Verpflichtung auf das Datengeheimnis

dokumente 16
Fachbeitrag

Nach § 5 BDSG müssen die bei der Datenverarbeitung beschäftigten Personen auf das sog. Datengeheimnis verpflichtet werden. Diese Verpflichtung ist neben der Beachtung von Geschäfts- und Unternehmensgeheimnissen zu befolgen und bezieht sich auf das gesetzliche Verbot des unbefugten Umgangs mit personenbezogenen Daten.

Worum geht es bei der Verpflichtung auf das Datengeheimnis?

In der täglichen Beratungspraxis findet sich häufig ein Missverständnis über die notwendige Verpflichtung auf das Datengeheimnis. Viele Unternehmen sind der Auffassung, dass die Vertraulichkeitsklauseln in Arbeitsverträgen auch die Verpflichtung auf das Datengeheimnis nach § 5 BDSG abdecken oder kennen diese Vorschrift nicht.

Die gesetzliche Regelung des § 5 BDSG lautet:

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Es geht also bei der Verpflichtung auf das Datengeheimnis nicht um die Wahrung von Firmengeheimnissen, sondern um die Verpflichtung jedes einzelnen Beschäftigten zur Beachtung des gesetzlichen Verbots unbefugter Datenerhebung und -verwendung. Personenbezogene Daten umfassen in Unternehmen dabei regelmäßig Mitarbeiter, Kunden- oder auch Lieferantendaten. Amts- oder Berufsgeheimnisse oder die typischen Vertraulichkeitsklauseln in Arbeitsverträgen ergänzen die Regelung des § 5 BDSG, der selbst einen Mindeststandard für den Geheimnisschutz darstellt. Die Verpflichtungserklärung hat die Aufklärung der Arbeitnehmer und die Vermeidung einer unbefugten Datenverarbeitung zum Ziel.

Wer muss auf das Datengeheimnis verpflichtet werden?

Grundsätzlich muss jede mit der Datenverarbeitung beschäftigte Person auf das Datengeheimnis verpflichtet werden. Dafür hat die verantwortliche Stelle, also i.d.R. das Unternehmen, Sorge zu tragen. Der Kreis der auf das Datengeheimnis zu verpflichtenden Personen ist auf Grund der Bedeutung dieser Vorschrift weit auszulegen. Zum Beispiel sind auch Auszubildende, Aushilfen, Praktikanten und sogar freie Mitarbeiter mit einzubeziehen. Die Verpflichtung auf das Datengeheimnis gilt dabei nicht nur für die Dauer des Beschäftigungsverhältnisses, sondern auch darüber hinaus. Bei Systemadministratoren gibt es eine besondere Verpflichtung nach § 88 TKG.

In welcher Form erfolgt die Verpflichtung?

Aus Nachweisgründen, etwa gegenüber Aufsichtsbehörden, ist es wichtig, die Verpflichtung auf das Datengeheimnis von dem Verpflichteten schriftlich bestätigen zu lassen. Wenn die Verpflichtung auf das Datengeheimnis nicht oder nur unzureichend erfolgt ist, kann dies u.U. straf- oder zivilrechtliche Sanktionen sowohl für den Mitarbeiter als auch für den Arbeitgeber zur Folge haben.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung einer Datenschutz-Dokumentation (z.B. internes / öffentliches Verfahrensverzeichnis)
  • Bereitstellung von Verpflichtungserklärungen auf das Datengeheimnis
  • Formulierung von Betriebsvereinbarungen bei datenschutzrelevanten Sachverhalten

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Dokumente

40 Kommentare zu diesem Beitrag

  1. Sehr geehrte Damen und Herren,
    eine kurze, aber für mich wichtige Frage: Mein vierzhenjähriger Sohn hat gestern eine
    Blutentnahme in meiner Anwesenheit genommen bekommen!
    Jetzt bat ich die Sprechstundenhilfe mir die Blutwerte per Fax zukommen zu lassen!
    Die shandhaben wir schon sieben oder acht Jahre so!
    Da ich Kernchemiker bin, kann ich solche Blutwerte deuten!
    Ich bekam ein sehr unfreundliches Fax zurück, in dem die Sprechstundenhilfe
    sehr „brutal“ schrieb: “ Wir faxen gar nichts!“ Sie können die Daten abholen, ist ist neuerdings verboten!“
    Ich möchte hier nur wissen, darf ein Vater eines vierzehnjährigen die Daten seines Sohnes
    per Fax bekommen!

    Bitte helfen Sie mir, es scheint mir so, dass diese Dame sich wichtig machen will!

    Herzliche Grüße und vielen Dank für eine Antwort!

    Dr. Jürgen Loscheider

    • Dies ist nicht erst neuerdings verboten. Die Anlage zu § 9 BDSG verlangt von der verantwortlichen Stelle (hier der Arzt), dass dieser Maßnahmen trifft welche gewährleisten,dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen werden können. Da bei einer Fax-Übertragung keine Verschlüsselung oder dergleichen stattfindet, kann ähnlich wie bei einer Postkarte theoretisch jeder Provider oder Netzwerkteilnehmer mitlesen, so dass diese Voraussetzungen nicht erfüllt sind.

      Daneben unterliegen Ärzte gem. § 203 StGB der gesetzlichen Schweigepflicht, weshalb der Azt bei einer Fax-Übertragung Gefahr läuft sich strafbar zu machen.

      Die daher empfehlenswerteste Variante ist tatsächlich eine persönliche Übergabe. Eine alternative Möglichkeit wäre, wenn Sie und Ihr Sohn GEMEINSAM die Faxübertragung schriftlich (d.h. durch ein unterschriebenes Originaldokument) genehmigen, dort die Faxnummer anführen und das Dokument dann in der Patientenakte hinterlegt wird. In diesem Fall stünde einer Faxübertragung seitens des Arztes nichts mehr im Wege.

  2. Sehr geehrte Damen und Herren,

    entsprechend §5 BDSG haben Mitarbeiter bei uns, per Verpflichtungserklärung, die Einhaltung des Datengeheimnisses zu bestätigen. Dies erfolgt in der Regel bei Einstellung.
    Auf welcher Grundlage wäre eine sich regelmäßig wiederholende Abgabe der Verpflichtung denkbar ?
    Der Gesetzestext sagt ja eigentlich auch, dass die einmal abgegebene Erklärung auch über das Ausscheiden hinaus Wirkung hat.

    Mit freundlichem Gruss, Webhopper

    • Eine wiederholte Verpflichtung ist datenschutzrechtlich nicht nötig, da, wie sie richtig sagen, die Verpflichtung über das Ende des Beschäftigungsverhältnis hinaus wirkt. Um den Mitarbeiter aber auf seine Geheimhaltungspflicht aufmerksam zu machen, bieten sich regelmäßige Schulungen durch den Datenschutzbeauftragten an.

  3. Wie verhält es sich bei einem arbeitsrechtlichen Verfahren, wenn man Daten an einen Dritten (Rechtsanwalt) weiter gibt, die relevant für das Verfahren sind.

    • Ihre Frage ist sehr allgemein gehalten. Grundsätzlich kommt es darauf an, zu welchem Zweck die Daten weitergegeben werden sollen. Wenn Sie an den Rechtsanwalt gegeben werden sollen, der den Rechtstreit für den Mandanten führt, dürfte dies wohl zulässig sein. Eine Auftragsdatenverarbeitung mit Rechtsanwälten kommt grundsätzlich nicht in Betracht. Vielmehr bedarf es einer Rechtsgrundlage für die Übermittlung. Diese könnte in § 28 Abs. 1 BDSG zu sehen sein. Letztlich ist dies jedoch immer eine Einzelfallentscheidung, weshalb Sie am besten einmal Ihren Datenschutzbeauftragten fragen sollten, wenn Sie einen haben.

  4. Moin,
    wir arbeiten in unserer Fa. mit LotusNotes (Kalender, Mail etc). Hier kann man Personen so zulassen, dass sie Mails und Kalender lesen können.
    Dieses habe ich bei einem Kollegen erlaubt, welcher allerdings Informationen an meinen Vorgesetzten (auch Datenschutzbeauftragter unseres Unternehmens) weitergegeben hat – ohne mich vorher zu befragen und um Erlaubnis zu bitten.
    Nun waren im Kalender Informationen enthalten, die wie erwähnt meinen Vorgesetzten nicht zugänglich waren, er sie mir allerdings um „die Ohren gehauen hat“ und einen massiven Vorwurf daraus generiert hat.
    Durfte der Kollege die Infos weitergeben? Hätte mein Vorgesetzter bereits im Vorwege darauf aufmerksam machen müssen und den Kollegen zurechtweisen? Darf mein Vorgesetzter (wie erwähnt Datenschutzbeauftragter) diese Informationen nutzen? Wie kann ich mich dagegen verwahren?
    Vielen Dank

    • Kurz und knapp: Ein solches Vorgehen ist nicht zulässig. Sie sollten daher Ihren Betriebsrat oder sonstige Vertrauenspersonen benachrichtigen. Wenn nichts anderes hilft, können Sie Sich auch an Ihre zuständige Aufsichtsbehörde wenden.

      § 5 BDSG untersagt alle unzulässigen Verhaltensweisen beim Umgang mit personenbezogenen Daten und umfasst alle Phasen der Datenverarbeitung: Sie verbietet die unberechtigte Erhebung, Speicherung, Veränderung, Sperrung oder Löschung sowie jede andere Art und Weise unzulässiger Verwendung. So gehört auch die Offenbarung dienstlicher Informationen im privaten Kollegengespräch, wie in Ihrem Fall, ebenso dazu wie der Abruf von gespeicherten Daten aus reiner privater Neugier bzw. zu persönlichen Verwendungszwecken.

  5. Hallo,
    wir wollen einen Praktikanten in unserem Unternehmen in jede Abteilung reinschnuppern lassen. Wir lassen ihn eine Datenschutzerklärung unterschreiben, verpflichten ihn zum Datengeheimnis. Da er der Sohne eines Außendienstmitarbeiters ist, kennt er auch viele Kollegen. Er hätte hier auch Einblick in persönliche Daten von den bekannten Mitarbeitern. Ist das bedenklich-oder ist mit der Datenschutzerklärung alles abgegolten? Vielen Dank.

  6. Guten Tag,
    wir wollen unsere MA aus der Buchhaltung (3 MA) und aus der Personalabteilung (2 MA) auf §5BDSG verpflichten. Einen Datenschutzbeauftragten gibt es nicht und wie ich sehe benötigt man diesen auch erst ab 10 MA, die personenbezogene Daten verarbeiten. Ist mit einer Verpflichtungserklärung, die die MA unterschreiben, die Unterrichtung abgegolten und die Mindestanforderung an den Geheimschutz abgedeckt? Wir sind ein sehr kleines ISO-zertifiziertes Unternehmen. Vielen Dank im Voraus

    • Ob ein Datenschutzbeauftragter beauftragt werden muss, hängt nicht immer nur von der Anzahl der Mitarbeiter ab. Das BDSG sieht noch eine Reihe weiterer Fälle vor, in denen ein DSB zu bestellen ist (§ 4 f BDSG). Dies betrifft u.a. Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute sowie Unternehmen, die besonders sensitive Daten verarbeiten (z.B. Gesundheitsdaten).

      Neben der Verpflichtungserklärung nach § 5 BDSG gibt es weitere Vorgaben, die umgesetzt werden müssen: dazu gehört z.B. alle Mitarbeiter bei Aufnahme ihrer Tätigkeit und danach regelmäßig in den Datenschutzbestimmungen zu schulen (bei Mitarbeitern aus der Buchhaltung und der Personalabteilung muss dann zusätzlich auf die Besonderheiten eingegangen werden). Weiterhin sind auch Dokumentationen und Kontrollen durchzuführen, wenn Mitarbeiterdaten verarbeitet werden, Personalakten ausgegeben werden usw.

  7. Hallo,
    ich bin Angestellter eines großen IT-Dienstleister und unser Kunde möchte nun das wir persönlich einen Dienstleistungsvertrag in englischer Sprache zur Verpflichtung auf das Datengeheimnis nach §5, §43 und §203 unterschreiben. Persönlich bedeutet mit Angabe unserer privaten Anschrift und der Erklärung das wir persönlich finanziell haften.

    Ist dieser Vertrag überhaupt gültig, bei den Punkten die eventuell über gesetzliche Regelungen hinaus gehen, wenn es zu einem Rechtsstreit kommen sollte?

    • Grundsätzlich sind Mitarbeiter von Unternehmen, die Datenverarbeitung im Auftrag betreiben, von diesem nach § 5 BDSG zu verpflichten und nicht vom Auftraggeber (Kunden). § 203 StGB ist eine Vorschrift, die auf den dort genannten Personenkreis (z.B. Arzte, Rechtsanwälte und deren Gehilfen) anwendbar ist. Weiterhin haftet der Mitarbeiter grundsätzlich gegenüber seinem Arbeitgeber (abhängig von der Schadensart und abhängig von der Fragen des Grades der Fahrlässigkeit und beim Vorsatz).

      Denn der Mitarbeiter besteht im Normalfall lediglich ein Arbeitsverhältnis mit Rechten und Pflichten nur mit seinem Arbeitgeber. Der Kunde dagegen schließt in der Regel nur einen Vertrag mit dem Arbeitgeber und hat grundsätzlich keinen haftungsrechtlichen Zugriff auf den Arbeitnehmer.
      Auf der anderen Seite herrscht Vertragsfreiheit, wonach Verträge geschlossen werden können, die sowohl hinsichtlich des Vertragspartners als auch des Vertragsgegenstandes frei bestimmt werden können, sofern sie nicht gegen zwingende Vorschriften, gesetzliche Verbote oder die guten Sitten verstoßen.

      Ob ein solcher Vertrag vor Gericht standhalten wird, ist vielmehr ein zivilrechtliches Problem und kein datenschutzrechtliches. Sie sollten sich gut überlegen, ob Sie einen solchen Vertrag mit einer Haftung unterschreiben sollten und ggf. mit Ihrem Arbeitgeber oder Rechtsanwalt sprechen.

  8. Guten Tag,
    das Unternehmen, wo ich beschäftigt bin, verteilt wöchentlich 1,2 Mio Zeitungen. Neulich wurde ich von einem Leser aufgefordert, ihm nachzuweisen, dass unsere Zusteller schriftlich auf §5 des BDSG hingewiesen und geschult wurden. Nach unserer Auffassung betrifft dies doch nur den Personenkreis, der mit der Datenverarbeitung beschäftigt ist.
    Ich freue mich über eine Antwort.
    Viele Grüße
    Ben Schwarz

    • Das Datengeheimnis ist von den Personen zu wahren, die mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind. In § 3 Abs. 3 – 5 BDSG ist legaldefiniert, was Erhebung, Verarbeitung und Nutzung bedeuten.

      Zunächst ist darauf hinzuweisen, dass die Verpflichtung auf das Datengeheimnis, die zum Nachweis der entsprechenden Belehrung über das geltende und zu beachtende Datengeheimnis schriftlich erfolgen sollte, rein deklaratorischer Natur ist. Das bedeutet, auch ohne eine schriftlichen Nachweis haben die entsprechenden Personen das Datengeheimnis zu wahren, nicht erst auf eine formelle Verpflichtung hin.

      Der Nachweis einer Belehrung der Mitarbeiter zur Wahrung des Datengeheimnisses kann unter Umständen gegenüber Auftraggebern, deren personenbezogenen Daten verarbeitet werden, erforderlich sein, weniger jedoch gegenüber Einzelpersonen wie einem Leser.

  9. Guten Tag!
    Wir arbeiten in unserem internationalen Betrieb mehrsprachig und es kommt zwangsläufig täglich zu Übersetzungs-/Dolmetschsituationen. Diese Aufgabe übernimmt i.d.R. ein mehrsprachiger Mitarbeiter – auch in Gesprächen / mit Dokumenten, die vertraulich zu behandeln sind, so z.B. Arbeitsverträge oder andere Unterlagen aus Personalakten.
    Meine Fragen: Unterliegt auch ein Arbeitsvertrag dem Datenschutz? Welche Maßnahmen müssen wir grundsätzlich vornehmen, um hier den Datenschutz und damit die Rechte unserer anderen Mitarbeiter zu gewährleisten?

    • Sofern es sich um eigene Mitarbeiter handelt, so müssen natürlich auch diese auf das Datengeheimnis entsprechend § 5 BDSG verpflichtet werden.

      Weiterhin ist das Need-to-know-Prinzip zu beachten. Fraglich ist hier, ob der Dolmetscher tatsächlich Zugang zu personenbezogenen Daten (personalisierte Verträge) benötigt oder ob nicht auch Musterdokumente (ohne Namen) ausreichend sind.

      Soweit es sich um externe Dienstleister handelt, welche mit personenbezogenen Daten in Kontakt kommen, so wäre hier § 11 BDSG (Auftragsdatenverarbeitung) zu beachten.

  10. Hallo ,
    leider müssen wir uns als BR mit einer unklaren Sache beschäftigen . Darf der Arbeitgeber , Mitarbeiter die „Ausschuß“ produzieren , namentlich , schriftlich erfassen , und der GF vorlegen?
    Vielen Dank im vorraus .
    Mit freundlichen Grüßen ,
    J.Herklotz

  11. Hallo,

    ich arbeite als externer IT-Dienstleister für einen Steuerberater – bei meinem ersten Besuch dort musste ich mich nach §5 BDSG verpflichten lassen. Ich hab es unterschrieben, da darauf gepocht wurde, habe aber darauf hingewiesen, dass ich mich nicht dazu verplfichtet fühle. Der Grund ist in meinen Augen, dass für mich das §5 BDSG gar nicht gilt – eher sollte zwischen den Firmen ein §11 BDSG Vertrag aufgesetzt werden, dann hat das ganze Hand und Fuß. Können Sie mir da bitte erklären, ob ich alles richtig gemacht habe.

    Das zweite Thema wäre folgendes: Wenn ein Handwerker (oder allgemein „betriebsfremde Personen“) im Haus ist, der unter Umständen Zugang zu sensiblem Material hat – darf ich den dann überhaupt zum Thema Datenschutz etwas unterschreiben lassen, nach welchem § und wie soll so ein Schreiben aussehen?

    • Bei der Verpflichtung auf das Datengeheimnis kommt es nicht auf die rechtliche Qualifikation des Beschäftigungsverhältnisses an. Ausreichend ist daher, wenn die faktische Möglichkeit des Zugangs zu und der Verwendung von personenbezogenen Daten der verantwortlichen Stelle besteht. Bei der Frage der Notwendigkeit der Etablierung eines Vertrags zu einer Auftragsdatenverarbeitung nach § 11 BDSG muss untersucht werden, ob der Empfänger der Daten (also Sie) diese „für sich selbst“ erhebt, verarbeitet und nutzt oder eine Verwendung der Daten „nur im Rahmen der Weisungen des Auftraggebers“ erfolgt. Die Abgrenzung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung gestaltet sich mitunter schwierig. Grundsätzlich ist bei einer reinen IT-Dienstleistung von einer Auftragsdatenverarbeitung auszugehen, was aber hier für Ihren Sachverhalt nicht abschließend geklärt werden kann. Bitte beachten Sie, dass die Vorschriften des BDSG die Verpflichtung zur Wahrung gesetzlich vorgesehener Geheimhaltungspflichten (Berufsgeheimnisse), hier die berufsrechtliche Verschwiegenheitspflicht des Steuerberaters (§ 203 StGB, § 57 StBerG), unberührt lassen. Die Auslagerung der Verarbeitung personenbezogener Daten kann folglich eine unzulässige Offenbarung eines Geheimnisses sein, selbst wenn nach Voraussetzungen für eine Auftragsdatenverarbeitung theoretisch vorliegen würden. IT-Dienstleistungen durch externe IT Dienstleister für Berufsgeheimnisträger kann nach gegenwärtiger Rechtslage nur auf entsprechende Einwilligungen, also der Entbindung der Schweigepflicht der Betroffenen oder – unter engen Voraussetzungen auch auf deren mutmaßliche Einwilligung gestützt werden. Sie sollten sich daher bei Ihrem Auftraggeber (dem Steuerberater) erkundigen, ob dies hinsichtlich der an Sie übertragenden Daten bedacht wurde.

      Zur Ihrer zweiten Frage kann nach oben verwiesen werden: wenn die faktische Möglichkeit des Zugangs zu und der Verwendung von personenbezogenen Daten besteht, sollte von der entsprechenden Person eine Verpflichtung auf das Datengeheimnis eingeholt werden, u.U. kann bei einem „Umgang“ dieser Person mit personenbezogenen Daten sogar ein Auftragsdatenverarbeitung vorliegen. Es sollte aber bereits daran gedacht werden, den Zugang zu personenbezogenen Daten für Dritte/Externe erst gar nicht zu ermöglichen.

  12. Auf der Seite des bayerischen Datenschutzbeauftragten gibt es eine Ausarbeitung, die darauf hinweist, dass auch „das Reinigungspersonal“ auf das Datengeheimnis zu verpflichten wäre. Wenn diese aber zB in einem Büro reinigen, ist es doch zufällig und nicht zielgerichtet, wenn sie personenbezogene Daten erfahren. Und es schlicht zu wissen ist auch keine Nutzung nach meinem Verständnis. Sehen sie das anders? Kann ich durch Zufall oder passiv Daten erheben und nutzen?
    MfG

  13. Kann eine Verpflichtung zum Datengeheimnis als Bestandteil in den Arbeitsvertrag eingebaut werden oder ist eine separate Verpflichtungserklärung nötig, die unabhängig vom Arbeitsvertrag unterschrieben wird?

    • Das Gesetz bestimmt insoweit keine Anforderungen. Bei der Verpflichtung auf das Datengeheimnis hat der Arbeitgeber daher grundsätzlich die Wahlmöglichkeit, ob er eine entsprechende Verpflichtung in den Arbeitsvertrag des jeweiligen Mitarbeiters integriert oder eine gesonderte Vereinbarung aufsetzt. Zu berücksichtigen ist dabei, dass eine solche Verpflichtung stets bei der Aufnahme der Tätigkeit zu erfolgen hat (in der Regel also bei Beginn der Arbeitsaufnahme) und der Mitarbeiter dabei auch über seine Pflichten unterrichtet wird, beispielweise durch eine kurze Schulung durch den Datenschutzbeauftragten.

  14. Hallo,

    kurze Frage: wie sieht es mit der Verpflichtung auf das Datengeheimnis beim Probearbeiten bzw. Einfühlungsverhältnissen aus?
    Weiterhin würde mich auch die Antwort auf die Frage von Vroni am 14. August 2015, 09:51 Uhr interessieren.
    Vielen Dank

    • Die Verpflichtung auf das Datengeheimnis betrifft alle, die faktisch mit personenbezogenen Daten in Berührung kommen können (unabhängig davon ob dies gewollt ist oder die Person zufällig mit personenbezogenen Daten in Kontakt kommen kann). Deswegen ist auch das Reinigungspersonal nach § 5 BDSG zu verpflichten, wenn die Möglichkeit besteht, dass es Einsicht in personenbezogene Daten erhält. Ob diese Personen zum Zugriff auf die Daten befugt sind und gewollt oder ungewollt mit den Daten in Berührung kommen, ist unerheblich.

      § 5 Satz 1 BDSG stellt nicht nur auf eine Arbeitnehmer- oder arbeitnehmerähnliche Stellung ab. Es kommt alleine darauf an, ob den jeweiligen Personen ein Zugang zu personenbezogenen Daten möglich ist (was bei einer Probearbeit durchaus der Fall sein dürfte).

    • Aufgrund des fehlenden Bezugs zur Verpflichtung auf das Datengeheimnis wurde der Kommentar verschoben. Achten Sie demnächst bitte darauf, dass sich ihre Frage auch auf den Inhalt des Artikels bezieht.

  15. Wer unterzeichnet die Verpflichtung auf das Datengeheimnis offiziell ?

    Der Datenschutzbeauftragte belehrt, ist aber weisungsfrei. Ich wurde sagen der Geschäftsführer sollte hier unterzeichnen da er verantwortlich ist und nicht der bDSB.

    • Das ist richtig. Der Datenschutzbeauftragte ist nach §4f III BDSG weisungsfrei und dem Leiter der Stelle, i.d.R. bei einem Unternehmen dem Geschäftsführer, beratend unterstellt.
      Er trifft nie eine bindende Entscheidung für die Stelle, sondern wirkt nur auf die Einhaltung der Datenschutzvorschriften hin.

  16. Ich bin in einem Verein tätig. Da ich mit personenbezogenen Daten zu tun habe wurde ich auf die Verpflichtung des § 5 BDSG hingewiesen und unterschrieben. Die Daten liegen nun auf meinem privaten Rechner.
    Frage: Mein Rechner wird gehackt; die Daten werden missbraucht. Kann ich zur Rechenschaft gezogen werden und muß Strafe bezahlen nach § 43 Bußgeldvorschriften?

    • Dies wäre möglicherweise nur im Falle eines Vorsatzes oder Fahrlässigkeit von Ihnen der Fall. Deshalb sollten auch private Computer, die wie geschildert personenbezogene Daten enthalten, stets gesichert und gewartet werden.

    • Nach § 5 S. 2 BDSG müssen „nicht-öffentliche Stellen“ Personen, die bei ihnen beschäftigt sind, auf das Datengeheimnis verpflichten. Der eingetragene Verein ist eine juristische Person des Privatrechts und damit eine „nicht-öffentliche Stelle“ im Sinne des § 5 BDSG.

  17. Meine Firma hat einen externen Datenschutzbeauftragten beauftragt. Nun wurde uns von diesem die Verpflichtung nach §5 DSG in unserer Abrechnung beigelegt mit Auszügen aus dem BDSG und seinen Kontaktdaten.
    Ist das so üblich und zulässig? Ich / wir hätten uns sicher über ein paar erklärende Worte gefreut!

    • Üblich ist diese Vorgehensweise sicherlich nicht. Wie Sie richtig sagen, ist es für die Mitarbeiter viel angenehmer, wenn das Dokument z.B. im Anschluss an eine Datenschutzschulung ausgeteilt wird und somit die Gelegenheit für Erklärungen gegeben ist. Unzulässig ist das Verfahren jedoch nicht. Sie sollten sich bei Fragen oder Unklarheiten an Ihren externen Datenschutzbeauftragten wenden, dessen Kontaktdaten Sie ja bekommen haben.

  18. Wenn wir eine Firma im Rahmen eines ASP Vertrages beauftragen, müssen wir dann als Auftraggeber die Beschäftigten selbst (per Handschlag und Verpfl.Erkl) zum Datengeheimnis verpflichten oder reicht es aus, wenn die Firmenleitung uns zusichert, dass alle Mitarbeiter entsprechend von der Firmenleitung persönlich nach den zutreffenden Bestimmungen des Bundes und Landesdatenschutzgesetzes verpflichtet wurden?

    Ersteres wäre ein irre Aufwand und die MA einer typischen ASP Firma würden ja andauernd Verpflichtungserklärungen gleichen Inhaltes abgeben müssen.

    • Es ist Aufgabe Ihres Auftragnehmers seine Beschäftigten auf das Datengeheimnis zu verpflichten. In aller Regel wird im Rahmen eines ASP Vertrages zusätzlich ein Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG abzuschließen sein. Dieser enthält u.a. die Verpflichtung des Auftragnehmers die mit der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis zu verpflichten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.