Geschrieben am 16.02.2018 von:
Jahrelang war es in Unternehmen üblich, Mitarbeiter (schriftlich) auf die Einhaltung datenschutzrechtlicher Vorschriften zu verpflichten. Dies geschah zum einen aus Eigeninteresse, zum anderen war dies auch gesetzlich vorgeschrieben. Mit Wirksamwerden der DS-GVO im Mai 2018 ergeben sich hier wohl einige Änderungen.
Keine ausdrücklichen Regelungen
Bisher ist die Notwendigkeit einer Verpflichtung auf das Datengeheimnis für Mitarbeiter ausdrücklich in § 5 BDSG geregelt. Ab Mai 2018 wird das BDSG jedoch im Wesentlichen durch die unmittelbar gültige DS-GVO abgelöst. Eine entsprechende ausdrückliche Regelung zur Verpflichtung auf das Datengeheimnis findet sich in der Verordnung nicht.
Zu beachten ist jedoch, dass sämtliche Fragen, die nicht durch die DS-GVO geregelt sind, grundsätzlich weiterhin durch die nationalen Gesetzgeber entschieden werden können. Hierzu wurde kürzlich das BDSG (neu) vom Bundestag verabschiedet. Dieses wird zeitgleich mit der DS-GVO wirksam.
Verpflichtung auf Datengeheimnis nicht mehr notwendig?
Überwiegend wird argumentiert, dass in der DS-GVO bewusst keine ausdrückliche Regelung zur Verpflichtung auf das Datengeheimnis vorgesehen wurde. Folgt man dieser Ansicht, bedarf es keiner Verpflichtung mehr.
Die nationalen Gesetzgeber können allerdings von der DS-GVO abweichende Regelungen treffen, wenn in der Verordnung selbst sogenannte Öffnungsklauseln vorgesehen sind. In diesem Zusammenhang wird jedoch überwiegend argumentiert, dass aus dem Fehlen einer entsprechenden ausdrücklichen Regelung nicht automatisch eine Öffnungsklausel abgeleitet werden kann.
Da auch der deutsche Gesetzgeber diesen Argumentationen gefolgt ist, findet sich im BDSG (neu) keine entsprechende ausdrückliche Regelung zur Verpflichtung auf das Datengeheimnis für private Unternehmen. Zwar gibt es eine mit § 5 BDSG vergleichbare Regelung in § 53 BDSG (neu). Diese Vorschrift ist jedoch gem. § 45 BDSG (neu) ausschließlich auf öffentliche Stellen anwendbar.
Verpflichtung weiterhin ratsam
Wenn auch eine Verpflichtung auf das Datengeheimnis für Mitarbeiter in Zukunft nicht mehr ausdrücklich vorgeschrieben sein wird, so besteht doch Einigkeit darüber, dass eine solche weiterhin unbedingt erfolgen sollte.
Anknüpfungspunkt hierzu ist Art. 5 Abs. 1 a) DS-GVO. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Nach Art. 5 Abs. 2 DS-GVO muss der Verantwortliche die Einhaltung dieser Pflichten nachweisen können. Unter Berücksichtigung der in Art. 32 DS-GVO vorgeschriebenen Sicherheit für die Datenverarbeitung dürfen zudem Angestellte gem. Art. 29 DS-GVO nur nach Weisung des Verantwortlichen handeln. Schließlich schreibt Art. 24 DS-GVO vor, dass die nach Art. 32 DS-GVO erforderlichen technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten regelmäßig überprüft und aktualisiert werden müssen.
Insgesamt folgt aus einer Zusammenschau der verschiedenen Vorschriften, dass eine Verpflichtung auf das Datengeheimnis weiterhin notwendig bleibt. Nur so können die umfangreichen Dokumentationspflichten der DS-GVO bezüglich technisch-organisatorischer Maßnahmen und Transparenz eingehalten werden.
Verpflichtung noch weiter
Berücksichtigt man, dass ein grundlegendes Ziel der DS-GVO war, die Schutz- und Dokumentationspflichten des Verantwortlichen sogar noch auszuweiten, muss man sogar zu dem Schluss kommen, dass eine Verpflichtung auf das Datengeheimnis in Zukunft nicht mehr nur bei Aufnahme der Tätigkeit erfolgen, sondern diese auch regelmäßig aktualisiert werden muss. Außerdem dürfte es zukünftig notwendig sein, Mitarbeiter im Rahmen der Aktualisierung der Verpflichtung auch weitergehend zu schulen, da nur so der von der DS-GVO intendierte hohe Schutz von personenbezogenen Daten gewährleistet werden kann.
Weniger streng sind jedoch die nun zu wählenden Begrifflichkeiten. So ist es mangels ausdrücklicher Nennung nicht mehr notwendig, eine „Verpflichtung auf das Datengeheimnis“ vorzunehmen. Entscheidend ist alleine, dass eine solche Verpflichtung inhaltlich alle Anforderungen erfüllt. Zumindest in Deutschland kann es aber trotzdem ratsam sein, beim alten Begriff zu bleiben. Auch so wird für zusätzliche Transparenz gesorgt.