- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Die Verpflichtung auf das Datengeheimnis und die DSGVO

In der letzten Zeit ist eine Diskussion dazu entstanden, wie künftig mit der Verpflichtung auf das Datengeheimnis umzugehen ist. Rein rechtlich gesehen fällt sie ab 25. Mai 2018 weg. Dennoch wollen viele sie in angepasster Form beibehalten. Wir schlagen ein Muster vor.

Die Verpflichtung auf das Datengeheimnis gehört mittlerweile gewissermaßen zu den datenschutzrechtlichen Traditionen am Beginn eines Arbeitsverhältnisses.

Bis zum 25. Mai 2018 ist sie noch gesetzlich vorgeschrieben, und zwar durch § 5 des Bundesdatenschutzgesetzes (BDSG).

Dort heißt es: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.“

Änderung durch die DSGVO

Ab 25. Mai 2018 ändert sich das mit der Datenschutz-Grundverordnung [1]: „Eine dem § 5 BDSG vergleichbare Regelung ist in der DSGVO nicht direkt enthalten“, heißt es kurz und bündig auf Seite 94 im Tätigkeitsbericht 2015/2016 [2] des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).

Überraschung im BDSG-neu

Umso mehr überrascht ein Blick in das neue BDSG, das ab 25. Mai 2018 gilt. Dort findet sich ein § 53, der die Überschrift „Datengeheimnis“ trägt.

Er lautet: „Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.“

Ein nur scheinbarer Widerspruch

Wer meint, dass die Auffassung des BayLDA damit der Gesetzeslage widerspreche, ignoriert den inhaltlichen Aufbau des BDSG-neu. § 53 steht in Teil 3 des BDSG-neu. Dieser Teil hat mit der Datenschutz-Grundverordnung nichts zu tun. Er dient vielmehr dazu, die Richtlinie (EU) 2016/680 umzusetzen.

Diese Richtlinie hat keine offizielle Überschrift. Meist wird sie als „Datenschutzrichtlinie für Polizei und Justiz“ bezeichnet. Für Unternehmen und sonstige private Stellen (etwa Vereine) hat sie keine Bedeutung.

Damit spielt § 53 BDSG-neu, der das Datengeheimnis regelt, für Unternehmen und sonstige private Stellen keine Rolle. Er besagt lediglich, dass Polizei- und Justizbehörden eine solche Verpflichtung ihrer Beschäftigten vornehmen müssen.

Der Unterscheid von Verordnung und Richtlinie

Dies führt zu der Frage, warum das BDSG in seinem Teil 2 keine Regelung über das Datengeheimnis enthält. Teil 2 besteht laut seiner Überschrift aus Durchführungsbestimmungen zur DSGVO. Hätte der Gesetzgeber in diesem Teil auch eine Regelung über das Datengeheimnis treffen können?

Die Antwort hierauf ist ein klares Nein. Das wäre nicht zulässig gewesen. Der Grund hierfür ergibt sich aus folgender Unterscheidung:

Von wegen „alles nur Theorie“

Das Beispiel des Datengeheimnisses zeigt, dass die Unterschiede zwischen einer EU-Richtlinie und einer EU-Verordnung eben nicht nur etwas für „Theoretiker“ sind. Vielmehr haben sie handfeste praktische Auswirkungen. Wer sie nicht beachtet, macht in der Praxis Fehler.

Das wäre etwa der Fall, wenn jemand auf die Idee käme, § 53 BDSG-neu im Unternehmen anzuwenden. Dies läge völlig daneben.

Totgesagte leben länger

Abgeschafft ist das Datengeheimnis in Unternehmen damit freilich nicht. Es gibt für das Datengeheimnis in der DSGVO lediglich keine ausdrückliche Regelung mehr. Selbstverständlich sind jedoch weiterhin alle Beschäftigten verpflichtet, personenbezogene Daten vertraulich zu halten. Eine Weitergabe personenbezogener Daten ist nur zulässig, wenn dies gesetzlich erlaubt ist.

So gesehen kann man aus der Sicht der Beschäftigten sagen, dass sie weiterhin an so etwas wie ein Datengeheimnis gebunden sind, mag der Begriff selbst in der Grundverordnung auch nicht mehr auftauchen.

Wahrnehmung der Verantwortung für den Datenschutz

Auch dieser Gedanke ändert jedoch nichts daran, dass die DSGVO keine förmliche Verpflichtung auf das Datengeheimnis vorsieht. Dennoch überlegen viele Unternehmen, in irgendeiner Form an einer dokumentierten Verpflichtung festzuhalten. Der Grund: Art. 24 DSGVO regelt die „Verantwortung des für die Verarbeitung Verantwortlichen“.

Diese Vorschrift verlangt vom Verantwortlichen, „den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ Diese Nachweispflicht bezieht sich auch darauf, dass „unterstellte Personen“ sich an die Vorgaben der DSGVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt wird.

Verpflichtung als organisatorische Maßnahme

Eine solche organisatorische Maßnahme könnte darin bestehen, den „unterstellten Personen“ ihre Pflichten auch künftig schriftlich klarzumachen. Am Beginn des Arbeitsverhältnisses erscheint das besonders sinnvoll.

Eine schriftliche Belehrung ähnlich der bisherigen Verpflichtung auf das Datengeheimnis bietet sich dabei an. Sie kann zumindest dokumentieren, dass auf den Datenschutz hingewiesen wurde.

Hier finden Sie ein Muster als Word-Dokument: Verpflichtung auf das Datengeheimnis [3]

Empfehlung des BayLDA

Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt sogar, nicht nur unter dem noch geltenden § 5 BDSG, sondern auch künftig die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen.

Der Sinn liegt auf der Hand: Im Druck der täglichen Arbeit bleiben die Vorgaben des Datenschutzes nicht dauerhaft im Bewusstsein. Dann ist eine Erinnerung daran sinnvoll.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken und moderiert im März die Veranstaltung „Datenschutz in der kommunalen Praxis in Bayern“.