Kein explizites „Datengeheimnis“ in der DSGVO – Warum eine Verpflichtungserklärung weiterhin Sinn macht

20.03.2018 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
Das Datengeheimnis, wie es im Bundesdatenschutzgesetz a. F. vorgeschrieben war, spiegelt sich im künftigen Datenschutzrecht in Form der DSGVO und dem BDSG-neu lediglich in Form der Verpflichtung zur Vertraulichkeit wider. Eine verbindliche Verpflichtungserklärung schreiben die neuen Regelungen nicht vor. Dennoch sollten Unternehmen nicht darauf verzichten.

Datengeheimnis: Definition

Unter dem Begriff Datengeheimnis ist nach § 5 Bundesdatenschutzgesetz (BDSG a.F.) bisher Folgendes zu verstehen: Personen, die beruflich Daten verarbeiten, dürfen ohne Befugnis keine personenbezogenen Daten erheben, verarbeiten oder nutzen. Laut bisheriger Gesetzeslage mussten diese Personen − sofern sie bei einer nicht öffentlichen Stelle beschäftigt waren − auf das Datengeheimnis verpflichtet werden. Die förmliche Verpflichtung galt auch noch nach Beendigung des Arbeitsverhältnisses. 

Diese Vorschrift ist nun weggefallen. Weder die europäische Datenschutz-Grundverordnung (DSGVO) noch das reformierte Bundesdatenschutzgesetz (BDSG-neu) beinhalten die Regelung bezüglich des Datengeheimnisses so eindeutig wie das BDSG a. F.. Das bedeutet jedoch nicht, dass das Datengeheimnis an sich entfallen ist. Denn die DSGVO verpflichtet ebenfalls zur Vertraulichkeit. 

DSGVO: Verpflichtung zur Vertraulichkeit statt „Datengeheimnis“ 

  • Gemäß Art. 5 Abs. 2 DSGVO muss der (im Sinne der DSGVO) Verantwortliche nachweisen können, dass die Grundsätze für die Verarbeitung von personenbezogenen Daten eingehalten werden. Er ist also zur Rechenschaft verpflichtet
  • Der Auftragsverarbeiter muss nach Art. 28 Abs. 3 lit. b DSGVO gewährleisten, dass sich diejenigen Personen, die befugt sind, personenbezogene Daten zu verarbeiten, zur Vertraulichkeit verpflichtet haben oder einer Verschwiegenheitspflicht unterliegen. 
  • Artikel 29 DSGVO schreibt vor, dass sowohl Auftragsverarbeiter als auch jede Person, die dem Auftragsverarbeiter oder dem Verantwortlichen unterstellt ist und gleichzeitig Zugang zu personenbezogenen Daten hat, die Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen. Es sei denn, sie sind dazu verpflichtet. 
  • In Artikel 32 Abs. 4 fordert die DSGVO, dass Schritte unternommen werden, um gewährleisten zu können, dass personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeitet werden. Wie oben gilt: Personen, die zur Verarbeitung verpflichtet sind, sind von dieser Regelung ausgenommen. 

Mehr Informationen zur Verarbeitung personenbezogener Daten finden Sie im Beitrag „Verarbeitung personenbezogener Daten gemäß DSGVO und BDSG 2018“

Aus den oben genannten Punkten ist herauszulesen, dass in der DSGVO durchaus eine Verpflichtung zur Vertraulichkeit festgeschrieben ist. Was fehlt, ist die explizite Forderung nach einer Verpflichtungserklärung

Muster einer Verpflichtungserklärung 

Es wäre dennoch – aus Dokumentations- und Nachweispflichten – gefährlich nur aufgrund des Fehlens einer ausdrücklichen Rechtspflicht auf eine Verpflichtungserklärung zu verzichten. Die Verpflichtungserklärung sollte in schriftlicher Form erfolgen, und zwar vor Aufnahme der Tätigkeit. 

Produktempfehlung

Eine heraustrennbare Muster-Verpflichtungserklärung für die Personalakte finden Sie im „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“. Gleichzeitig informieren Sie mit diesem Merkblatt Ihre Mitarbeiter ganz einfach über die Verpflichtungen bzgl. des Datenschutzes am Arbeitsplatz. 

Quellen: GDD, „Datenschutz 2018“ 

Mehr zu den Themen: DSGVO BDSG