Zum Inhalt springen Zur Navigation springen
DSGVO: Ende der Verpflichtung auf das Datengeheimnis?

DSGVO: Ende der Verpflichtung auf das Datengeheimnis?

Die fehlende Regelung zur Verpflichtung auf das Datengeheimnis in der ab Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) wirft Fragen auf. Können Unternehmen nun gänzlich auf die Erklärung der Mitarbeiter verzichten?

Wegfall einer expliziten gesetzlichen Regelung

Dem ein oder anderen mag bereits aufgefallen sein, dass in der DSGVO keine explizite Regelung zur Verpflichtung auf das Datengeheimnis enthalten ist.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) äußerte sich auf Seite 94 seines Tätigkeitsberichts 2015/2016 dazu schlicht:

„Eine dem § 5 BDSG vergleichbare Regelung ist in der DSGVO nicht direkt enthalten.“

Nun könnte man sagen, ok, in der DSGVO ist dazu keine vergleichbare Regelung enthalten, bestimmt aber im BDSG (neu), welches das derzeit geltende BDSG ab dem 25.05.2018 ersetzten wird. Doch auch dort wird man nicht fündig. Das BDSG (neu) enthält ebenso keine spezifische Norm (für nicht öffentliche Stellen) zur Verpflichtung auf das Datengeheimnis.

Begründet wurde die Streichung der Regelung im BDSG (neu) damit, dass nach der DSGVO keine Öffnungsklausel ersichtlich ist, auf deren Grundlage eine solche Pflicht des Verantwortlichen und Auftragsverarbeiters erlassen werden könnte.

Wo kein Gesetz, da keine Pflicht?

Für Unternehmen besonders praxisrelevant: Ist nach der neuen Gesetzeslage eine förmliche Verpflichtung der Mitarbeiter auf das Datengeheimnis überhaupt noch notwendig?

Diese Frage ließe sich nach dem Prinzip: „Wenn da nichts steht (also im Gesetz), dann auch keine Pflicht“, mit einem klaren „Nein!“ beantworten. Doch sollten keine voreiligen Schlüsse gezogen werden. Denn weggefallen ist nur die Verpflichtung auf das Datengeheimnis, nicht dagegen das Datengeheimnis selbst. Das Datengeheimnis bleibt (natürlich), auch wenn der Begriff nicht mehr in den neuen gesetzlichen Regelungen genannt wird, bestehen.

Der Schein trügt daher…

…, denn auch in der Datenschutz-Grundverordnung finden sich verschiedene Normen, die am Datengeheimnis anknüpfen.

Vordergründig ist Art. 5 DSGVO zu nennen. Dieser schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Des Weiteren legt Art. 5 DSGVO dem Verantwortlichen die Pflicht auf, die Einhaltung dieser Vorgabe nachweisen zu können (sog. Rechenschaftspflicht). Dass hieraus die Empfehlung einer dokumentierten Verpflichtungserklärung erwächst, ist nicht verwunderlich. Sie ist damit auch als Bestandteil eines Datenschutzmanagement-Systems anzusehen.

Noch deutlicher für die Notwendigkeit einer Verpflichtungserklärung spricht, wenn man neben Art. 5 DSGVO, Art. 24 DSGVO heranzieht. Dieser spricht explizit vom Erfordernis technischer und organisatorischer Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO – und damit selbstverständlich auch gemäß den Grundsätzen niedergeschrieben in Art. 5 DSGVO – erfolgt.

Weitere gesetzliche Anknüpfungspunkte sind beispielsweise Art. 29 DSGVO und Art. 32 DSGVO. Diese stellen klar, dass dem Verantwortlichen und Auftragsverarbeiter unterstelle Mitarbeiter, personenbezogene Daten, nur nach dessen Weisung verarbeiten dürfen. Damit wird die Definition des Datengeheimnisses nach Art. 5 BDSG, womit es beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten und zu nutzen, an dieser Stelle wieder aufgegriffen.

Ein weiterer Punkt, der für eine Verpflichtungserklärung spricht, ist, dass der Datenschutzbeauftragte seiner ihm nach der DSGVO auferlegten Unterrichtungspflicht gemäß Art. 39 Abs. 1 lit a DSGVO nachkommen kann.

Keine Abkehr von einer förmlichen Verpflichtungserklärung

Nach den obigen Ausführungen ist davon abzuraten eine Verpflichtungserklärung der Mitarbeiter auszulassen. Im Gegenteil, der Wegfall einer expliziten Regelung in der DSGVO und dem BDSG (neu) ist trügerisch, werden doch bekanntlich die Dokumentations- und Nachweispflichten der Verantwortlichen und Auftragsverarbeiter mit Einführung der EU-Verordnung erheblich erhöht.

Entscheidend in diesem Zusammenhang ist dabei weniger, die bisherigen Abläufe rund um das Datengeheimnis strikt beizubehalten, sondern eine gewisse Sensibilisierung dafür zu bekommen, welche neuen Anforderungen nach der Datenschutz-Grundverordnung gestellt werden.

Ratsam ist sogar, Mitarbeiter durch entsprechende Schulungen regelmäßig an das Datengeheimnis zu erinnern, nicht zuletzt, da Art. 24 DSGVO vorschreibt, dass technische und organisatorische Maßnahmen, zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO, erforderlichenfalls zu überprüfen und zu aktualisieren sind.

Im diesem Zuge weist das BayLDA sogar darauf hin, die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Eine entsprechende Dokumentation dieser Hinweise an die Mitarbeiter, kann wiederum den Verantwortlichen und Auftragsverarbeiter bei einer Überprüfung der Aufsichtsbehörden entlasten. Schließlich stellt eine unbefugte Übermittlung von personenbezogenen Daten durch Mitarbeiter eine nicht von Art. 6 DSGVO umfasste Verarbeitung dar. Ein derartiger Verstoß fällt unter den Bußgeldtatbestand des Art. 83 DSGVO.

Wie könnte eine Verpflichtungserklärung nach der DSGVO aussehen?

Eine konkrete Vorlage für eine Verpflichtungserklärung nach der Datenschutz-Grundverordnung kann im Rahmen dieses Blogs zwar nicht zur Verfügung gestellt werden, dafür aber zwei Tipps für die Formulierung:

Tipp 1:

Wer sich mit dem Begriff der Verpflichtung auf das „Datengeheimnis“ nunmehr schwer tut, da er weder in der DSGVO noch im BDSG (neu) vorkommt, dem kann eine andere Bezeichnung angeraten werden.

Bei der Verpflichtungserklärung geht es letztlich um die Vertraulichkeit von personenbezogenen Daten. Die DSGVO verwendet im Zusammenhang mit der Auftragsdatenverarbeitung in Art. 28 Abs. 3 DSGVO den Begriff der „Vertraulichkeit“ von personenbezogenen Daten. Daher könnte beispielsweise die Überschrift „Verpflichtung auf die Vertraulichkeit“ lauten und im weiteren Verlauf des Dokuments von der Vertraulichkeit anstatt vom Datengeheimnis gesprochen werden.

Tipp 2:

Daneben gibt es noch eine geschickte Möglichkeit, gegen etwaige Vorwürfe der Aufsichtsbehörde, man habe die Mitarbeiter nicht ausreichend auf die Vertraulichkeit hingewiesen, argumentieren zu können. Da man mit der fehlenden gesetzlichen Regelung in der Gestaltung der Verpflichtungserklärung etwas freier ist, können die Kontaktdaten des Datenschutzbeauftragten mit aufgenommen werden. Der Mitarbeiter kann sich so bei Unklarheiten in Bezug auf die Verpflichtungserklärung schneller an diesen wenden.

Update 15.02.2018: Musterbeispiel für eine Verpflichtung auf das Datengeheimnis nach DSGVO

Zwischenzeitlich hat das bayerische Landesamt für Datenschutzaufsicht einen Leitfaden inklusive Muster für die Verpflichtung auf das Datengeheimnis nach der Datenschutz-Grundverordnung veröffentlicht. Dieses verwendet die Formulierung „Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO„.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sie schreiben in dem Artikel, dass eine vergleichbare Regelung im BDSG (neu) fehle. Was ist mit § 53 BDSG (neu) oder übersehe ich etwas in dem Anwendungsbereich?

    • Wie im oberen Teil des Artikels in Klammern gesetzt, gibt es keine vergleichbare Regelung im BDSG (neu) für nicht-öffentliche Stellen. Wie Sie richtig gesehen haben, gibt es eine Regelung zum Datengeheimnis in § 53 BDSG (neu), diese ist allerdings für private Unternehmen nicht anwendbar.

  • Es gibt doch den § 53 BDSG (neu) ???

    Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort

      • gem. § 45 S. 5 BDSG ist § 53 BDSG doch wohl auch auf AV anzuwenden!?

        • Gemäß § 45 S. 1 BDSG gelten die Vorschriften des 3. Teils grundsätzlich nur für öffentliche Stellen. Wie Sie richtig bemerken, erweitert § 45 S. 5 BDSG den Anwendungsbereich des 3. Teils auch auf Auftragsverarbeiter. Jedoch ausdrücklich nur „soweit“ er Regelungen für diese enthält.

          § 53 BDSG enthält eine solche Regelung gerade nicht. Somit ist die Norm nach dem Wortlaut auf Auftragsverarbeiter nicht anwendbar.

  • Folglich gehen Sie davon aus, dass der § 53 BDSG (neu) lediglich auf öffentliche Stellen anwendbar sein soll. Weder aus dem Wortlaut noch aus der Gesetzessystematik ergibt sich für mich eine Beschränkung des § 53 BDSG (neu) auf öffentliche Stellen. Anders als im noch aktuellen BDSG besteht im BDSG (neu) gerade keine Unterscheidung zwischen öffentlichen und nicht- öffentlichen Stellen. Sofern Sie auf die mangelnde Öffnungsklausel in der DSGVO abstellen, stellt sich für mich die Frage, woraus sich die Öffnungsklausel für die Regelung des Datengeheimnisses für öffentliche Stellen ergibt. Vielleicht habe ich Sie einfach übersehen.

    • @ Privacy fan: Eine derartige Beschränkung ergibt sich sehr wohl aus der Gesetzessystematik. § 53 BDSG-neu steht nämlich in Teil 3 des BDSG-neu. In § 45 BDSG-neu heißt es zum Anwendungsbereich des Teils 3: „Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. (…) Soweit dieser Teil Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.“
      Nicht-öffentliche Stellen sind also ausdrücklich nicht von den Vorschriften des Teils 3 des BDSG-neu, in dem auch § 53 BDSG-neu steht, erfasst. In der „Privatwirtschaft“ gibt es also erst einmal keine gesetzliche Verpflichtung mehr, Mitarbeiter auf das Datengeheimnis zu verpflichten, wobei aber die in dem Artikel genannten Gründe dafür sprechen, Mitarbeiter dennoch zu verpflichten.

      Beste Grüße

      T.V.

  • Wenn ich das richtig sehe – §53 BDSG (neu) gilt nur für:
    Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

  • @Privacy fan:
    Ab §45 gilt Teil 3 des BDSG neu. Der Anwendungsbereich ist wie folgt definiert:
    „Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten…….“
    Also öffentliche Stellen, wie Polizei und Strafverfolgungsbehörden.
    Von nichtöffentlichen Stellen steht hier nichts.
    Also hat Dr. Datenschutz recht.
    Gruß

  • Danke für den aufschlussreichen Artikel.
    Ist es ratsam / notwendig bestehende Erklärungen zum Datengeheimnis zu erneuern?

    • Das kann pauschal nicht beantwortet werden, da es immer auf den Inhalt der bereits bestehenden Verpflichtungserklärungen ankommt. Nach wie vor ist es bspw. wichtig, dass eine individuelle und möglichst genaue Unterrichtung erfolgt. Im Zuge der DSGVO wird jedoch ein erhöhtes Maß an Transparenz gefordert. Es ist daher in jedem Fall zu empfehlen, die „alten“ Erklärungen durch den Datenschutzbeauftragten überprüfen zu lassen.

  • Ist es grundsätzlich erforderlich, dass alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, diese Verpflichtung persönlich und einzeln unterzeichnen oder reicht eine „Verpflichtung auf die Vertraulichkeit“ als Informationsschreiben oder in Form eine Betriebsvereinbarung?

    Vielen Dank für die Hilfe

    • Das Thema ist die Nachweispflicht.
      Infoschreiben max, als Zusatz nach der schriftlichen Verpflichtung.
      BV geht überhaupt nicht.

    • Es reicht nicht aus, die Verpflichtung auf das Datengeheimnis in einer Betriebsvereinbarung, durch Aushang am Schwarzen Brett oder durch Bekanntgabe in einer Arbeitsordnung durchzuführen. Erforderlich ist vielmehr eine „persönliche“ Verpflichtung in jedem Einzelfall. Ihr Vollzug sollte – zu Beweiszwecken – vom Betroffenen durch Unterschrift bestätigt werden.

  • Und was ist Mitarbeitern, die Jahrelang im Unternehmen sind und personenbezogenen Daten verarbeiten, aber bisher keine Verpflichtungserklärung unterschrieben haben, da schlichtweg kein Datenschutzbeauftrager vorhanden war (nur auf dem Papier).

    • Das ist die beste Gelegenheit dies nachzuholen.
      Wir haben alle Mitarbeiter bereits nach dem BDSG verpflichtet und mit der Schulung zur DSGVO wird es eine neue Verpflichtung geben, die von allen Mitarbeitern unterschrieben werden muss.

  • Für mich ergibt sich aus dem Mangel an Vorgaben für eine solche Verpflichtungserklärung großer Spielraum für die Geschäftsleitung/das Unternehmen das Risiko auf Mitarbeiter abzuwälzen. Da hier sowohl ein Informations- als auch ein Machtungleichgewicht vorhanden ist.

    Im täglichen Geschäft sind mündliche Anweisungen nicht unüblich. Wenn dann hinterher ein Verstoß festgestellt wird erinnert sich der Vorgesetzte oder die Geschäftsleitung meist nicht mehr an ihre mündliche Anweisung und der Mitarbeiter hat fahrlässig gehandelt und im Zweifel wird ihm noch ein Vertragsbruch vorgeworfen.

    Wie können sich Mitarbeiter hier also ausreichend schützen. Bzw. gibt es einen Leitfaden für Mitarbeiter, was in einer formellen Verschwiegenheitserklärung zulässig ist und was nicht? Bzw. bei welchen Formulierungen ein Mitarbeiter aufhorchen sollte, da sie das Risiko unnötig stark auf ihn verlagern?

    Schließlich unterzeichnet man diese Erklärung ja und ist hinterher im Zweifel haftbar, obwohl man sich nicht über das Ausmaß/die Tragweite im klaren war, weil eben jedes Unternehmen diese Erklärung anders formulieren kann.

    • Genau so empfinde ich auch. Unser Unternehmen hat jetzt eine Vereinbarung vorgelegt, welche mit Geldbuße, Freiheitsstrafe bei schuldhaften Verstößen droht.

      Das Dokument entspricht zwar dem Entwurf vom Bayrischen Landesamt für Datenschutzaufsicht, dennoch frage ich ob ich dies unterschreiben muss?

      Wir sind ein privates Unternehmen Gmbh. Die Unternehmsleitung sichert sich ab und kann jegliche Verletzung einfach auf den AN abwälzen.

      https://www.lda.bayern.de/media/info_verpflichtung_beschaeftigte_dsgvo.pdf

      • Das kann ich auch so unterschreiben. Es gab und gibt kein Plan zum Thema Datenschutz. Unsere Geschäftsführung hat ein Wisch vorbereitet, als es schon „5 vor 12“ war. Wenn etwas schief läuft – haben die AN es verbockt.
        Ich werde es nicht unterschreiben!

      • Die im o.g. Muster verwendeten Formulierungen stellen keine Haftungsverlagerung auf den einzelnen Mitarbeiter dar, sondern es werden lediglich die Straf- und Bußgeldvorschriften, die grundsätzlich bei der Verarbeitung personenbezogener Daten einschlägig sind, aufgeführt.

        Im Falle eines Datenschutzverstoßes haftet der Verantwortliche (also der Arbeitgeber) weiterhin selbst. Das Datengeheimnis ist von den Beschäftigten zu wahren, unabhängig davon, ob sie eine Verpflichtungserklärung unterschreiben oder nicht.

        Demzufolge spielt es für das gesetzlich verankerte Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten keine Rolle, ob eine Verpflichtungserklärung abgegeben wird. Das Datengeheimnis gilt trotzdem. Aus der Verweigerung können jedoch arbeitsrechtliche Konsequenzen resultieren.

  • Hallo, ich habe den Artikel und alles Kommentare interessiert gelesen. Eine Frage habe ich in diesem Zusammenhang aber noch: Ist es zulässig, dass die Verpflichtungserklärung am Ende von jedem Mitarbeiter in einer Unterschriftenliste unterschrieben wird, oder muss man pro AN ein Exemplar drucken und ich die Personalmappe legen. Wir sind 68 Mitarbeiter und die Datenschutzverpflichtung umfasst 10 Seiten.

    • Die DSGVO schreibt keine bestimme Form der Verpflichtung vor. Sie kann daher grundsätzlich in schriftlichem oder elektronischem Format erfolgen. Als Nachweis für den Arbeitgeber, dass der Mitarbeiter die dazugehörigen Regelungen gelesen und verstanden hat, empfiehlt es sich jedoch, die jeweilige Unterschrift jeweils am Ende des Dokuments/der Verpflichtung einzuholen.

      Mit der Verwendung einer bloßen Unterschriftenliste, könnte ggf. argumentiert werden, dass dies als Nachweis nicht ausreichend ist. Darüber hinaus empfiehlt auch das Bayerische Landesamt für Datenschutzaufsicht (siehe Link unten im Artikel), die Unterschrift direkt unter die Verpflichtungserklärung setzen zu lassen.

  • Auch wenn der letzte Kommentar schon eine Weile her, gibt es für mich noch eine Unklarheit:
    Müssen Handlungsbevollmächtigte und Prokuristen auf Vertraulichkeit verpflichtet werden?
    Diese gehören zwar zu den „zur Verarbeitung der personenbezogenen Daten befugten Personen“ nach Art. 28 Abs. 3 lit. b haben im Unternehmen eine „Sonderstellung“? Würden sich Prokuristen und Handlungsbevollmächtigte, wie Geschäftsführer, damit selbst verpflichten oder macht eine Verpflichtung für diese Mitarbeitergruppen Sinn?

    • Der Hintergrund, dass Geschäftsführer keine Verpflichtung auf die Vertraulichkeit abgeben ist der Folgende: Geschäftsführer haben diese Verpflichtung zu veranlassen und können sich infolgedessen ihr nicht selbst unterwerfen. Denn es wäre nicht ersichtlich, gegenüber wem sie sich verpflichten. Dieser Umstand lässt sich nicht direkt auch auf Prokuristen und Handlungsbevollmächtigte übertragen, denn diese sind gerade nicht das Organ der Gesellschaft. Handlungsbevollmächtigte haben bloß eine begrenzte geschäftliche Vertretungsmacht. Auch der Prokurist kann in seiner zwar nach außen voll umfänglichen Vertretungsmacht im Innenverhältnis begrenzt sein. Sowohl Prokuristen als auch Handlungsbevollmächtigte sind also nur „rechte Hand“ des Geschäftsführers und haben sich ihm gegenüber zu verpflichten.

  • Hallo, ich habe folgende Situation. Wir bieten unseren Kunden Hochsicherheitspostfächer an, d.h. die Daten werden transportverschlüsselt übertragen sowie inhaltsverschlüsselt abgelegt. Wir als Dienstleister haben zu keinem Zeitpunkt die Möglichkeit die Daten einzusehen, da diese ja verschlüsselt sind. Wir bieten quasi nur die Ressource Speicherplatz und Verschlüsselungstechnologie für Frontend Systeme bei Vertragsabschluss an und Löschen sämtliche Daten unwiderruflich nach Kündigung. Nun meine Frage: Müssen die Mitarbeiter auf das Datengeheimnis bzw. auf die Wahrung der Vertraulichkeit verpflichtet werden, obwohl die Kollegen in keinster Weise die personenbezogenen Daten einsehen können (kopieren, ändern oder dediziertes Löschen ist natürlich auch nicht möglich)? Vielen Dank!

    • Grundsätzlich besteht, wie bereits im Beitrag genannt, keine allgemeine gesetzliche Regelung auf das Datengeheimnis. Eine Sensibilisierung der Mitarbeiter über das Thema Datenschutz ist jedoch empfehlenswert, da dadurch die praktische Wahrscheinlichkeit möglicher Datenschutzverstöße gemindert werden kann. In dem beschriebenen Sachverhalt könnte eine Handreichung das Ziel der Sensibilisierung erreichen, da Verarbeitungen der personenbezogenen Daten technisch nicht möglich sind. Zu beachten ist jedoch, dass beim Vertragsschluss eines AVV gewährleistet werden muss, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessen gesetzlichen Verschwiegenheitspflicht unterliegen. Hierbei könnte eine wie bereits oben genannte Handreichung nicht ausreichen.

  • Guten Tag, wir sind ein Verein in der Wohlfahrtspflege und „beschäftigen“ viele Ehrenamtliche. Gibt es für diese Gruppe spezielle Datenschutz-Verpflichtungen?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.