Gratis
6. Februar 2018 - Überholt – oder doch nicht?

Die Verpflichtung auf das Datengeheimnis und die DSGVO

Drucken

In der letzten Zeit ist eine Diskussion dazu entstanden, wie künftig mit der Verpflichtung auf das Datengeheimnis umzugehen ist. Rein rechtlich gesehen fällt sie ab 25. Mai 2018 weg. Dennoch wollen viele sie in angepasster Form beibehalten. Wir schlagen ein Muster vor.

Das Datengeheimnis lebt auch unter der DSGVO weiter Auch ohne die förmliche Verpflichtung auf das Datengeheimnis sind alle Beschäftigten verpflichtet, personenbezogene Daten vertraulich zu halten (Bild: iStock.com / Warchi)

Die Verpflichtung auf das Datengeheimnis gehört mittlerweile gewissermaßen zu den datenschutzrechtlichen Traditionen am Beginn eines Arbeitsverhältnisses.

Bis zum 25. Mai 2018 ist sie noch gesetzlich vorgeschrieben, und zwar durch § 5 des Bundesdatenschutzgesetzes (BDSG).

Dort heißt es: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.“

Änderung durch die DSGVO

Ab 25. Mai 2018 ändert sich das mit der Datenschutz-Grundverordnung: „Eine dem § 5 BDSG vergleichbare Regelung ist in der DSGVO nicht direkt enthalten“, heißt es kurz und bündig auf Seite 94 im Tätigkeitsbericht 2015/2016 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).

Überraschung im BDSG-neu

Umso mehr überrascht ein Blick in das neue BDSG, das ab 25. Mai 2018 gilt. Dort findet sich ein § 53, der die Überschrift „Datengeheimnis“ trägt.

Er lautet: „Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.“

Ein nur scheinbarer Widerspruch

Wer meint, dass die Auffassung des BayLDA damit der Gesetzeslage widerspreche, ignoriert den inhaltlichen Aufbau des BDSG-neu. § 53 steht in Teil 3 des BDSG-neu. Dieser Teil hat mit der Datenschutz-Grundverordnung nichts zu tun. Er dient vielmehr dazu, die Richtlinie (EU) 2016/680 umzusetzen.

Diese Richtlinie hat keine offizielle Überschrift. Meist wird sie als „Datenschutzrichtlinie für Polizei und Justiz“ bezeichnet. Für Unternehmen und sonstige private Stellen (etwa Vereine) hat sie keine Bedeutung.

Damit spielt § 53 BDSG-neu, der das Datengeheimnis regelt, für Unternehmen und sonstige private Stellen keine Rolle. Er besagt lediglich, dass Polizei- und Justizbehörden eine solche Verpflichtung ihrer Beschäftigten vornehmen müssen.

Der Unterscheid von Verordnung und Richtlinie

Dies führt zu der Frage, warum das BDSG in seinem Teil 2 keine Regelung über das Datengeheimnis enthält. Teil 2 besteht laut seiner Überschrift aus Durchführungsbestimmungen zur DSGVO. Hätte der Gesetzgeber in diesem Teil auch eine Regelung über das Datengeheimnis treffen können?

Die Antwort hierauf ist ein klares Nein. Das wäre nicht zulässig gewesen. Der Grund hierfür ergibt sich aus folgender Unterscheidung:

  • Bei einer EU-Richtlinie hat der nationale Gesetzgeber Spielräume für ergänzende Regelungen. Es gilt der Grundsatz: Etwas, das eine EU-Richtlinie nicht anspricht, kann der nationale Gesetzgeber nach seinem Ermessen regeln. Dass die Datenschutzrichtlinie für Polizei und Justiz nichts zum Datengeheimnis sagt, gibt dem nationalen Gesetzgeber also gerade die Freiheit, eine Regelung hierfür zu treffen.
  • Bei einer EU-Verordnung sieht das ganz anders aus. Hier gilt der Grundsatz: Die Regelungen der Verordnung sind abschließend. Etwas, das dort nicht geregelt ist, darf auch der nationale Gesetzgeber nicht regeln. Das gilt selbst dann, wenn eine Ergänzung aus welchen Gründen auch immer wünschenswert wäre. Eine Regelungsbefugnis hätte der nationale Gesetzgeber nur dann, wenn die Verordnung sie ihm einräumt. Das ist im Hinblick auf das Datengeheimnis jedoch gerade nicht geschehen. Die DSGVO spricht diesen Punkt schlicht nicht an.

Von wegen „alles nur Theorie“

Das Beispiel des Datengeheimnisses zeigt, dass die Unterschiede zwischen einer EU-Richtlinie und einer EU-Verordnung eben nicht nur etwas für „Theoretiker“ sind. Vielmehr haben sie handfeste praktische Auswirkungen. Wer sie nicht beachtet, macht in der Praxis Fehler.

Das wäre etwa der Fall, wenn jemand auf die Idee käme, § 53 BDSG-neu im Unternehmen anzuwenden. Dies läge völlig daneben.

Totgesagte leben länger

Abgeschafft ist das Datengeheimnis in Unternehmen damit freilich nicht. Es gibt für das Datengeheimnis in der DSGVO lediglich keine ausdrückliche Regelung mehr. Selbstverständlich sind jedoch weiterhin alle Beschäftigten verpflichtet, personenbezogene Daten vertraulich zu halten. Eine Weitergabe personenbezogener Daten ist nur zulässig, wenn dies gesetzlich erlaubt ist.

So gesehen kann man aus der Sicht der Beschäftigten sagen, dass sie weiterhin an so etwas wie ein Datengeheimnis gebunden sind, mag der Begriff selbst in der Grundverordnung auch nicht mehr auftauchen.

Wahrnehmung der Verantwortung für den Datenschutz

Auch dieser Gedanke ändert jedoch nichts daran, dass die DSGVO keine förmliche Verpflichtung auf das Datengeheimnis vorsieht. Dennoch überlegen viele Unternehmen, in irgendeiner Form an einer dokumentierten Verpflichtung festzuhalten. Der Grund: Art. 24 DSGVO regelt die „Verantwortung des für die Verarbeitung Verantwortlichen“.

Diese Vorschrift verlangt vom Verantwortlichen, „den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ Diese Nachweispflicht bezieht sich auch darauf, dass „unterstellte Personen“ sich an die Vorgaben der DSGVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt wird.

Verpflichtung als organisatorische Maßnahme

Eine solche organisatorische Maßnahme könnte darin bestehen, den „unterstellten Personen“ ihre Pflichten auch künftig schriftlich klarzumachen. Am Beginn des Arbeitsverhältnisses erscheint das besonders sinnvoll.

Eine schriftliche Belehrung ähnlich der bisherigen Verpflichtung auf das Datengeheimnis bietet sich dabei an. Sie kann zumindest dokumentieren, dass auf den Datenschutz hingewiesen wurde.

Hier finden Sie ein Muster als Word-Dokument: Verpflichtung auf das Datengeheimnis

Empfehlung des BayLDA

Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt sogar, nicht nur unter dem noch geltenden § 5 BDSG, sondern auch künftig die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen.

Der Sinn liegt auf der Hand: Im Druck der täglichen Arbeit bleiben die Vorgaben des Datenschutzes nicht dauerhaft im Bewusstsein. Dann ist eine Erinnerung daran sinnvoll.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken und moderiert im März die Veranstaltung „Datenschutz in der kommunalen Praxis in Bayern“.