Verpflichtung zur Vertraulichkeit

 

Worum geht es?

Die Verpflichtung aufs Datengeheimnis ergab sich nach alter Rechtslage unmittelbar aus einer gesetzlichen Verpflichtung (§ 5 BDSG-alt). Seit die Datenschutz-Grundverordnung (DS-GVO) gilt, ist diese konkrete Verpflichtung (scheinbar) entfallen, da keine Regelung diesen Punkt konkret aufgreift bzw. fortführt. Bedeutet das nun für den Verantwortlichen, dass es eine solche Verpflichtung nicht mehr gibt? Mitnichten, da sich eine analoge Verpflichtung mittelbar aus der DS-GVO ergibt und möglicherweise noch größere Bedeutung hinsichtlich der thematisierten, konkreten Inhalte erlangt.

Woraus ergibt sich die Verpflichtung nach der DS-GVO und was sind die Regelungsinhalte?

Die DS-GVO schreibt der verantwortlichen Stelle vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen (Art. 5 (1) DS-GVO). Aus der gesetzlichen Rechenschaftspflicht ergibt sich wiederum, dass dies nachzuweisen ist, was nur in dokumentierter Form erfolgen kann.

Insofern enthalten Verpflichtungserklärungen die Grundsätze der Verarbeitung personenbezogener Daten, die der oder die Beschäftigte zu beachten hat.

Personenbezogene Daten müssen demnach

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die DS-GVO enthält zu den Aufgaben eines Auftragsverarbeiters (Art. 28 DS-GVO) und der Sicherheit der Verarbeitung (Art. 32 DS-GVO) weitere konkrete Hinweise, die Vertraulichkeit bei den Beschäftigten sicherzustellen.

Die Verpflichtung zur Vertraulichkeit besteht jedoch nicht nur für Beschäftigte, sondern auch für Dienstleister, die im Unternehmen tätig sind und dabei möglicherweise Kenntnis von vertraulichen Daten erlangen. Auch für diesen Fall ist eine Verpflichtung auf Vertraulichkeit vorzunehmen und das gleiche Dokument in leicht abgewandelter Form geeignet.

Vorteil der Regelung weiterer Verpflichtungen im gleichen Dokument

Neben der Verpflichtung auf Vertraulichkeit kann es sinnvoll sein, weitere Regelungsbedarfe zu ergänzen und die Mitarbeitenden auf weitere Geheimnisse zu verpflichten: So zum Beispiel die Wahrung von Betriebs- und Geschäftsgeheimnissen nach dem Geschäftsgeheimnisgesetz, das Fernmeldegeheimnis nach dem Telekommunikationsgesetz, das Sozialgeheimnis nach dem SGB X, das Privatgeheimnis nach § 203 StGB und weitere Themen, die einer Verpflichtung bedürfen.

Hilfreiche Links:

Kurzpapier der Datenschutzkonferenz mit Muster Verpflichtungserklärung

Muster des GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit)

Verfasser: Thorsten Jordan, 27.02.2020