Datengeheimnis in der DSGVO

Was ist das Datengeheimnis?

Der Begriff Datengeheimnis im Unternehmen war bisher nach § 5 BDSG-alt definiert und besagte, dass Personen (egal, ob Arbeitnehmer oder Arbeitgeber), die in einem Unternehmen mit personenbezogenen Daten arbeiten, diese weder unbefugt erheben, verarbeiten noch nutzen durften – auch nicht nach Beendigung des Arbeitsverhältnisses.

Die Verpflichtung auf das Datengeheimnis war bisher in § 5 Bundesdatenschutzgesetz (BDSG-alt) geregelt: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste vom Arbeitgeber verpflichtet werden, das Datengeheimnis zu wahren und durfte im Sinne des Datenschutzes nicht unbefugt Daten erheben, verarbeiten oder nutzen. Eine solche Verpflichtung gibt es in der Datenschutzgrundverordnung (DSGVO) nicht. Das Datengeheimnis wird jedoch auch durch die Verordnung weiterhin sichergestellt.

Bisherige Regelung zum Datengeheimnis nach § 5 BDSG-alt

Die bisherige Regelung machte es dem Unternehmen relativ einfach, seine Arbeitnehmer auf das Datengeheimnis zu verpflichten: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste eine Verpflichtung unterzeichnen, die das unbefugte Erheben, Verarbeiten oder Nutzen dieser Daten untersagte.

Was ist ein Verstoß gegen das Datengeheimnis?

Ein Verstoß gegen das Datengeheimnis ist beispielsweise

• die Zweckentfremdung erhobener Daten,
• die Erhebung oder Verarbeitung nicht öffentlich zugänglicher personenbezogener Daten,
• die Nutzung der Daten entgegen dem Willen des Betroffenen, z.B. zu Marktforschungszwecken oder
• die Bereitstellung der erhobenen Daten (automatisiert) zum Abruf für Unbefugte.

Ob es sich bei solchen oder ähnlichen Handlungen um eine Ordnungswidrigkeit oder eine Straftat handelt, muss je nach Einzelfall entschieden werden. Ausschlaggebend ist dabei insbesondere, ob die fehlerhafte Verarbeitung, also der Verstoß gegen das Datengeheimnis fahrlässig oder mit Vorsatz verübt wurde.

Was droht, wenn das Datengeheimnis nicht eingehalten wurde?

Unabhängig davon, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde, droht ein Bußgeld von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Das Bußgeld richtet sich entweder gegen das Unternehmen selbst als die verantwortliche Stelle oder gegen den beschäftigten Arbeitnehmer. Diesem drohen darüber hinaus arbeitsrechtliche Konsequenzen, da er meist gegenüber dem Arbeitgeber die Verpflichtung eingeangen ist, den Datenschutz zu wahren.

Neue Regelung zum Datengeheimnis nach Art. 32 Abs. 4 DSGVO

In der DSGVO gibt es keine Regelung zur Verpflichtung auf das Datengeheimnis. Das heißt jedoch nicht, dass eine Verpflichtung generell entfällt. In Art. 32 Abs. 4 DSGVO wird festgelegt, dass die Verantwortlichen und Auftragsverarbeiter Schritte unternehmen müssen, um „sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (…)“.

Es ist nötig, Beschäftigte zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes zu verpflichten.

Was bedeutet das in der Praxis?

Durch die neue Regelung wird der zu verpflichtende Personenkreis nicht verringert, sondern sogar erweitert. Bisher waren nur die Mitarbeiter in der Pflicht, die mit der Verarbeitung von personenbezogenen Daten beschäftigt waren. Seit dem Inkrafttreten der neuen Verordnung am 25.05.2018 muss sichergestellt werden, dass

• Mitarbeiter, die immer Zugang zu personenbezogenen Daten haben, verpflichtet werden.
• Personen mit Zugang zu Büroräumen und Personen, die gegebenenfalls Zugang zu Akten mit personenbezogenen Daten haben, ebenfalls verpflichtet werden müssten. Eine Belehrung oder die Umsetzung technischer Maßnahmen kann hier ausreichen.

Ausnahme: Herrscht eine Clean-Desk-Policy im Unternehmen, die verschlossene Aktenschränke mit einbezieht, so hätten andere Personen keinen Zugang und müssten demnach auch nicht verpflichtet bzw. belehrt werden.

Welche Maßnahmen im Unternehmen sind für die neue Verordnung zu empfehlen?

Zuerst sollte ein Unternehmen feststellen, welche Arbeitnehmer und welcher Personenkreis in ihrer Tätigkeit Zugang zu personenbezogenen Daten haben bzw. haben könnten.

Obwohl keine Verpflichtungserklärung zum Datengeheimnis mehr gesetzlich vorgeschrieben ist, sollten Unternehmen trotzdem alle Mitarbeiter und Verantwortlichen, die Zugang zu personenbezogenen Daten haben, auf die Vertraulichkeit und den Datenschutz verpflichten.

Will ein Unternehmen auf Nummer sicher gehen, können auch alle Mitarbeiter und alle Kontraktoren, die im Haus arbeiten (Putzkräfte, Küchenhilfen etc.), eine Verpflichtung zum Datenschutz unterzeichnen.

Fazit zum Datengeheimnis nach der DSGVO

Unternehmen sollten ihre Verpflichtungen zum Datengeheimnis basierend auf den Regelungen der DSGVO überarbeiten und eine Liste führen, welche Mitarbeiter Zugang zu personenbezogenen Daten haben. Eine Verpflichtung auf die Vertraulichkeit und die Beachtung des Datenschutzes wird empfohlen. Wollen Unternehmen auf der sicheren Seite sein, können sie alle im Unternehmen beschäftigten Personen (auch Externe) eine Verpflichtungserklärung unterschreiben lassen. Ein Muster „Verpflichtung zur Wahrung der Vertraulichkeit“ können sie bei uns auf der Seite herunterladen.