Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

06. Februar 2021

Die Verpflichtung auf das Datengeheimnis und die DSGVO

Die Verpflichtung auf das Datengeheimnis und die DSGVO
Bild: iStock.com / Warchi
3,20 (5)
Muster
Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

Die Verpflichtung auf das Datengeheimnis gehörte gewissermaßen zu den datenschutzrechtlichen Traditionen am Beginn eines Arbeitsverhältnisses. Bis zum 25. Mai 2018 war sie noch gesetzlich vorgeschrieben, und zwar durch § 5 des alten Bundesdatenschutzgesetzes (BDSG-alt).

Dort hieß es: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.“

Änderung beim Datengeheimnis durch die DSGVO

Seit 25. Mai 2018 änderte sich das mit der Datenschutz-Grundverordnung (DSGVO): „Eine dem § 5 BDSG vergleichbare Regelung ist in der DSGVO nicht direkt enthalten“, hieß es kurz und bündig auf Seite 94 im Tätigkeitsbericht 2015/2016 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).

Überraschung im neuen BDSG

Umso mehr überraschte ein Blick in das neue Bundesdatenschutzgesetz (BDSG), das seit 25. Mai 2018 gilt. Dort findet sich ein § 53, der die Überschrift „Datengeheimnis“ trägt.

Er lautet: „Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.“

Ein nur scheinbarer Widerspruch im BDSG

Wer meint, dass die Auffassung des BayLDA damit der Gesetzeslage widerspreche, ignoriert den inhaltlichen Aufbau des BDSG. § 53 steht in Teil 3 des BDSG. Dieser Teil hat mit der Datenschutz-Grundverordnung nichts zu tun. Er dient vielmehr dazu, die Richtlinie (EU) 2016/680 umzusetzen.

Diese Richtlinie hat keine offizielle Überschrift. Meist wird sie als „Datenschutzrichtlinie für Polizei und Justiz“ bezeichnet. Für Unternehmen und sonstige private Stellen (etwa Vereine) hat sie keine Bedeutung.

Damit spielt § 53 BDSG, der das Datengeheimnis regelt, für Unternehmen und sonstige private Stellen keine Rolle. Er besagt lediglich, dass Polizei- und Justizbehörden eine solche Verpflichtung ihrer Beschäftigten vornehmen müssen.

Der Unterscheid von Verordnung und Richtlinie

Dies führt zu der Frage, warum das BDSG in seinem Teil 2 keine Regelung über das Datengeheimnis enthält. Teil 2 besteht laut seiner Überschrift aus Durchführungsbestimmungen zur DSGVO. Hätte der Gesetzgeber in diesem Teil auch eine Regelung über das Datengeheimnis treffen können?

Die Antwort hierauf ist ein klares Nein. Das wäre nicht zulässig gewesen. Der Grund hierfür ergibt sich aus folgender Unterscheidung:

  • Bei einer EU-Richtlinie hat der nationale Gesetzgeber Spielräume für ergänzende Regelungen. Es gilt der Grundsatz: Etwas, das eine EU-Richtlinie nicht anspricht, kann der nationale Gesetzgeber nach seinem Ermessen regeln. Dass die Datenschutzrichtlinie für Polizei und Justiz nichts zum Datengeheimnis sagt, gibt dem nationalen Gesetzgeber also gerade die Freiheit, eine Regelung hierfür zu treffen.
  • Bei einer EU-Verordnung sieht das ganz anders aus. Hier gilt der Grundsatz: Die Regelungen der Verordnung sind abschließend. Etwas, das dort nicht geregelt ist, darf auch der nationale Gesetzgeber nicht regeln. Das gilt selbst dann, wenn eine Ergänzung aus welchen Gründen auch immer wünschenswert wäre. Eine Regelungsbefugnis hätte der nationale Gesetzgeber nur dann, wenn die Verordnung sie ihm einräumt. Das ist im Hinblick auf das Datengeheimnis jedoch gerade nicht geschehen. Die DSGVO spricht diesen Punkt schlicht nicht an.

Das Beispiel des Datengeheimnisses zeigt, dass die Unterschiede zwischen einer EU-Richtlinie und einer EU-Verordnung eben nicht nur etwas für „Theoretiker“ sind. Vielmehr haben sie handfeste praktische Auswirkungen. Wer sie nicht beachtet, macht in der Praxis Fehler.

Das wäre etwa der Fall, wenn jemand auf die Idee käme, § 53 BDSG im Unternehmen anzuwenden. Dies läge völlig daneben.

„Totgesagte leben länger“ gilt auch fürs Datengeheimnis

Abgeschafft ist das Datengeheimnis in Unternehmen damit freilich nicht. Es gibt für das Datengeheimnis in der DSGVO lediglich keine ausdrückliche Regelung mehr. Selbstverständlich sind jedoch weiterhin alle Beschäftigten verpflichtet, personenbezogene Daten vertraulich zu halten. Eine Weitergabe personenbezogener Daten ist nur zulässig, wenn dies gesetzlich erlaubt ist.

So gesehen kann man aus der Sicht der Beschäftigten sagen, dass sie weiterhin an so etwas wie ein Datengeheimnis gebunden sind, mag der Begriff selbst in der DSGVO auch nicht mehr auftauchen.

Wahrnehmung der Verantwortung für den Datenschutz

Auch dieser Gedanke ändert jedoch nichts daran, dass die DSGVO keine förmliche Verpflichtung auf das Datengeheimnis vorsieht. Dennoch überlegen viele Unternehmen, in irgendeiner Form an einer dokumentierten Verpflichtung festzuhalten. Der Grund: Art. 24 DSGVO regelt die „Verantwortung des für die Verarbeitung Verantwortlichen“.

Diese Vorschrift verlangt vom Verantwortlichen, „den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ Diese Nachweispflicht bezieht sich auch darauf, dass „unterstellte Personen“ sich an die Vorgaben der DSGVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt wird.

Verpflichtung aufs Datengeheimnis als organisatorische Maßnahme

Eine solche organisatorische Maßnahme könnte darin bestehen, den „unterstellten Personen“ ihre Pflichten auch künftig schriftlich klarzumachen. Am Beginn des Arbeitsverhältnisses erscheint das besonders sinnvoll. Eine schriftliche Belehrung ähnlich der früheren Verpflichtung auf das Datengeheimnis bietet sich dabei an. Sie kann zumindest dokumentieren, dass auf den Datenschutz hingewiesen wurde.

Hier finden Sie ein Muster als Word-Dokument: Muster: Verpflichtung auf das Datengeheimnis

Das Bayerische Landesamt für Datenschutzaufsicht empfahl damals sogar, die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Der Sinn liegt auf der Hand: Im Druck der täglichen Arbeit bleiben die Vorgaben des Datenschutzes nicht dauerhaft im Bewusstsein. Dann ist eine Erinnerung daran sinnvoll. Das gilt mit Sicherheit heute immer noch.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.