Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Verpflichtung auf die Vertraulichkeit nach der DS-GVO

Die Verpflichtung wird Rahmen der Nachweispflichten der DS-GVO weiterhin notwendig sein

Nach § 5 BDSG hatten die Unternehmen ihre Beschäftigten schriftlich auf das Datengeheimnis zu verpflichten. In den meisten Unternehmen war diese Forderung umgesetzt und entsprechende Verpflichtungserklärungen wurden in der Regel im Rahmen der Unterzeichnung des Arbeitsvertrags abgegeben. Die DS-GVO schreibt eine solche Verpflichtung nicht mehr explizit vor. Aufgrund der sich aus der DS-GVO ergebenden Nachweis- und Rechenschaftspflichten liegt es jedoch nahe, dass auch künftig derartige Erklärungen sinnvoll sein können. Bereits in einem früheren Artikel hatten wir daher die Beibehaltung der Verpflichtung auf das Datengeheimnis empfohlen. Erste zwischenzeitlich erschienene Kommentare zur DS-GVO sowie Veröffentlichungen der Aufsichtsbehörden oder Datenschutzverbänden lassen den Schluss zu, dass derartige Verpflichtungen auch weiterhin obligatorisch sind.

Rechenschaftspflicht der DS-GVO

Über die Rechenschaftspflicht hatten wir bereits ausführlich hier berichtet. Letztlich geht es darum, dass die Unternehmen nachweisen müssen, dass sie wirksame Maßnahmen getroffen haben, um die Anforderungen der DS-GVO umzusetzen. Da ein Unternehmen nur dann alle Vorgaben der DS-GVO erfüllen kann, wenn alle Mitarbeiter entsprechend geschult und sensibilisiert sind, wird deutlich, dass derartige Weiterbildungen ein zentraler Bestandteil jedes Datenschutz-Managementsystems sein müssen. Ein einfacher und wirksamer Nachweis, dass diese Sensibilisierung der Mitarbeiter stattgefunden hat, ist die Unterzeichnung einer entsprechenden Erklärung. Dass der Verordnungsgeber eine derartige Verpflichtung für ein wirksames Mittel hält, den datenschutzkonformen Umgang der Mitarbeiter mit sensiblen personenbezogenen Daten zu gewährleisten, zeigt sich an mehreren Stellen. So gibt es zwar, wie zuvor beschrieben, keine generelle Vorgabe, die Mitarbeiter entsprechend zu verpflichten. Für Auftragsverarbeiter definiert der Verordnungsgeber allerdings sehr wohl eine derartige Verpflichtung. In Art. 28 Abs. 3 ist festgelegt, dass der Auftragsverarbeiter „gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“. Auch der deutsche Gesetzgeber hat im BDSG-neu festgelegt, dass Polizei und Justiz ihre Mitarbeiter zwingend zu verpflichten haben.

Fortbestand bisheriger Verpflichtungen

Wirksame Verpflichtungen nach dem BDSG haben gute Chancen, ihre Wirksamkeit auch künftig nicht zu verlieren. Die Verpflichtungen müssen allerdings die notwendigen Inhalte enthalten, um den Mitarbeitern die Bedeutung des Datengeheimnisses zu vermitteln. Da die DS-GVO keine formalen Vorgaben an die Verpflichtung enthält, können zumindest auch keine formalen Gründe, gegen den Fortbestand der bereits bestehenden Verpflichtungen sprechen. Allerdings ist darauf hinzuweisen, dass die alleinige schriftliche Verpflichtung nicht gewährleistet, dass der Mitarbeiter ausreichend sensibilisiert und geschult ist, um alle datenschutzrechtlichen Vorgaben einzuhalten. Regelmäßige Schulungen und Weiterbildungen sind selbstverständlich nach wie vor zusätzlich durchzuführen und nachzuweisen. Dies gilt natürlich insbesondere unter dem Geltungsbereich der DS-GVO, da die Mitarbeiter mit umfangreichen Neuerungen vertraut gemacht werden müssen.

Verpflichtung auf das Datengeheimnis oder die Vertraulichkeit?

Ob die Verpflichtungen künftig weiterhin formal „auf das Datengeheimnis“ erfolgen wird oder ob eine andere Begrifflichkeit verwendet wird, dürfte unerheblich sein. Aus unserer Sicht bietet es sich an, eine „Verpflichtung auf die Vertraulichkeit“ zu verwenden. Dies lässt sich einerseits aus Art. 28 DS-GVO ableiten, da der Verordnungsgeber für Auftragsverarbeiter ausdrücklich eine Verpflichtung auf die Vertraulichkeit festlegt. Zudem ist die „Vertraulichkeit“ in der DS-GVO ein zentrales Schutzziel, das an verschiedenen Stellen definiert und verwendet wird (Art. 5, Art. 32 DS-GVO).

Weitere Verpflichtungen

Häufig werden in den Unternehmen weitere Verpflichtungen eingesetzt, die von den vorherigen Ausführungen unberührt bleiben. Verpflichtungen auf das Fernmeldegeheimnis (TKG) oder das Sozialgeheimnis (SGB X) können nach wie vor sinnvoll sein, sofern die entsprechenden Daten verarbeitet werden. Zwingend vorgeschrieben sind diese durch den Gesetzgeber nicht. Anders sieht dies bei Verpflichtungen nach § 203 StGB aus. Hier sieht die Gesetzgeber beispielsweise beim Einsatz von Auftragsverarbeitern als „sonstige mitwirkende Person“ eine Verpflichtung zwingend vor. Hierzu haben wir bereits einen ausführlichen Artikel veröffentlicht.

 

Verpflichtungen auf das Datengeheimnis bzw. die Vertraulichkeit werden auch nach der DS-GVO notwendig sein. Wir unterstützen Sie gerne bei der Formulierung Ihrer Vorlagen für die entsprechenden Verpflichtungen.