Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Die Verpflichtung auf das Datengeheimnis nach der DS-GVO

Die Verpflichtung wird künftig nicht mehr konkret gefordert, besteht aber dennoch weiter fort.

Die Verpflichtung auf das Datengeheimnis hat sich mittlerweile in den meisten Unternehmen als Standardvorgang im Rahmen der Einstellung neuer Mitarbeiter bzw. im Rahmen von Datenschutzschulungen etabliert. Festgelegt ist die Verpflichtung auf das Datengeheimnis in § 5 BDSG.

Warum muss verpflichtet werden?

Hintergrund dieser Verpflichtung ist, den handelnden Personen (beispielsweise Sachbearbeitern oder Personalreferenten) noch einmal nachdrücklich und sehr deutlich vor Augen zu führen, dass die Verarbeitung personenbezogener Daten streng reglementiert ist. Letztlich dient das Ganze dem Schutz der Betroffenen.

Zukünftig keine Verpflichtung mehr?

In der EU Datenschutz-Grundverordnung (DS-GVO) findet sich nun keine solche explizite Regelung mehr. Heißt das, dass die Verpflichtung auf das Datengeheimnis zukünftig entfallen kann?

Diese Frage muss ganz klar verneint werden. Zwar gibt es keinen Artikel, welcher explizit eine Verpflichtung auf das Datengeheimnis vorschreibt, oder dieses Datengeheimnis auch nur definiert. Allerdings wird in Art. 32 Abs. 4 festgelegt, dass für die Verarbeitung Verantwortliche und auch Auftragsverarbeiter Schritte unternehmen, „um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten […]„.

Mehr Personen sind zu verpflichten

Diese Regelung ist eigentlich noch strenger als die bisherige, denn der zu verpflichtende Personenkreis wird größer. Bislang waren lediglich Personen zu verpflichten, welche „bei der Datenverarbeitung beschäftigt“ waren. Letztlich also diejenigen Personen, zu deren Aufgaben es gehört, mit personenbezogenen Daten umzugehen. Zukünftig sind alle die Personen zu verpflichten, die Zugang zu personenbezogenen Daten haben. Hierzu gehören auch alle die, die beispielsweise Einblick erhalten können.

Im konkreten Fall bedeutet das, dass zukünftig auch Reinigungskräfte entsprechend zu verpflichten sind, sofern im Unternehmen keine Clean-Desk-Policy gelebt wird, denn diese Personen haben Zugang zu den Daten, die sich ggf. noch auf den Schreibtischen befinden, auch wenn es nicht zu ihren Aufgaben gehört, mit diesen Daten zu arbeiten.

Also doch keine Verpflichtung mehr?

Wichtig ist noch anzumerken, dass die bisherige konkrete Pflicht zur Verpflichtung auf das Datengeheimnis einer allgemeinen Pflicht „den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen“, gewichen ist. Eine echte Verpflichtung ist also nicht mehr zwingend notwendig, ebenso ausreichend wäre eine reine Belehrung oder Schulung.

Es stellt sich allerdings die Frage, wie sinnvoll es ist, das bewährte Verfahren der Verpflichtung einzustellen, zumal eine schriftliche Verpflichtungserklärung den Vorteil hat, dass der für die Verarbeitung Verantwortliche die unternommenen Schritte nachweisen kann.

Nutzen Sie Bewährtes!

Wir empfehlen unseren Kunden aus diesen Gründen, die bislang genutzten Verpflichtungserklärungen zu aktualisieren und dann weiter zu nutzen. Ab dem 25.05.2018 sind dann allerdings mehr Personen zu verpflichten, wobei dem Einsatz der neuen Verpflichtungserklärungen zumindest bei aktuell nicht zwingend zu verpflichtenden Personen bereits heute nichts im Wege steht.

Benötigen Sie Unterstützung beim Entwurf von Verpflichtungserklärungen? Möchten Sie Ihre Belegschaft unterweisen oder zum Datenschutz schulen? Rufen Sie uns an, wir machen das für Sie!