Verpflichtung zur Vertraulichkeit im Datenschutz

Die Verpflichtung von Mitarbeitern bezgl. des Datengeheimnis oder zur Vertraulichkeit ist so klar, wie es im alten Bundesdatenschutzgesetz in §5 geregelt war, in der EU-Datenschutzgrundverordnung (EU-DSGVO) oder im Bundesdatenschutzgesetz-2018 (BDSG-2018) nicht mehr zu finden.

Im BDSG-2018 gibt es zwar den Paragraphen 53 – Datengeheimnis, da aber dieser Paragraph nur für den öffentlichen Bereich in Deutschland gilt und nicht für Unternehmen, haben wir diesbzgl. keine Grundlage zur Verpflichtung der Mitarbeiter in Unternehmen.

EU-DSGVO und Verpflichtung zum Datengeheimnis?

Eine Verpflichtung zum Datengeheimnis gibt uns auch die EU-DSGVO nicht vor, jedenfalls nicht direkt. Ist das Unternehmen jedoch als Auftragsverarbeiter für seine Kunden tätig, also weisungsgebunden werden personenbezogene Daten durch das Unternehmen verarbeitet, so gibt es eine ähnliche Verpflichtung. In Art. 28 Abs. 3b steht geschrieben, dass der Auftragsverarbeiter gewährleistet, dass die mit der Datenverarbeitung betrauten Personen entweder zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Des Weiteren gibt uns die EU-DSGVO im Art.32 vor, dass entsprechende technische und organisatorische Maßnahmen zu treffen sind um dem Risiko ein angemessenes Schutzniveau zur Seite zu stellen. In Abs. 4 ist das Unternehmen (der Verantwortliche oder Auftragsverarbeiter) dazu verpflichtet sicherzustellen, dass Mitarbeiter (intern wie extern) nur auf Anweisung personenbezogene Daten verarbeiten dürfen.

Dieser Absatz und die Schaffung entsprechender organisatorischer Maßnahmen (eine Verpflichtung ist eine organisatorische Maßnahme) sollte dadurch für alle Unternehmen ein Grund sein, die Mitarbeiter zur Vertraulichkeit zu verpflichten, auch wenn keine Auftragsverarbeitung vorliegt. Eine sollte Maßnahme schärft auch zusätzlich das Bewußtsein der Mitarbeiter in Bezug auf den Umgang mit personenbezogenen Daten und dem Datenschutz.

Eine Verpflichtung zur Einhaltung datenschutzrechtlicher Anforderungen nach der EU-Datenschutzgrundverordnung und zur Wahrung der Vertraulichkeit sollte zumindest folgende Punkte beinhalten:

  • Name des Verpflichtenden
  • Verpflichtung zur Beachtung und Einhaltung der Regelungen
  • Hinweis auf die Beachtung, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine Einwilligung oder eine gesetzliche Regelung vorhanden ist
  • Auflistung der Grundsätze der EU-DSGVO entsprechend Art. 5 Abs. 1
  • Ort, Datum
  • Unterschrift des Verpflichteten
  • Merkblatt mit Hinweisen zum Datenschutz
Mirko Tasch - Experte für Verpflichtung von Mitarbeitern

Mirko Tasch – Datenschutz-Auditor

Falls Sie Fragen haben bzgl. der Verpflichtung zur Vertraulichkeit haben oder benötigen Sie eine entsprechende Vorlage, dann nehmen Sie bitte mit uns Kontakt auf. Wir helfen Ihnen gerne. Unser Experte zu diesem Thema, Herr Mirko Tasch, steht Ihnen zur Verfügung.

Zum Kontaktformular