ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Verpflichtung auf die Vertraulichkeit nach der DS-GVO

/von

Nach § 5 BDSG hatten die Unternehmen ihre Beschäftigten schriftlich auf das Datengeheimnis zu verpflichten. In den meisten Unternehmen war diese Forderung umgesetzt und entsprechende Verpflichtungserklärungen wurden in der Regel mit oder kurz nach Unterzeichnung des Arbeitsvertrags ebenfalls abgegeben. Die DS-GVO schreibt eine solche Verpflichtung nicht mehr explizit vor. Aufgrund der sich aus der DS-GVO ergebenden Nachweis- und Rechenschaftspflichten liegt es jedoch nahe, dass auch künftig derartige Erklärungen sinnvoll sein können. Bereits in einem früheren Artikel hatten wir daher die Beibehaltung der Verpflichtung auf das Datengeheimnis empfohlen. Erste zwischenzeitlich erschienene Kommentare zur DS-GVO sowie Veröffentlichungen der Aufsichtsbehörden oder Datenschutzverbänden lassen den Schluss zu, dass derartige Verpflichtungen auch weiterhin obligatorisch sind.

Rechenschaftspflicht der DS-GVO

Über die Rechenschaftspflicht hatten wir bereits ausführlich hier berichtet. Letztlich geht es darum, dass die Unternehmen nachweisen müssen, dass sie wirksame Maßnahmen getroffen haben, um die Anforderungen der DS-GVO umzusetzen. Da ein Unternehmen nur dann alle Vorgaben der DS-GVO erfüllen kann, wenn alle Mitarbeiter entsprechend geschult und sensibilisiert sind, wird deutlich, dass derartige Weiterbildungen ein zentraler Bestandteil eines jeden Datenschutz-Managementsystems sein müssen. Ein einfacher und wirksamer Nachweis, dass diese Sensibilisierung der Mitarbeiter stattgefunden hat, ist die Unterzeichnung einer entsprechenden Erklärung. Dass der Verordnungsgeber eine derartige Verpflichtung für ein wirksames Mittel hält, den datenschutzkonformen Umgang der Mitarbeiter mit sensiblen personenbezogenen Daten zu gewährleisten, zeigt sich an mehreren Stellen. So gibt es zwar, wie zuvor beschrieben, keine generelle Vorgabe, die Mitarbeiter entsprechend zu verpflichten. Für Auftragsverarbeiter definiert der Verordnungsgeber allerdings sehr wohl eine derartige Verpflichtung. In Art. 28 Abs. 3 ist festgelegt, dass der Auftragsverarbeiter „gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“. Auch der deutsche Gesetzgeber hat im BDSG-neu festgelegt, dass Polizei und Justiz ihre Mitarbeiter zwingend zu verpflichten haben.

Fortbestand bisheriger Verpflichtungen

Gut formulierte Verpflichtungen nach dem BDSG haben gute Chancen, ihre Wirksamkeit nicht zu verlieren. Die Verpflichtungen müssen allerdings die notwendigen Inhalte enthalten, um den Mitarbeitern die Bedeutung des Datengeheimnisses zu vermitteln. Da die DS-GVO keine formalen Vorgaben an die Verpflichtung enthält, können zumindest auch keine formalen Gründe, gegen den Fortbestand der bereits bestehenden Verpflichtungen sprechen. Allerdings ist darauf hinzuweisen, dass die alleinige schriftliche Verpflichtung nicht gewährleistet, dass der Mitarbeiter ausreichend sensibilisiert und geschult ist, um alle datenschutzrechtlichen Vorgaben einzuhalten. Regelmäßige Schulungen und Weiterbildungen sind selbstverständlich nach wie vor zusätzlich durchzuführen und nachzuweisen. Dies gilt natürlich insbesondere unter dem Geltungsbereich der DS-GVO, da die Mitarbeiter mit umfangreichen Neuerungen vertraut gemacht werden müssen.

Verpflichtung auf das Datengeheimnis oder die Vertraulichkeit?

Ob die Verpflichtungen künftig weiterhin formal „auf das Datengeheimnis“ erfolgen wird oder ob eine andere Begrifflichkeit verwendet wird, dürfte unerheblich sein. Aus unserer Sicht bietet es sich an, eine „Verpflichtung auf die Vertraulichkeit“ zu verwenden. Dies lässt sich einerseits aus Art. 28 ableiten, da der Verordnungsgeber für Auftragsverarbeiter ausdrücklich eine Verpflichtung auf die Vertraulichkeit festlegt. Zudem ist die „Vertraulichkeit“ in der DS-GVO ein zentrales Schutzziel, das an verschiedenen Stellen definiert und verwendet wird (Art. 5, Art. 32 DSGVO).

Weitere Verpflichtungen

Häufig werden in den Unternehmen weitere Verpflichtungen eingesetzt, die von den vorherigen Ausführungen unberührt bleiben. Verpflichtungen auf das Fernmeldegeheimnis (TKG) oder das Sozialgeheimnis (SGB X) können nach wie vor sinnvoll sein, sofern die entsprechenden Daten verarbeitet werden. Zwingend vorgeschrieben sind diese durch den Gesetzgeber nicht. Anders sieht dies bei Verpflichtungen nach § 203 StGB aus. Hier sieht der Gesetzgeber beispielsweise beim Einsatz von Auftragsverarbeitern als „sonstige mitwirkende Person“ eine Verpflichtung zwingend vor. Hierzu haben wir bereits einen ausführlichen Artikel veröffentlicht.

Verpflichtungen auf das Datengeheimnis bzw. die Vertraulichkeit werden auch nach der DS-GVO notwendig sein. Wir unterstützen Sie gerne bei der Formulierung Ihrer Vorlagen für die entsprechenden Verpflichtungen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
testen mit echtdatenTesten mit Echtdaten – Eine echte Herausforderung der DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungBesondere Kategorien personenbezogener Daten nach der DSGVO
e-mail verschlüsselung s/mime pgp nutzung kontaktdatenE-Mail Verschlüsselung – Pflicht oder Kür?
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgTTDSG – Das Telekommunikations-Telemedien-Datenschutz-Gesetz
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseUnverschlüsselter Versand von E-Mails mit Einwilligung – immer noch ein Thema