Datengeheimnis in der DSGVO

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Die DSGVO raubt Ihnen Zeit und Nerven? Ihr Datenschutz in besten Händen: Jetzt zum Experten für externen Datenschutz wechseln!
Datengeheimnis in der DSGVO
Die wichtigsten Erkenntnisse
  • § 5 BDSG-alt verpflichtete zur Wahrung des Datengeheimnisses bei personenbezogenen Daten.
  • DSGVO ersetzt diese spezifische Verpflichtung, garantiert aber weiterhin Datengeheimnis.
  • Verstöße gegen das Datengeheimnis können hohe Bußgelder und arbeitsrechtliche Konsequenzen nach sich ziehen.
  • Art. 32 Abs. 4 DSGVO fordert Sicherstellung, dass Daten nur auf Anweisung verarbeitet werden.
  • Unternehmen sollten alle Mitarbeiter zur Vertraulichkeit und Datenschutz verpflichten, auch ohne gesetzliche Pflicht.

Was ist das Datengeheimnis?

Der Begriff Datengeheimnis im Unternehmen war bisher nach § 5 BDSG-alt definiert und besagte, dass Personen (egal, ob Arbeitnehmer oder Arbeitgeber), die in einem Unternehmen mit personenbezogenen Daten arbeiten, diese weder unbefugt erheben, verarbeiten noch nutzen durften – auch nicht nach Beendigung des Arbeitsverhältnisses.

Die Verpflichtung auf das Datengeheimnis war bisher in § 5 Bundesdatenschutzgesetz (BDSG-alt) geregelt: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste vom Arbeitgeber verpflichtet werden, das Datengeheimnis zu wahren und durfte im Sinne des Datenschutzes nicht unbefugt Daten erheben, verarbeiten oder nutzen. Eine solche Verpflichtung gibt es in der Datenschutzgrundverordnung (DSGVO) nicht. Das Datengeheimnis wird jedoch auch durch die Verordnung weiterhin sichergestellt.

Bisherige Regelung zum Datengeheimnis nach § 5 BDSG-alt

Die bisherige Regelung machte es dem Unternehmen relativ einfach, seine Arbeitnehmer auf das Datengeheimnis zu verpflichten: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste eine Verpflichtung unterzeichnen, die das unbefugte Erheben, Verarbeiten oder Nutzen dieser Daten untersagte.

Was ist ein Verstoß gegen das Datengeheimnis?

Ein Verstoß gegen das Datengeheimnis ist beispielsweise

  • die Zweckentfremdung erhobener Daten,
  • die Erhebung oder Verarbeitung nicht öffentlich zugänglicher personenbezogener Daten,
  • die Nutzung der Daten entgegen dem Willen des Betroffenen, z.B. zu Marktforschungszwecken oder
  • die Bereitstellung der erhobenen Daten (automatisiert) zum Abruf für Unbefugte.

Ob es sich bei solchen oder ähnlichen Handlungen um eine Ordnungswidrigkeit oder eine Straftat handelt, muss je nach Einzelfall entschieden werden. Ausschlaggebend ist dabei insbesondere, ob die fehlerhafte Verarbeitung, also der Verstoß gegen das Datengeheimnis fahrlässig oder mit Vorsatz verübt wurde.

Was droht, wenn das Datengeheimnis nicht eingehalten wurde?

Unabhängig davon, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde, droht ein Bußgeld von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Das Bußgeld richtet sich entweder gegen das Unternehmen selbst als die verantwortliche Stelle oder gegen den beschäftigten Arbeitnehmer. Diesem drohen darüber hinaus arbeitsrechtliche Konsequenzen, da er meist gegenüber dem Arbeitgeber die Verpflichtung eingeangen ist, den Datenschutz zu wahren.

Neue Regelung zum Datengeheimnis nach Art. 32 Abs. 4 DSGVO

In der DSGVO gibt es keine Regelung zur Verpflichtung auf das Datengeheimnis. Das heißt jedoch nicht, dass eine Verpflichtung generell entfällt. In Art. 32 Abs. 4 DSGVO wird festgelegt, dass die Verantwortlichen und Auftragsverarbeiter Schritte unternehmen müssen, um „sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (…)“.

Es ist nötig, Beschäftigte zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes zu verpflichten.

Was bedeutet das in der Praxis?

Durch die neue Regelung wird der zu verpflichtende Personenkreis nicht verringert, sondern sogar erweitert. Bisher waren nur die Mitarbeiter in der Pflicht, die mit der Verarbeitung von personenbezogenen Daten beschäftigt waren. Seit dem Inkrafttreten der neuen Verordnung am 25.05.2018 muss sichergestellt werden, dass

  • Mitarbeiter, die immer Zugang zu personenbezogenen Daten haben, verpflichtet werden.
  • Personen mit Zugang zu Büroräumen und Personen, die gegebenenfalls Zugang zu Akten mit personenbezogenen Daten haben, ebenfalls verpflichtet werden müssten. Eine Belehrung oder die Umsetzung technischer Maßnahmen kann hier ausreichen.

Ausnahme: Herrscht eine Clean-Desk-Policy im Unternehmen, die verschlossene Aktenschränke mit einbezieht, so hätten andere Personen keinen Zugang und müssten demnach auch nicht verpflichtet bzw. belehrt werden.

Welche Maßnahmen im Unternehmen sind für die neue Verordnung zu empfehlen?

Zuerst sollte ein Unternehmen feststellen, welche Arbeitnehmer und welcher Personenkreis in ihrer Tätigkeit Zugang zu personenbezogenen Daten haben bzw. haben könnten.

Obwohl keine Verpflichtungserklärung zum Datengeheimnis mehr gesetzlich vorgeschrieben ist, sollten Unternehmen trotzdem alle Mitarbeiter und Verantwortlichen, die Zugang zu personenbezogenen Daten haben, auf die Vertraulichkeit und den Datenschutz verpflichten.

Will ein Unternehmen auf Nummer sicher gehen, können auch alle Mitarbeiter und alle Kontraktoren, die im Haus arbeiten (Putzkräfte, Küchenhilfen etc.), eine Verpflichtung zum Datenschutz unterzeichnen.

Fazit zum Datengeheimnis nach der DSGVO

Unternehmen sollten ihre Verpflichtungen zum Datengeheimnis basierend auf den Regelungen der DSGVO überarbeiten und eine Liste führen, welche Mitarbeiter Zugang zu personenbezogenen Daten haben. Eine Verpflichtung auf die Vertraulichkeit und die Beachtung des Datenschutzes wird empfohlen. Wollen Unternehmen auf der sicheren Seite sein, können sie alle im Unternehmen beschäftigten Personen (auch Externe) eine Verpflichtungserklärung unterschreiben lassen. Ein Muster „Verpflichtung zur Wahrung der Vertraulichkeit“ können sie bei uns auf der Seite herunterladen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!