Der Weihnachtsmann – The king of privacy

… oder wissen Sie, wohin der Weihnachtsmann in den Urlaub fährt?

Kürzlich war in einer Zeitung ein Interview mit dem Weihnachtsmann zu lesen. In Rahmen dessen wurde er unter anderem gefragt, welche Kleidung er gerne trage. Die Antwort kann sich fast jeder denken: „Am liebsten mag ich rote Sachen“ (WK 27.11. 2020, S. 28). Eine sicherlich interessante Information, aber nicht wirklich eine Überraschung. Was ist also dabei, wenn diese persönliche Information des Weihnachtsmannes nicht länger ein wohl gehütetes Geheimnis ist. Was ändert es für den Weihnachtsmann als betroffene Person, wenn die Welt diese Information nun hat und deren Bevölkerung diese Erkenntnis eventuell sogar untereinander austauscht? Wie so oft, wird der eine oder andere sagen: „Was ist schon dabei, kann doch jeder wissen.“ Und andere werden sich denken: „Der Weihnachtsmann ist erwachsen genug, er muss selbst wissen, was er von sich preisgeben möchte.“ Stimmt, zumindest bis zu einem gewissen Grad. Denn erst einmal ist es die eigene Entscheidung jeder betroffenen Person, inwieweit sie die persönlichen Angaben weitergeben will, vorausgesetzt es ist ihre bewusste, informierte und freiwillige Entscheidung bzw. es gibt eine Rechtsvorschrift, die sie zur Weitergabe der eigenen Daten verpflichtet.

Wie ist es hingegen, wenn der Weihnachtsmann nicht nur Informationen über sich selbst, sondern personenbezogene Daten anderer Personen – aus dem Umfeld seiner Tätigkeit – weitergeben möchte. Beispielsweise in Form einer öffentlich abrufbaren Liste aller, die sich aufgrund schlechten Verhaltens dieses Jahr über eine Rute zu Weihnachten freuen dürfen. Interessant wäre es sicherlich für diverse Außenstehende obendrein, mehr über die Sicherheitsvorkehrungen in den weihnachtlich geschmückten Häusern zu erfahren, eventuell gleich mit Angabe zum Wert der ansonsten noch gebrachten Geschenke. Da fragt sich dann vielleicht doch schon der eine oder andere, wie ist das eigentlich mit dem vertrauensvollen Informationsumgang beim Weihnachtsmann und seinen Helfer*innen geregelt? Unterliegen der Weihnachtsmann und die Elfen eigentlich der Datenschutz-Grundverordnung? Heiligabend ist sicherlich der perfekte Zeitpunkt sich über die Weihnachtsmann-Organisation Gedanken zu machen! Wieso aber eigentlich nur über den Weihnachtsmann nachdenken, warum sich die Frage nicht gleichermaßen zum eigenen Arbeitsverhalten stellen?

Schutz persönlicher Informationen

Eigentlich sollte es jeder wissen: Informationen über andere werden ohne Zustimmung der jeweiligen Person oder einer gesetzlichen Verpflichtung nicht weitererzählt/-gegeben. Vielmehr sind sowohl die Kommunikation als auch die Informationen über die Person geschützt. Inwieweit dies dem Recht auf Achtung des Privatlebens und der Korrespondenz gemäß der Datenschutzkonvention des Europarats oder der Verfassung als das Recht auf informationelle Selbstbestimmung entnommen wird, sei in diesem Zusammenhang dahingestellt.[1] Im Datenschutzrecht finden sich demgemäß zahlreiche Regelungen, wonach beispielsweise die Vertraulichkeit, die Verschwiegenheit, das Sozialgeheimnis etc. gewahrt werden müssen. Dabei weisen diese Verpflichtungen durchaus Unterschiede in der Umsetzung bzw. in der zugrunde liegenden Rechtsvorschrift auf, werden in der Praxis aber oftmals nicht sauber voneinander getrennt.

Vertraulichkeit

Die Vertraulichkeit stellt ein wesentliches Schutzziel der Datenschutz-Grundverordnung (DSGVO) dar und findet sich als eines der in Art. 5 Abs. 1 lit. f DSGVO genannten Grundsätze. Demnach müssen personenbezogene Daten in einer Art und Weise verarbeitet werden, durch die eine angemessene Sicherheit dieser Daten gewährleistet ist. Eine Kenntnisnahme der Daten durch unberechtigte Personen oder eine unbefugte Offenlegung soll verhindert werden. Darüber hinaus findet sich die Verpflichtung zur Sicherstellung der Vertraulichkeit in Art. 32 Abs. 1 lit. b DSGVO. Sowohl Verantwortliche als auch Auftragsverarbeiter sind danach angehalten, die notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um die Vertraulichkeit sicherzustellen.

Vertraulichkeit durch Beschäftigte

Zwar kennt die Datenschutz-Grundverordnung das Datengeheimnis als Begriff nicht mehr (§ 5 BDSG-alt), allerdings müssen Beschäftigte auch heute noch die Vertraulichkeit wahren.[2] Hintergrund ist, dass Beschäftigte Daten grundsätzlich nur auf Weisung des Arbeitgebers verarbeiten dürfen, sofern keine Rechtsvorschrift sie zur Verarbeitung verpflichtet (Art. 29 DSGVO). Arbeitgeber müssen daher – unabhängig davon, ob sie Verantwortlicher oder Auftragsverarbeiter sind – die datenschutzkonforme Verarbeitung der personenbezogenen Daten durch ihre Beschäftigten sicherstellen (vgl. Art. 32 DSGVO) und diese im Rahmen ihrer Weisungen entsprechend instruieren. Für eine Datenverarbeitung im Auftrag lässt sich dies zusätzlich dem Art. 28 Abs. 3 S. 2 lit. b DSGVO entnehmen, der die Notwendigkeit zur Vertraulichkeitsverpflichtung der Beschäftigten ausdrücklich formuliert. Zum Nachweis und Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), ist es außerdem dringend angeraten die Durchführung dieser Verpflichtung zu dokumentieren. Vergleichbar mit der Zeit vor der Datenschutz-Grundverordnung, sollten die Beschäftigten hierzu spätestens bei Antritt ihrer Tätigkeit ein entsprechendes Schreiben mit der Verpflichtung zur Vertraulichkeit sowie ein Merkblatt zur Datenschutzunterweisung erhalten.[3]

Verschwiegenheit/Sozialgeheimnis

Sofern im Einzelfall eine Tätigkeit in bestimmten Branchen wahrgenommen, eine besondere Stellung ausgefüllt bzw. im öffentlichen Dienst gearbeitet wird, können weitere Verpflichtungen zum vertraulichen Umgang mit personenbezogenen Daten hinzutreten. So sind zum Beispiel bestimmte Berufsgruppen (bspw. Ärzte, Rechtsanwälte) schon aufgrund ihrer Tätigkeit zur besonderen Verschwiegenheit verpflichtet (§ 203 StGB). Bei einer Verarbeitung von Sozialdaten (§ 67 Abs. 2 SGB X) enthält außerdem das Sozialgesetzbuch die Verpflichtung auf das Sozialgeheimnis (§ 35 SGB I). Darüber hinaus können zwischen Vertragspartnern eigene vertragliche Absprachen zur Verschwiegenheit („Verschwiegenheitsverpflichtung“) getroffen werden, um gegebenenfalls über den Datenschutz hinaus die Betriebs- und Geschäftsgeheimnisse zu schützen.[4]

Ungeachtet dieser besonderen Regelungen, bleibt hingegen die Verpflichtung zur Gewährleistung der Vertraulichkeit gemäß der Datenschutz-Grundverordnung im oben beschriebenen Sinne immer bestehen.

Fazit

Inwieweit die Datenverarbeitung des Weihnachtsmanns unter das Sozialgeheimnis fällt oder einer der unter das Strafgesetzbuch fallenden Berufsgruppen angehört, soll hier nicht weiter erörtert werden. Ebenso wenig wird die Frage diskutiert, nach der Anwendbarkeit der Datenschutz-Grundverordnung und der Zuständigkeit einer Aufsichtsbehörde. Es sollte sich aber bewusst gemacht werden, wir arbeiten nicht mit Elfen, sondern mit Menschen, die sich des Schutzerfordernisses persönlicher Informationen bewusst sein müssen. Also unabhängig davon, was jede Person selbst mit ihren Daten macht, als Verantwortlicher bzw. Auftragsverarbeiter oder deren Beschäftigte(r) muss ein die Vertraulichkeit wahrender Umgang mit personenbezogenen Daten gewährleistet sein.

Also ganz im Sinne eines verschwiegenen Weihnachtsmannes: „Wir wünschen Ihnen einen besinnlichen Heiligabend im Kreis der nur Ihnen bekannten Familienmitglieder.“

[1] Zur Unterscheidung bei Kühling/Raab, DSGVO, Einführung Rn. 10 ff.

[2] Hierzu bereits Windelband, datenschutz notizen, unter https://www.datenschutz-notizen.de/verpflichtung-von-beschaeftigten-auf-das-datengeheimnis-unter-der-dsgvo-5620031/ (Abruf 4.12.2020).

[3] Dazu näher unter https://www.datenschutz-notizen.de/wp-content/uploads/2019/03/info_verpflichtung_beschaeftigte_dsgvo.pdf (Abruf 12.12.2020).

[4] Zum Betriebsgeheimnis bereits Bleckmann, datenschutz notizen, unter https://www.datenschutz-notizen.de/geschaeftsgeheimnis-und-verschwiegenheit-haftungsrisiken-fuer-unternehmen-5224406/ (Abruf 10.12.2020).