgrauen Bereich?
datenschutzerklärung generator tracking cookies analytics cookies piwikDie Google Consent Mode API – Analytics ohne Einwilligung?
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Datenschutz durch Technikgestaltung im Rahmen der DSGVO
grundsätze der verarbeitung betroffenenrechte dienstleister dritte entwurf ki verordnung ki-vo-e chatgpt chat-gptRegelungsgrundsätze der DSGVO – welche gibt es?
Die Rechenschaftspflicht (Accountability) nach der DSGVOeinwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvobetriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungSchulungen zum Datenschutz – eine Unternehmerpflicht