DSGVO: Ende der Verpflichtung auf das Datengeheimnis für Mitarbeiter?

Fachbeitrag

Die fehlende Regelung zur Verpflichtung auf das Datengeheimnis in der ab Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) wirft Fragen auf. Können Unternehmen nun gänzlich auf die Erklärung der Mitarbeiter verzichten?

Wegfall einer expliziten gesetzlichen Regelung

Dem ein oder anderen mag bereits aufgefallen sein, dass in der DSGVO keine explizite Regelung zur Verpflichtung auf das Datengeheimnis enthalten ist.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) äußerte sich auf Seite 94 seines Tätigkeitsberichts 2015/2016 dazu schlicht:

„Eine dem § 5 BDSG vergleichbare Regelung ist in der DSGVO nicht direkt enthalten.“

Nun könnte man sagen, ok, in der DSGVO ist dazu keine vergleichbare Regelung enthalten, bestimmt aber im BDSG (neu), welches das derzeit geltende BDSG ab dem 25.05.2018 ersetzten wird. Doch auch dort wird man nicht fündig. Das BDSG (neu) enthält ebenso keine spezifische Norm (für nicht öffentliche Stellen) zur Verpflichtung auf das Datengeheimnis.

Begründet wurde die Streichung der Regelung im BDSG (neu) damit, dass nach der DSGVO keine Öffnungsklausel ersichtlich ist, auf deren Grundlage eine solche Pflicht des Verantwortlichen und Auftragsverarbeiters erlassen werden könnte.

Wo kein Gesetz, da keine Pflicht?

Für Unternehmen besonders praxisrelevant: Ist nach der neuen Gesetzeslage eine förmliche Verpflichtung der Mitarbeiter auf das Datengeheimnis überhaupt noch notwendig?

Diese Frage ließe sich nach dem Prinzip: „Wenn da nichts steht (also im Gesetz), dann auch keine Pflicht“, mit einem klaren „Nein!“ beantworten. Doch sollten keine voreiligen Schlüsse gezogen werden. Denn weggefallen ist nur die Verpflichtung auf das Datengeheimnis, nicht dagegen das Datengeheimnis selbst. Das Datengeheimnis bleibt (natürlich), auch wenn der Begriff nicht mehr in den neuen gesetzlichen Regelungen genannt wird, bestehen.

Der Schein trügt daher…

…, denn auch in der Datenschutz-Grundverordnung finden sich verschiedene Normen, die am Datengeheimnis anknüpfen.

Vordergründig ist Art. 5 DSGVO zu nennen. Dieser schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Des Weiteren legt Art. 5 DSGVO dem Verantwortlichen die Pflicht auf, die Einhaltung dieser Vorgabe nachweisen zu können (sog. Rechenschaftspflicht). Dass hieraus die Empfehlung einer dokumentierten Verpflichtungserklärung erwächst, ist nicht verwunderlich. Sie ist damit auch als Bestandteil eines Datenschutzmanagement-Systems anzusehen.

Noch deutlicher für die Notwendigkeit einer Verpflichtungserklärung spricht, wenn man neben Art. 5 DSGVO, Art. 24 DSGVO heranzieht. Dieser spricht explizit vom Erfordernis technischer und organisatorischer Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO – und damit selbstverständlich auch gemäß den Grundsätzen niedergeschrieben in Art. 5 DSGVO – erfolgt.

Weitere gesetzliche Anknüpfungspunkte sind beispielsweise Art. 29 DSGVO und Art. 32 DSGVO. Diese stellen klar, dass dem Verantwortlichen und Auftragsverarbeiter unterstelle Mitarbeiter, personenbezogene Daten, nur nach dessen Weisung verarbeiten dürfen. Damit wird die Definition des Datengeheimnisses nach Art. 5 BDSG, womit es beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten und zu nutzen, an dieser Stelle wieder aufgegriffen.

Ein weiterer Punkt, der für eine Verpflichtungserklärung spricht, ist, dass der Datenschutzbeauftragte seiner ihm nach der DSGVO auferlegten Unterrichtungspflicht gemäß Art. 39 Abs. 1 lit a DSGVO nachkommen kann.

Keine Abkehr von einer förmlichen Verpflichtungserklärung

Nach den obigen Ausführungen ist davon abzuraten eine Verpflichtungserklärung der Mitarbeiter auszulassen. Im Gegenteil, der Wegfall einer expliziten Regelung in der DSGVO und dem BDSG (neu) ist trügerisch, werden doch bekanntlich die Dokumentations- und Nachweispflichten der Verantwortlichen und Auftragsverarbeiter mit Einführung der EU-Verordnung erheblich erhöht.

Entscheidend in diesem Zusammenhang ist dabei weniger, die bisherigen Abläufe rund um das Datengeheimnis strikt beizubehalten, sondern eine gewisse Sensibilisierung dafür zu bekommen, welche neuen Anforderungen nach der Datenschutz-Grundverordnung gestellt werden.

Ratsam ist sogar, Mitarbeiter durch entsprechende Schulungen regelmäßig an das Datengeheimnis zu erinnern, nicht zuletzt, da Art. 24 DSGVO vorschreibt, dass technische und organisatorische Maßnahmen, zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO, erforderlichenfalls zu überprüfen und zu aktualisieren sind.

Im diesem Zuge weist das BayLDA sogar darauf hin, die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Eine entsprechende Dokumentation dieser Hinweise an die Mitarbeiter, kann wiederum den Verantwortlichen und Auftragsverarbeiter bei einer Überprüfung der Aufsichtsbehörden entlasten. Schließlich stellt eine unbefugte Übermittlung von personenbezogenen Daten durch Mitarbeiter eine nicht von Art. 6 DSGVO umfasste Verarbeitung dar. Ein derartiger Verstoß fällt unter den Bußgeldtatbestand des Art. 83 DSGVO.

Wie könnte eine Verpflichtungserklärung nach der DSGVO aussehen?

Eine konkrete Vorlage für eine Verpflichtungserklärung nach der Datenschutz-Grundverordnung kann im Rahmen dieses Blogs zwar nicht zur Verfügung gestellt werden, dafür aber zwei Tipps für die Formulierung:

Tipp 1:

Wer sich mit dem Begriff der Verpflichtung auf das „Datengeheimnis“ nunmehr schwer tut, da er weder in der DSGVO noch im BDSG (neu) vorkommt, dem kann eine andere Bezeichnung angeraten werden.

Bei der Verpflichtungserklärung geht es letztlich um die Vertraulichkeit von personenbezogenen Daten. Die DSGVO verwendet im Zusammenhang mit der Auftragsdatenverarbeitung in Art. 28 Abs. 3 DSGVO den Begriff der „Vertraulichkeit“ von personenbezogenen Daten. Daher könnte beispielsweise die Überschrift „Verpflichtung auf die Vertraulichkeit“ lauten und im weiteren Verlauf des Dokuments von der Vertraulichkeit anstatt vom Datengeheimnis gesprochen werden.

Tipp 2:

Daneben gibt es noch eine geschickte Möglichkeit, gegen etwaige Vorwürfe der Aufsichtsbehörde, man habe die Mitarbeiter nicht ausreichend auf die Vertraulichkeit hingewiesen, argumentieren zu können. Da man mit der fehlenden gesetzlichen Regelung in der Gestaltung der Verpflichtungserklärung etwas freier ist, können die Kontaktdaten des Datenschutzbeauftragten mit aufgenommen werden. Der Mitarbeiter kann sich so bei Unklarheiten in Bezug auf die Verpflichtungserklärung schneller an diesen wenden.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

10 Kommentare zu diesem Beitrag

  1. Sie schreiben in dem Artikel, dass eine vergleichbare Regelung im BDSG (neu) fehle. Was ist mit § 53 BDSG (neu) oder übersehe ich etwas in dem Anwendungsbereich?

    • Wie im oberen Teil des Artikels in Klammern gesetzt, gibt es keine vergleichbare Regelung im BDSG (neu) für nicht-öffentliche Stellen. Wie Sie richtig gesehen haben, gibt es eine Regelung zum Datengeheimnis in § 53 BDSG (neu), diese ist allerdings für private Unternehmen nicht anwendbar.

  2. Es gibt doch den § 53 BDSG (neu) ???

    Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort

  3. Folglich gehen Sie davon aus, dass der § 53 BDSG (neu) lediglich auf öffentliche Stellen anwendbar sein soll. Weder aus dem Wortlaut noch aus der Gesetzessystematik ergibt sich für mich eine Beschränkung des § 53 BDSG (neu) auf öffentliche Stellen. Anders als im noch aktuellen BDSG besteht im BDSG (neu) gerade keine Unterscheidung zwischen öffentlichen und nicht- öffentlichen Stellen. Sofern Sie auf die mangelnde Öffnungsklausel in der DSGVO abstellen, stellt sich für mich die Frage, woraus sich die Öffnungsklausel für die Regelung des Datengeheimnisses für öffentliche Stellen ergibt. Vielleicht habe ich Sie einfach übersehen.

    • @ Privacy fan: Eine derartige Beschränkung ergibt sich sehr wohl aus der Gesetzessystematik. § 53 BDSG-neu steht nämlich in Teil 3 des BDSG-neu. In § 45 BDSG-neu heißt es zum Anwendungsbereich des Teils 3: „Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. (…) Soweit dieser Teil Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.“
      Nicht-öffentliche Stellen sind also ausdrücklich nicht von den Vorschriften des Teils 3 des BDSG-neu, in dem auch § 53 BDSG-neu steht, erfasst. In der „Privatwirtschaft“ gibt es also erst einmal keine gesetzliche Verpflichtung mehr, Mitarbeiter auf das Datengeheimnis zu verpflichten, wobei aber die in dem Artikel genannten Gründe dafür sprechen, Mitarbeiter dennoch zu verpflichten.

      Beste Grüße

      T.V.

  4. Wenn ich das richtig sehe – §53 BDSG (neu) gilt nur für:
    Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

  5. @Privacy fan:
    Ab §45 gilt Teil 3 des BDSG neu. Der Anwendungsbereich ist wie folgt definiert:
    „Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten…….“
    Also öffentliche Stellen, wie Polizei und Strafverfolgungsbehörden.
    Von nichtöffentlichen Stellen steht hier nichts.
    Also hat Dr. Datenschutz recht.
    Gruß

    • Das kann pauschal nicht beantwortet werden, da es immer auf den Inhalt der bereits bestehenden Verpflichtungserklärungen ankommt. Nach wie vor ist es bspw. wichtig, dass eine individuelle und möglichst genaue Unterrichtung erfolgt. Im Zuge der DSGVO wird jedoch ein erhöhtes Maß an Transparenz gefordert. Es ist daher in jedem Fall zu empfehlen, die „alten“ Erklärungen durch den Datenschutzbeauftragten überprüfen zu lassen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.