Zum Inhalt springen Zur Navigation springen
Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis

Nach § 5 BDSG müssen die bei der Datenverarbeitung beschäftigten Personen auf das sog. Datengeheimnis verpflichtet werden. Diese Verpflichtung ist neben der Beachtung von Geschäfts- und Unternehmensgeheimnissen zu befolgen und bezieht sich auf das gesetzliche Verbot des unbefugten Umgangs mit personenbezogenen Daten.

Worum geht es bei der Verpflichtung auf das Datengeheimnis?

In der täglichen Beratungspraxis findet sich häufig ein Missverständnis über die notwendige Verpflichtung auf das Datengeheimnis. Viele Unternehmen sind der Auffassung, dass die Vertraulichkeitsklauseln in Arbeitsverträgen auch die Verpflichtung auf das Datengeheimnis nach § 5 BDSG abdecken oder kennen diese Vorschrift nicht.

Die gesetzliche Regelung des § 5 BDSG lautet:

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Es geht also bei der Verpflichtung auf das Datengeheimnis nicht um die Wahrung von Firmengeheimnissen, sondern um die Verpflichtung jedes einzelnen Beschäftigten zur Beachtung des gesetzlichen Verbots unbefugter Datenerhebung und -verwendung. Personenbezogene Daten umfassen in Unternehmen dabei regelmäßig Mitarbeiter, Kunden- oder auch Lieferantendaten. Amts- oder Berufsgeheimnisse oder die typischen Vertraulichkeitsklauseln in Arbeitsverträgen ergänzen die Regelung des § 5 BDSG, der selbst einen Mindeststandard für den Geheimnisschutz darstellt. Die Verpflichtungserklärung hat die Aufklärung der Arbeitnehmer und die Vermeidung einer unbefugten Datenverarbeitung zum Ziel.

Wer muss auf das Datengeheimnis verpflichtet werden?

Grundsätzlich muss jede mit der Datenverarbeitung beschäftigte Person auf das Datengeheimnis verpflichtet werden. Dafür hat die verantwortliche Stelle, also i.d.R. das Unternehmen, Sorge zu tragen. Der Kreis der auf das Datengeheimnis zu verpflichtenden Personen ist auf Grund der Bedeutung dieser Vorschrift weit auszulegen. Zum Beispiel sind auch Auszubildende, Aushilfen, Praktikanten und sogar freie Mitarbeiter mit einzubeziehen. Die Verpflichtung auf das Datengeheimnis gilt dabei nicht nur für die Dauer des Beschäftigungsverhältnisses, sondern auch darüber hinaus. Bei Systemadministratoren gibt es eine besondere Verpflichtung nach § 88 TKG.

In welcher Form erfolgt die Verpflichtung?

Aus Nachweisgründen, etwa gegenüber Aufsichtsbehörden, ist es wichtig, die Verpflichtung auf das Datengeheimnis von dem Verpflichteten schriftlich bestätigen zu lassen. Wenn die Verpflichtung auf das Datengeheimnis nicht oder nur unzureichend erfolgt ist, kann dies u.U. straf- oder zivilrechtliche Sanktionen sowohl für den Mitarbeiter als auch für den Arbeitgeber zur Folge haben.

Dieser Beitrag schildert die alte Rechtslage. Für die aktuelle Rechtslage lesen Sie den Beitrag: DSGVO: Ende der Verpflichtung auf das Datengeheimnis für Mitarbeiter?

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sehr geehrte Damen und Herren,
    eine kurze, aber für mich wichtige Frage: Mein vierzhenjähriger Sohn hat gestern eine
    Blutentnahme in meiner Anwesenheit genommen bekommen!
    Jetzt bat ich die Sprechstundenhilfe mir die Blutwerte per Fax zukommen zu lassen!
    Die shandhaben wir schon sieben oder acht Jahre so!
    Da ich Kernchemiker bin, kann ich solche Blutwerte deuten!
    Ich bekam ein sehr unfreundliches Fax zurück, in dem die Sprechstundenhilfe
    sehr „brutal“ schrieb: “ Wir faxen gar nichts!“ Sie können die Daten abholen, ist ist neuerdings verboten!“
    Ich möchte hier nur wissen, darf ein Vater eines vierzehnjährigen die Daten seines Sohnes
    per Fax bekommen!

    Bitte helfen Sie mir, es scheint mir so, dass diese Dame sich wichtig machen will!

    Herzliche Grüße und vielen Dank für eine Antwort!

    Dr. Jürgen Loscheider

    • Dies ist nicht erst neuerdings verboten. Die Anlage zu § 9 BDSG verlangt von der verantwortlichen Stelle (hier der Arzt), dass dieser Maßnahmen trifft welche gewährleisten,dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen werden können. Da bei einer Fax-Übertragung keine Verschlüsselung oder dergleichen stattfindet, kann ähnlich wie bei einer Postkarte theoretisch jeder Provider oder Netzwerkteilnehmer mitlesen, so dass diese Voraussetzungen nicht erfüllt sind.

      Daneben unterliegen Ärzte gem. § 203 StGB der gesetzlichen Schweigepflicht, weshalb der Azt bei einer Fax-Übertragung Gefahr läuft sich strafbar zu machen.

      Die daher empfehlenswerteste Variante ist tatsächlich eine persönliche Übergabe. Eine alternative Möglichkeit wäre, wenn Sie und Ihr Sohn GEMEINSAM die Faxübertragung schriftlich (d.h. durch ein unterschriebenes Originaldokument) genehmigen, dort die Faxnummer anführen und das Dokument dann in der Patientenakte hinterlegt wird. In diesem Fall stünde einer Faxübertragung seitens des Arztes nichts mehr im Wege.

  • Sehr geehrte Damen und Herren,

    entsprechend §5 BDSG haben Mitarbeiter bei uns, per Verpflichtungserklärung, die Einhaltung des Datengeheimnisses zu bestätigen. Dies erfolgt in der Regel bei Einstellung.
    Auf welcher Grundlage wäre eine sich regelmäßig wiederholende Abgabe der Verpflichtung denkbar ?
    Der Gesetzestext sagt ja eigentlich auch, dass die einmal abgegebene Erklärung auch über das Ausscheiden hinaus Wirkung hat.

    Mit freundlichem Gruss, Webhopper

    • Eine wiederholte Verpflichtung ist datenschutzrechtlich nicht nötig, da, wie sie richtig sagen, die Verpflichtung über das Ende des Beschäftigungsverhältnis hinaus wirkt. Um den Mitarbeiter aber auf seine Geheimhaltungspflicht aufmerksam zu machen, bieten sich regelmäßige Schulungen durch den Datenschutzbeauftragten an.

  • Wie verhält es sich bei einem arbeitsrechtlichen Verfahren, wenn man Daten an einen Dritten (Rechtsanwalt) weiter gibt, die relevant für das Verfahren sind.

    • Ihre Frage ist sehr allgemein gehalten. Grundsätzlich kommt es darauf an, zu welchem Zweck die Daten weitergegeben werden sollen. Wenn Sie an den Rechtsanwalt gegeben werden sollen, der den Rechtstreit für den Mandanten führt, dürfte dies wohl zulässig sein. Eine Auftragsdatenverarbeitung mit Rechtsanwälten kommt grundsätzlich nicht in Betracht. Vielmehr bedarf es einer Rechtsgrundlage für die Übermittlung. Diese könnte in § 28 Abs. 1 BDSG zu sehen sein. Letztlich ist dies jedoch immer eine Einzelfallentscheidung, weshalb Sie am besten einmal Ihren Datenschutzbeauftragten fragen sollten, wenn Sie einen haben.

  • Moin,
    wir arbeiten in unserer Fa. mit LotusNotes (Kalender, Mail etc). Hier kann man Personen so zulassen, dass sie Mails und Kalender lesen können.
    Dieses habe ich bei einem Kollegen erlaubt, welcher allerdings Informationen an meinen Vorgesetzten (auch Datenschutzbeauftragter unseres Unternehmens) weitergegeben hat – ohne mich vorher zu befragen und um Erlaubnis zu bitten.
    Nun waren im Kalender Informationen enthalten, die wie erwähnt meinen Vorgesetzten nicht zugänglich waren, er sie mir allerdings um „die Ohren gehauen hat“ und einen massiven Vorwurf daraus generiert hat.
    Durfte der Kollege die Infos weitergeben? Hätte mein Vorgesetzter bereits im Vorwege darauf aufmerksam machen müssen und den Kollegen zurechtweisen? Darf mein Vorgesetzter (wie erwähnt Datenschutzbeauftragter) diese Informationen nutzen? Wie kann ich mich dagegen verwahren?
    Vielen Dank

    • Kurz und knapp: Ein solches Vorgehen ist nicht zulässig. Sie sollten daher Ihren Betriebsrat oder sonstige Vertrauenspersonen benachrichtigen. Wenn nichts anderes hilft, können Sie Sich auch an Ihre zuständige Aufsichtsbehörde wenden.

      § 5 BDSG untersagt alle unzulässigen Verhaltensweisen beim Umgang mit personenbezogenen Daten und umfasst alle Phasen der Datenverarbeitung: Sie verbietet die unberechtigte Erhebung, Speicherung, Veränderung, Sperrung oder Löschung sowie jede andere Art und Weise unzulässiger Verwendung. So gehört auch die Offenbarung dienstlicher Informationen im privaten Kollegengespräch, wie in Ihrem Fall, ebenso dazu wie der Abruf von gespeicherten Daten aus reiner privater Neugier bzw. zu persönlichen Verwendungszwecken.

  • Hallo,
    wir wollen einen Praktikanten in unserem Unternehmen in jede Abteilung reinschnuppern lassen. Wir lassen ihn eine Datenschutzerklärung unterschreiben, verpflichten ihn zum Datengeheimnis. Da er der Sohne eines Außendienstmitarbeiters ist, kennt er auch viele Kollegen. Er hätte hier auch Einblick in persönliche Daten von den bekannten Mitarbeitern. Ist das bedenklich-oder ist mit der Datenschutzerklärung alles abgegolten? Vielen Dank.

  • Guten Tag,
    wir wollen unsere MA aus der Buchhaltung (3 MA) und aus der Personalabteilung (2 MA) auf §5BDSG verpflichten. Einen Datenschutzbeauftragten gibt es nicht und wie ich sehe benötigt man diesen auch erst ab 10 MA, die personenbezogene Daten verarbeiten. Ist mit einer Verpflichtungserklärung, die die MA unterschreiben, die Unterrichtung abgegolten und die Mindestanforderung an den Geheimschutz abgedeckt? Wir sind ein sehr kleines ISO-zertifiziertes Unternehmen. Vielen Dank im Voraus

    • Ob ein Datenschutzbeauftragter beauftragt werden muss, hängt nicht immer nur von der Anzahl der Mitarbeiter ab. Das BDSG sieht noch eine Reihe weiterer Fälle vor, in denen ein DSB zu bestellen ist (§ 4 f BDSG). Dies betrifft u.a. Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute sowie Unternehmen, die besonders sensitive Daten verarbeiten (z.B. Gesundheitsdaten).

      Neben der Verpflichtungserklärung nach § 5 BDSG gibt es weitere Vorgaben, die umgesetzt werden müssen: dazu gehört z.B. alle Mitarbeiter bei Aufnahme ihrer Tätigkeit und danach regelmäßig in den Datenschutzbestimmungen zu schulen (bei Mitarbeitern aus der Buchhaltung und der Personalabteilung muss dann zusätzlich auf die Besonderheiten eingegangen werden). Weiterhin sind auch Dokumentationen und Kontrollen durchzuführen, wenn Mitarbeiterdaten verarbeitet werden, Personalakten ausgegeben werden usw.

  • Hallo,
    ich bin Angestellter eines großen IT-Dienstleister und unser Kunde möchte nun das wir persönlich einen Dienstleistungsvertrag in englischer Sprache zur Verpflichtung auf das Datengeheimnis nach §5, §43 und §203 unterschreiben. Persönlich bedeutet mit Angabe unserer privaten Anschrift und der Erklärung das wir persönlich finanziell haften.

    Ist dieser Vertrag überhaupt gültig, bei den Punkten die eventuell über gesetzliche Regelungen hinaus gehen, wenn es zu einem Rechtsstreit kommen sollte?

    • Grundsätzlich sind Mitarbeiter von Unternehmen, die Datenverarbeitung im Auftrag betreiben, von diesem nach § 5 BDSG zu verpflichten und nicht vom Auftraggeber (Kunden). § 203 StGB ist eine Vorschrift, die auf den dort genannten Personenkreis (z.B. Arzte, Rechtsanwälte und deren Gehilfen) anwendbar ist. Weiterhin haftet der Mitarbeiter grundsätzlich gegenüber seinem Arbeitgeber (abhängig von der Schadensart und abhängig von der Fragen des Grades der Fahrlässigkeit und beim Vorsatz).

      Denn der Mitarbeiter besteht im Normalfall lediglich ein Arbeitsverhältnis mit Rechten und Pflichten nur mit seinem Arbeitgeber. Der Kunde dagegen schließt in der Regel nur einen Vertrag mit dem Arbeitgeber und hat grundsätzlich keinen haftungsrechtlichen Zugriff auf den Arbeitnehmer.
      Auf der anderen Seite herrscht Vertragsfreiheit, wonach Verträge geschlossen werden können, die sowohl hinsichtlich des Vertragspartners als auch des Vertragsgegenstandes frei bestimmt werden können, sofern sie nicht gegen zwingende Vorschriften, gesetzliche Verbote oder die guten Sitten verstoßen.

      Ob ein solcher Vertrag vor Gericht standhalten wird, ist vielmehr ein zivilrechtliches Problem und kein datenschutzrechtliches. Sie sollten sich gut überlegen, ob Sie einen solchen Vertrag mit einer Haftung unterschreiben sollten und ggf. mit Ihrem Arbeitgeber oder Rechtsanwalt sprechen.

  • Guten Tag,
    das Unternehmen, wo ich beschäftigt bin, verteilt wöchentlich 1,2 Mio Zeitungen. Neulich wurde ich von einem Leser aufgefordert, ihm nachzuweisen, dass unsere Zusteller schriftlich auf §5 des BDSG hingewiesen und geschult wurden. Nach unserer Auffassung betrifft dies doch nur den Personenkreis, der mit der Datenverarbeitung beschäftigt ist.
    Ich freue mich über eine Antwort.
    Viele Grüße
    Ben Schwarz

    • Das Datengeheimnis ist von den Personen zu wahren, die mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind. In § 3 Abs. 3 – 5 BDSG ist legaldefiniert, was Erhebung, Verarbeitung und Nutzung bedeuten.

      Zunächst ist darauf hinzuweisen, dass die Verpflichtung auf das Datengeheimnis, die zum Nachweis der entsprechenden Belehrung über das geltende und zu beachtende Datengeheimnis schriftlich erfolgen sollte, rein deklaratorischer Natur ist. Das bedeutet, auch ohne eine schriftlichen Nachweis haben die entsprechenden Personen das Datengeheimnis zu wahren, nicht erst auf eine formelle Verpflichtung hin.

      Der Nachweis einer Belehrung der Mitarbeiter zur Wahrung des Datengeheimnisses kann unter Umständen gegenüber Auftraggebern, deren personenbezogenen Daten verarbeitet werden, erforderlich sein, weniger jedoch gegenüber Einzelpersonen wie einem Leser.

  • Guten Tag!
    Wir arbeiten in unserem internationalen Betrieb mehrsprachig und es kommt zwangsläufig täglich zu Übersetzungs-/Dolmetschsituationen. Diese Aufgabe übernimmt i.d.R. ein mehrsprachiger Mitarbeiter – auch in Gesprächen / mit Dokumenten, die vertraulich zu behandeln sind, so z.B. Arbeitsverträge oder andere Unterlagen aus Personalakten.
    Meine Fragen: Unterliegt auch ein Arbeitsvertrag dem Datenschutz? Welche Maßnahmen müssen wir grundsätzlich vornehmen, um hier den Datenschutz und damit die Rechte unserer anderen Mitarbeiter zu gewährleisten?

    • Sofern es sich um eigene Mitarbeiter handelt, so müssen natürlich auch diese auf das Datengeheimnis entsprechend § 5 BDSG verpflichtet werden.

      Weiterhin ist das Need-to-know-Prinzip zu beachten. Fraglich ist hier, ob der Dolmetscher tatsächlich Zugang zu personenbezogenen Daten (personalisierte Verträge) benötigt oder ob nicht auch Musterdokumente (ohne Namen) ausreichend sind.

      Soweit es sich um externe Dienstleister handelt, welche mit personenbezogenen Daten in Kontakt kommen, so wäre hier § 11 BDSG (Auftragsdatenverarbeitung) zu beachten.

  • Hallo ,
    leider müssen wir uns als BR mit einer unklaren Sache beschäftigen . Darf der Arbeitgeber , Mitarbeiter die „Ausschuß“ produzieren , namentlich , schriftlich erfassen , und der GF vorlegen?
    Vielen Dank im vorraus .
    Mit freundlichen Grüßen ,
    J.Herklotz

  • Hallo,

    ich arbeite als externer IT-Dienstleister für einen Steuerberater – bei meinem ersten Besuch dort musste ich mich nach §5 BDSG verpflichten lassen. Ich hab es unterschrieben, da darauf gepocht wurde, habe aber darauf hingewiesen, dass ich mich nicht dazu verplfichtet fühle. Der Grund ist in meinen Augen, dass für mich das §5 BDSG gar nicht gilt – eher sollte zwischen den Firmen ein §11 BDSG Vertrag aufgesetzt werden, dann hat das ganze Hand und Fuß. Können Sie mir da bitte erklären, ob ich alles richtig gemacht habe.

    Das zweite Thema wäre folgendes: Wenn ein Handwerker (oder allgemein „betriebsfremde Personen“) im Haus ist, der unter Umständen Zugang zu sensiblem Material hat – darf ich den dann überhaupt zum Thema Datenschutz etwas unterschreiben lassen, nach welchem § und wie soll so ein Schreiben aussehen?

    • Bei der Verpflichtung auf das Datengeheimnis kommt es nicht auf die rechtliche Qualifikation des Beschäftigungsverhältnisses an. Ausreichend ist daher, wenn die faktische Möglichkeit des Zugangs zu und der Verwendung von personenbezogenen Daten der verantwortlichen Stelle besteht. Bei der Frage der Notwendigkeit der Etablierung eines Vertrags zu einer Auftragsdatenverarbeitung nach § 11 BDSG muss untersucht werden, ob der Empfänger der Daten (also Sie) diese „für sich selbst“ erhebt, verarbeitet und nutzt oder eine Verwendung der Daten „nur im Rahmen der Weisungen des Auftraggebers“ erfolgt. Die Abgrenzung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung gestaltet sich mitunter schwierig. Grundsätzlich ist bei einer reinen IT-Dienstleistung von einer Auftragsdatenverarbeitung auszugehen, was aber hier für Ihren Sachverhalt nicht abschließend geklärt werden kann. Bitte beachten Sie, dass die Vorschriften des BDSG die Verpflichtung zur Wahrung gesetzlich vorgesehener Geheimhaltungspflichten (Berufsgeheimnisse), hier die berufsrechtliche Verschwiegenheitspflicht des Steuerberaters (§ 203 StGB, § 57 StBerG), unberührt lassen. Die Auslagerung der Verarbeitung personenbezogener Daten kann folglich eine unzulässige Offenbarung eines Geheimnisses sein, selbst wenn nach Voraussetzungen für eine Auftragsdatenverarbeitung theoretisch vorliegen würden. IT-Dienstleistungen durch externe IT Dienstleister für Berufsgeheimnisträger kann nach gegenwärtiger Rechtslage nur auf entsprechende Einwilligungen, also der Entbindung der Schweigepflicht der Betroffenen oder – unter engen Voraussetzungen auch auf deren mutmaßliche Einwilligung gestützt werden. Sie sollten sich daher bei Ihrem Auftraggeber (dem Steuerberater) erkundigen, ob dies hinsichtlich der an Sie übertragenden Daten bedacht wurde.

      Zur Ihrer zweiten Frage kann nach oben verwiesen werden: wenn die faktische Möglichkeit des Zugangs zu und der Verwendung von personenbezogenen Daten besteht, sollte von der entsprechenden Person eine Verpflichtung auf das Datengeheimnis eingeholt werden, u.U. kann bei einem „Umgang“ dieser Person mit personenbezogenen Daten sogar ein Auftragsdatenverarbeitung vorliegen. Es sollte aber bereits daran gedacht werden, den Zugang zu personenbezogenen Daten für Dritte/Externe erst gar nicht zu ermöglichen.

  • Auf der Seite des bayerischen Datenschutzbeauftragten gibt es eine Ausarbeitung, die darauf hinweist, dass auch „das Reinigungspersonal“ auf das Datengeheimnis zu verpflichten wäre. Wenn diese aber zB in einem Büro reinigen, ist es doch zufällig und nicht zielgerichtet, wenn sie personenbezogene Daten erfahren. Und es schlicht zu wissen ist auch keine Nutzung nach meinem Verständnis. Sehen sie das anders? Kann ich durch Zufall oder passiv Daten erheben und nutzen?
    MfG

  • Kann eine Verpflichtung zum Datengeheimnis als Bestandteil in den Arbeitsvertrag eingebaut werden oder ist eine separate Verpflichtungserklärung nötig, die unabhängig vom Arbeitsvertrag unterschrieben wird?

    • Das Gesetz bestimmt insoweit keine Anforderungen. Bei der Verpflichtung auf das Datengeheimnis hat der Arbeitgeber daher grundsätzlich die Wahlmöglichkeit, ob er eine entsprechende Verpflichtung in den Arbeitsvertrag des jeweiligen Mitarbeiters integriert oder eine gesonderte Vereinbarung aufsetzt. Zu berücksichtigen ist dabei, dass eine solche Verpflichtung stets bei der Aufnahme der Tätigkeit zu erfolgen hat (in der Regel also bei Beginn der Arbeitsaufnahme) und der Mitarbeiter dabei auch über seine Pflichten unterrichtet wird, beispielweise durch eine kurze Schulung durch den Datenschutzbeauftragten.

  • Hallo,

    kurze Frage: wie sieht es mit der Verpflichtung auf das Datengeheimnis beim Probearbeiten bzw. Einfühlungsverhältnissen aus?
    Weiterhin würde mich auch die Antwort auf die Frage von Vroni am 14. August 2015, 09:51 Uhr interessieren.
    Vielen Dank

    • Die Verpflichtung auf das Datengeheimnis betrifft alle, die faktisch mit personenbezogenen Daten in Berührung kommen können (unabhängig davon ob dies gewollt ist oder die Person zufällig mit personenbezogenen Daten in Kontakt kommen kann). Deswegen ist auch das Reinigungspersonal nach § 5 BDSG zu verpflichten, wenn die Möglichkeit besteht, dass es Einsicht in personenbezogene Daten erhält. Ob diese Personen zum Zugriff auf die Daten befugt sind und gewollt oder ungewollt mit den Daten in Berührung kommen, ist unerheblich.

      § 5 Satz 1 BDSG stellt nicht nur auf eine Arbeitnehmer- oder arbeitnehmerähnliche Stellung ab. Es kommt alleine darauf an, ob den jeweiligen Personen ein Zugang zu personenbezogenen Daten möglich ist (was bei einer Probearbeit durchaus der Fall sein dürfte).

    • Aufgrund des fehlenden Bezugs zur Verpflichtung auf das Datengeheimnis wurde der Kommentar verschoben. Achten Sie demnächst bitte darauf, dass sich ihre Frage auch auf den Inhalt des Artikels bezieht.

  • Wer unterzeichnet die Verpflichtung auf das Datengeheimnis offiziell ?

    Der Datenschutzbeauftragte belehrt, ist aber weisungsfrei. Ich wurde sagen der Geschäftsführer sollte hier unterzeichnen da er verantwortlich ist und nicht der bDSB.

    • Das ist richtig. Der Datenschutzbeauftragte ist nach §4f III BDSG weisungsfrei und dem Leiter der Stelle, i.d.R. bei einem Unternehmen dem Geschäftsführer, beratend unterstellt.
      Er trifft nie eine bindende Entscheidung für die Stelle, sondern wirkt nur auf die Einhaltung der Datenschutzvorschriften hin.

  • Ich bin in einem Verein tätig. Da ich mit personenbezogenen Daten zu tun habe wurde ich auf die Verpflichtung des § 5 BDSG hingewiesen und unterschrieben. Die Daten liegen nun auf meinem privaten Rechner.
    Frage: Mein Rechner wird gehackt; die Daten werden missbraucht. Kann ich zur Rechenschaft gezogen werden und muß Strafe bezahlen nach § 43 Bußgeldvorschriften?

    • Dies wäre möglicherweise nur im Falle eines Vorsatzes oder Fahrlässigkeit von Ihnen der Fall. Deshalb sollten auch private Computer, die wie geschildert personenbezogene Daten enthalten, stets gesichert und gewartet werden.

  • Gilt das § 5 BDSG also auch für Vereine, nicht nur für Unternehmen?

    • Nach § 5 S. 2 BDSG müssen „nicht-öffentliche Stellen“ Personen, die bei ihnen beschäftigt sind, auf das Datengeheimnis verpflichten. Der eingetragene Verein ist eine juristische Person des Privatrechts und damit eine „nicht-öffentliche Stelle“ im Sinne des § 5 BDSG.

  • Meine Firma hat einen externen Datenschutzbeauftragten beauftragt. Nun wurde uns von diesem die Verpflichtung nach §5 DSG in unserer Abrechnung beigelegt mit Auszügen aus dem BDSG und seinen Kontaktdaten.
    Ist das so üblich und zulässig? Ich / wir hätten uns sicher über ein paar erklärende Worte gefreut!

    • Üblich ist diese Vorgehensweise sicherlich nicht. Wie Sie richtig sagen, ist es für die Mitarbeiter viel angenehmer, wenn das Dokument z.B. im Anschluss an eine Datenschutzschulung ausgeteilt wird und somit die Gelegenheit für Erklärungen gegeben ist. Unzulässig ist das Verfahren jedoch nicht. Sie sollten sich bei Fragen oder Unklarheiten an Ihren externen Datenschutzbeauftragten wenden, dessen Kontaktdaten Sie ja bekommen haben.

  • Dürfen Röntgenaufnahmen telef. angefordert werden und die gebrannte CD an den Patient oder Praxis verschickt werden?

  • Wenn wir eine Firma im Rahmen eines ASP Vertrages beauftragen, müssen wir dann als Auftraggeber die Beschäftigten selbst (per Handschlag und Verpfl.Erkl) zum Datengeheimnis verpflichten oder reicht es aus, wenn die Firmenleitung uns zusichert, dass alle Mitarbeiter entsprechend von der Firmenleitung persönlich nach den zutreffenden Bestimmungen des Bundes und Landesdatenschutzgesetzes verpflichtet wurden?

    Ersteres wäre ein irre Aufwand und die MA einer typischen ASP Firma würden ja andauernd Verpflichtungserklärungen gleichen Inhaltes abgeben müssen.

    • Es ist Aufgabe Ihres Auftragnehmers seine Beschäftigten auf das Datengeheimnis zu verpflichten. In aller Regel wird im Rahmen eines ASP Vertrages zusätzlich ein Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG abzuschließen sein. Dieser enthält u.a. die Verpflichtung des Auftragnehmers die mit der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis zu verpflichten.

  • Hallo,
    ich habe eine Frage zum Datum der Verpflichtungserklärung. Wir haben eine Vorlage, diese haben wir unseren Mitarbeitern immer zur Unterschrift aushändigen. Bei zwei neuen Mitarbeitern, die Ende letzten Jahres bei uns angefangen haben, wurde versäumt die Erklärung unterschreiben zu lassen. Jetzt kam aber die Frage auf, auf welches Datum die Erklärung gesetzt werden müsste. Rückwirkend zum Beschäftigungsbeginn oder reicht es mit dem aktuellen Datum? Vielen Dank

  • Guten Tag,
    ich habe Fragen zum Vorstand eines eingetragenen Vereins / Verbandes:
    Das neue Vorstandsmitglied bekommt keine Mailadressen der anderen Vorstandsmitglieder mit der Begründung: aus datenschutzrechtlichen Gründen!
    Das neue Vorstandsmitglied kann also keinen direkten Kontakt zu den anderen Vorstandskollegen oder zu einzelnen Vorstandsmitglieder aufnehmen. Der Vereinsvorsitzende unterstreicht seine Begründung damit, dass „korrekterweise“ alle Mails von und an dem neuen Vorstandsmitglied über die Geschäftstelle des Vereins an versendet werden: Allerdings ist es so, dass das neue Vorsatndsmitglied, nicht wie es sonst üblich ist, den Briefkopf des Mails bekommt aus der Absender, Empfänger, Betreff, Datum, ersichtlich wäre.
    Bitte teilen Sie mir mit, ob diese abstruse Vorgehensweise (die vor der Wahl des neuen Vorstandsmitgliedes nicht gepflogenheit war) aus Gründen des Datenschutzes begründet werden kann und darf undob diese Begründung (datenschutz-)rechtlich haltbar ist.

    Die Herausgabe von früheren Vorstandsprotokollen werden ebenso aus datenschutzrechtlichen Gründen nit übersandt.
    Dürfen Vorstandsprotokolle aus datenschutzrechtlichen Gründen Vorstandsmitgliedern vorbehalten werden?
    (Wichtig: es handelt sich um ein Verband welcher auf Bundesebene arbeitet und Mitglieder sind regionale Vereine). es geht also in den Vorstandssitzungen nicht um die Erfassung und Verarbeitung von personengebundenen Mitgliederdaten).

    Beste Grüße
    Lilly

    Wichtig ist: personengebundene Daten (z.B. Mitgliederdaten) werden vom neuen Vorstandsmitglied weder erhoben noch bearbeitet nch eingesehen! Das alles macht die Geschäftstelle des bundesweit arbeitenden Verbandes. Das neue Vorstandsmitglied hat also keine Berührungspunkte zu Mitgliederdaten und zur Datenverarbeitung.

    MfG

    • Eine Datenübermittlung ist datenschutzrechtlich dann rechtfertigungsbedürftig, wenn es sich hierbei um personenbezogene Daten handelt, die an einen Dritten bekanntgegeben werden. E-Mail-Adressen sind grundsätzlich personenbezogene Daten. Die Vorstandsprotokolle sind dann datenschutzrechtlich relevant, wenn sie Informationen beinhalten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Datenübermittlung liegt jedoch nicht vor, wenn der Verein Informationen an seine unmittelbaren Funktionsträger (wie Vorstand) übermittelt. In diesem Fall ist lediglich eine interne Nutzung gegeben, die datenschutzrechtlich irrelevant ist. Dies könnte bei Ihnen vorliegen.

  • Guten Morgen,
    ich arbeite in der Ausbildungsleitung einer Bildungseinrichtung wo Auszubildende tätig sind und Einblicke in die Akten aller Auszubildenden haben. Hierzu benötige ich eine Datenschutzerklätung, wo die Auszubildenden auf das Datenschutzgeheimnis hingewiesen werden. Gibt es da spezielle Formuliereungen, da es sich hier um Auszubildende und nicht um Arbeitnehmer handelt?

    • Spezielle Formulierungen aufgrund der Eigenschaft als Auszubildende sind nicht notwendig. Wichtiger ist, dass Auszubildende nur dann Einblicke in die Akten anderer Auszubildender haben, wenn dies für die Durchführung des Ausbildungsverhältnisses erforderlich ist. Ist dies tatsächlich der Fall, sollte der Text der Verpflichtungserklärung verständlich formuliert sein und idealerweise mit den Auszubildenden über den Inhalt der Erklärung gesprochen werden.

  • Guten morgen, ich arbeite bei einem öffentlichen Arbeitgeber. Nun soll bei uns, die Leitung durch eine externe Kraft aus einem Privatunternehmen auf Basis eines Managementvertrages übernommen werden.
    Ich mache mir nun Sorgen das meine persönlichen, bei meinem Arbeitgeber hinterlegten Daten (z.B GdB) dem privaten Arbeitgeber der die Leitung im Rahmen des Managementvertrages stellt, zugänglich werden. Diese Privatunternehmen soll zukünftig auch eine Teilbereich unseres Aufgabengebietes übernehmen und ausbauen.

    Meine Frage: Welchen Zugriff auf unsere beim öffentlichen Arbeitgeber geführten Daten hat eine mit Managementvertrag ausgestattete Leitung eines privaten Unternehmens?
    Viele Grüße und Danke!

    • Inwieweit ein externer Dienstleister im Rahmen von Outsourcing-Prozessen Zugriff auf Personaldaten erhält, hängt maßgeblich von der zugrundeliegenden Vereinbarung mit dem Dienstleister ab. Beispielsweise ist es möglich, dass große Teile des Personalbereichs auf einen Dienstleister ausgelagert werden. In diesem Fall ist natürlich erforderlich, dass die benötigten Personaldaten dem Dienstleister zur Verfügung gestellt werden. Ist hingegen für das Erbringen der vertraglich vereinbarten Leistung eine genaue Kenntnis der Mitarbeiterdaten nicht erforderlich, besteht in der Regel auch keine Veranlassung, diese an den Dienstleister weiterzuspielen.

  • Ich habe am 05.07.2017 einen Vermittlungsvorschlag meiner Sachbearbeiterin der BA erhalten. In dem ich mich bei Zeitarbeitsfirma bewerben muss. Sollte ich dies nicht tun, drohen mir Sanktionen. Daraufhin habe ich mich per Mail zu Händen der zuständigen Sachbearbeiterin dieser Zeitarbeitsfirma beworben. In diesem Mail Anschreiben habe ich explizit niedergeschrieben, dass:

    – Der Inhalt dieser Nachricht und eventueller Anhänge ist vertraulich. Wenn Sie nicht der beabsichtigte Empfänger sind, dann löschen Sie diese E-Mail bitte sofort mit Ihren Anhängen und informieren Sie bitte den Absender.
    – Sie dürfen diese Nachricht oder einen Anhang nicht kopieren oder an andere Personen weiterleiten.

    Ebenfalls habe ich dort festgelegt, dass ich um eine, im Anhang dieser Mail zu findende und vorher zu unterzeichnende Schweigepflicht- und Datenschutzvereinbarung für Zeitarbeitsunternehmen bitte. Diese sollte vor-ab mit der obigen Referenznummer innerhalb von drei Tagen ausgefüllt und unterschrieben an mich zurück gesendet werden.

    Am 17.08.2017 wurde mir von meiner Sachbearbeiter der BA eröffnet, dass sie eine Beschwerde von der Zeitarbeitsfirma über die BA Aachen/Düren zu meiner Bewerbung erhalten habe. Meine Sachbearbeiterin hat den ganzen Bewerbungsvorgang mit Mailanschreiben inklusiv meiner gesamten Daten (Lebenslauf, usw.) aus der Bewerbung in Kopie vorliegen. Das heißt, dass die zuständige Empfängerin bei der Zeitarbeitsfirma meine Bewerbungsunterlagen ohne meine Zustimmung oder Rückfragen komplett an die BA Aachen Düren und diese anschließend an die BA Viersen weitergeleitet hat. Selbst wenn ich nicht explizit um die Einhaltung meiner Rechte gebeten hätte wurde mir auf Grund der von dieser Zeitarbeitsfirma auf der eigenen Webseite hinterlegten Datenschutzvereinbarung zugesichert, dass:

    „Die Vertraulichkeit personenbezogener und besonders schutzwürdiger Daten unserer Mitarbeiter, Bewerber, Dienstleister, Kunden und Vertragspartner zu wahren, liegt im besonderen Interesse der xxxxxxxxxx. Daher ist für uns die Beachtung der nationalen und europäischen Datenschutzbestimmungen bei der Verwendung personenbezogener Daten durch moderne Informations- und Kommunikationstechnologien eine Selbstverständlichkeit.“

    Gegen welche Pflichten hat die Zeitarbeitsfirma verstoßen, bzw. welche Straftatbestände wurden erfüllt? Was kann ich tun? Was kann ich tun um Schadensersatz zu bekommen?

  • Könnten Sie eine aktualisierte Verpflichtungserklärung zur Verfügung stellen, die schon die DSGVO und das neue BDSG beachtet?

    • Eine Vorlage können wir hier leider nicht zur Verfügung stellen. Es gibt ab Mai 2018 auch keine gesetzliche Anforderung mehr, Beschäftigte auf das Datengeheimnis zu verpflichten. Trotzdem ist es sinnvoll, dass Beschäftigte eine solche Erklärung unterschreiben. Der Datenschutzbeauftragte kann damit seiner Unterrichtungspflicht nach Art. 39 Abs. 1 lit a DSGVO nachkommen. Außerdem ist eine solche Erklärung Bestandteil eines Datenschutzmanagement-Systems. Inhaltlich ist eine Orientierung an aktuellen Erklärungen möglich, wenn die gesetzlichen Vorschriften entsprechend neu zitiert werden.

  • Müssen Vereine (e.V.) Mitglieder auf das Datengeheimnis verpflichten, die ehrenamtlich unterstützen (z.B. im Bereich Mitgliederbetreuung) und keinen Arbeitsvertrag haben?

    • Ja, sofern die Mitglieder mit personenbezogenen Daten in Berührung kommen. Im Bereich der Mitgliederbetreuung ist das der Fall. Es gibt hierzu auch eine Stellungnahme vom Landesbeauftragen für den Datenschutz Baden-Württemberg. Unter Punkt 7.2 wird darauf hingewiesen. Zu beachten ist, dass eine Verpflichtung auf die Wahrung des Datengeheimnisses in der jetzigen Form mit der DSGVO wegfällt, s. Kommentar v. 20. Oktober 2017, 13:24 Uhr. Eine Verpflichtung auf die Vertraulichkeit nach DSGVO ist dennoch empfehlenswert.

  • Hallo,

    muss ich als Heilpraktiker mit eigener Praxis (keine weiteren Mitarbeiter) auch einen Datenschutzbeauftragten (also mich selbst) benennen, und muss ich von meinen Patienten vor der Erstkonsultation auch eine Einwilligungserklärung unterschreiben lassen? Darf ich Untersuchungsergebnisse per E-Mail an die Patienten verschicken, bzw. Untersuchungsergebnisse von Laboren, mit denen ich zusammenarbeite per E-Mail empfangen?

    • Eine Bestellpflicht zum DSB besteht erst ab einer Mitarbeiteranzahl von 10 Mitarbeitern. Außerdem kann eine Benennpflicht bestehen, wenn die Pflicht zur Vornahme einer Folgenabschätzung besteht. Dies kann der Fall sein, wenn eine große Menge an sensiblen Daten verbreitet wird, wie z.B. Patientendaten. Dennoch können Sie sich nicht selbst überwachen. Eine Einstellung eines weiteren Mitarbeiters nur zur Erfüllung des Datenschutzes erscheint nicht zweckmäßig und nicht im Sinne des Datenschutzrechts. Allerdings müssen Sie Ihre Patientendaten dennoch datenschutzkonform verarbeiten. Sensible Daten, wie Untersuchungsergebnisse, sollten z.B. ausschließlich verschlüsselt versendet werden.

  • Sehr geehrte Damen und Herren,
    dass die Verpflichtung auf die Vertraulichkeit unterschrieben werden sollte kann ich nachvollziehen.
    Warum muss die TKG §88 unterschrieben werden, wenn es keine gesetzliche Verpflichtung gibt?
    Muss ich trotzdem unterschreiben?
    Keine gesetzliche Verpflichtung
    Eine Verpflichtung der Mitarbeiter auf das Fernmeldegeheimnis ist – anders als beim Datengeheimnis nach dem BDSG – nicht gesetzlich vorgeschrieben. Aber aufgrund der hohen Strafe bei einer Verletzung dieser Regelung (immerhin handelt es sich nicht mehr um eine Ordnungswidrigkeit, sondern um eine Straftat) ist sie dennoch zu empfehlen. Schließlich hat der Arbeitgeber eine Fürsorgepflicht gegenüber seinen Mitarbeitern. Viele Mitarbeiter werden diese Regelung nicht kennen und können daher erwarten diesbezüglich unterrichtet zu werden.
    Danke im Voraus.

    • Die Antwort auf Ihre Frage findet sich bereits in Ihrem Beitrag. Eine förmliche Verpflichtung des Arbeitsgebers zur Verpflichtung seiner Beschäftigten auf das Fernmeldegeheimnis besteht nicht. Dennoch hat er unter gewissen Voraussetzungen, so bei erlaubter Privatnutzung betrieblicher Kommunikationsmittel, die Vorgaben des TKG zu beachten. Da sich auch der betreffende Beschäftigte bei Verletzung des Fernmeldegeheimnisses nach § 206 StGB strafbar machen kann, liegt es sowohl im Interesse des Arbeitgebers als auch im Interesse der Beschäftigten, über diesen Umstand aufzuklären. Die Unterschrift dient dabei vorrangig Beweiszwecken.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.