- O1R8 Verpflichtung auf das Datengeheimnis

IMS Services Datenschutz

„Eine dem § 5 BDSG vergleichbare Regelung zur Verpflichtung auf das Datengeheimnis ist in der DSGVO nicht direkt enthalten.“

Begründet wurde die Streichung der Regelung im BDSG (neu) damit, dass nach der DSGVO keine Öffnungsklausel ersichtlich ist, auf deren Grundlage eine solche Pflicht des Verantwortlichen und Auftragsverarbeiters erlassen werden könnte.

Weggefallen ist nur die Verpflichtung auf das Datengeheimnis, nicht dagegen das Datengeheimnis selbst. Das Datengeheimnis bleibt (natürlich), auch wenn der Begriff nicht mehr in den neuen gesetzlichen Regelungen genannt wird, bestehen.

Auch in der Datenschutz-Grundverordnung finden sich verschiedene Normen, die am Datengeheimnis anknüpfen.

Vordergründig ist Art. 5 DSGVO zu nennen. Dieser schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Des Weiteren legt Art. 5 DSGVO dem Verantwortlichen die Pflicht auf, die Einhaltung dieser Vorgabe nachweisen zu können (sog. Rechenschaftspflicht). Dass hieraus die Empfehlung einer dokumentierten Verpflichtungserklärung erwächst, ist nicht verwunderlich. Sie ist damit auch als Bestandteil eines Datenschutzmanagement-Systems anzusehen.

Noch deutlicher für die Notwendigkeit einer Verpflichtungserklärung spricht, wenn man neben Art. 5 DSGVO, Art. 24 DSGVO heranzieht. Dieser spricht explizit vom Erfordernis technischer und organisatorischer Maßnahmen (TOM), um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO – und damit selbstverständlich auch gemäß den Grundsätzen niedergeschrieben in Art. 5 DSGVO – erfolgt.

Weitere gesetzliche Anknüpfungspunkte sind beispielsweise Art. 29 DSGVO und Art. 32 DSGVO. Diese stellen klar, dass dem Verantwortlichen und Auftragsverarbeiter unterstelle Mitarbeiter, personenbezogene Daten, nur nach dessen Weisung verarbeiten dürfen. Damit wird die Definition des Datengeheimnisses nach Art. 5 BDSG, womit es beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten und zu nutzen, an dieser Stelle wieder aufgegriffen.

Ein weiterer Punkt, der für eine Verpflichtungserklärung spricht, ist, dass der Datenschutzbeauftragte seiner ihm nach der DSGVO auferlegten Unterrichtungspflicht gemäß Art. 39 Abs. 1 lit a DSGVO nachkommen kann.

Nach den obigen Ausführungen ist davon abzuraten eine Verpflichtungserklärung der Mitarbeiter auszulassen. Im Gegenteil, der Wegfall einer expliziten Regelung in der DSGVO und dem BDSG (neu) ist trügerisch, werden doch bekanntlich die Dokumentations- und Nachweispflichten der Verantwortlichen und Auftragsverarbeiter mit Einführung der EU-Verordnung erheblich erhöht.

Entscheidend in diesem Zusammenhang ist dabei weniger, die bisherigen Abläufe rund um das Datengeheimnis strikt beizubehalten, sondern eine gewisse Sensibilisierung dafür zu bekommen, welche neuen Anforderungen nach der Datenschutz-Grundverordnung gestellt werden.

Ratsam ist sogar, Mitarbeiter durch entsprechende Schulungen regelmäßig an das Datengeheimnis zu erinnern, nicht zuletzt, da Art. 24 DSGVO vorschreibt, dass technische und organisatorische Maßnahmen (TOM), zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO, erforderlichenfalls zu überprüfen und zu aktualisieren sind.

Im diesem Zuge weist das bayerische Landesamt für Datenschutzaufsicht sogar darauf hin, die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Eine entsprechende Dokumentation dieser Hinweise an die Mitarbeiter, kann wiederum den Verantwortlichen und Auftragsverarbeiter bei einer Überprüfung der Aufsichtsbehörden entlasten.

Schließlich stellt eine unbefugte Übermittlung von personenbezogenen Daten durch Mitarbeiter eine nicht von Art. 6 DSGVO umfasste Verarbeitung dar. Ein derartiger Verstoß fällt unter den Bußgeldtatbestand des Art. 83 DSGVO.

Zwischenzeitlich hat das bayerische Landesamt für Datenschutzaufsicht einen Leitfaden inklusive Muster für die Verpflichtung auf das Datengeheimnis nach der Datenschutz-Grundverordnung veröffentlicht. Dieses verwendet die Formulierung Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO.

Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)

Der Begriff des Geschäftsgeheimnisses war im deutschen Recht bisher nicht gesetzlich geregelt, sondern wurde durch die Gerichte konkretisiert. Mit der zugrunde liegenden Richtlinie wird der Begriff des Geschäftsgeheimnisses nunmehr europaweit einheitlich festgelegt. Der Begriff wird im deutschen Recht also erstmalig gesetzlich definiert. Auch dies führt zu einer deutlichen Erhöhung der Rechtssicherheit.

Im Vergleich zur bisherigen Rechtslage in Deutschland gelten dabei teilweise strengere Anforderungen an das Vorliegen eines Geschäftsgeheimnisses. So müssen Unternehmen zum Beispiel angemessene Geheimhaltungsmaßnahmen treffen, um von dem Schutz durch das Gesetz profitieren zu können. Die Einordnung als Geschäftsgeheimnis steht der Tätigkeit von Journalisten und Hinweisgebern jedoch nicht entgegen. Denn die Ausnahmeregelungen für Journalisten und Hinweisgeber gelten für sämtliche Geschäftsgeheimnisse.

IMS Services hat hierzu entsprechende Informationen und Muster zur innerbetrieblichen Vereinbarungen zwischen Unternehmen und Beschäftigte bereitgestellt.

Anlage:

Kontaktformular

Suche

Externe Inhalte