In der täglichen Praxis als externer betrieblicher Datenschutzbeauftragter ergeben sich immer wieder Fragestellungen rund um die Verpflichtung auf das Datengeheimnis nach § 5 Bundesdatenschutzgesetz (BDSG). Auf Seiten von Unternehmen bestehen häufig Unklarheiten hinsichtlich der erforderlichen Maßnahmen. Auf Seiten von Mitarbeitern schürt die Verpflichtung häufig Sorgen und Ängste. Dieser Beitrag beantwortet die wichtigsten Fragen:
Was ist die Verpflichtung auf das Datengeheimnis?
5 BDSG lautet:
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
Unternehmen unterliegen also der Pflicht, Mitarbeiter, die personenbezogene Daten verarbeiten (von Kunden, Mitarbeitern, Geschäftspartnern usw.), auf das Datengeheimnis zu verpflichten. Die Mitarbeiter sind anzuweisen, mit personenbezogenen Daten nicht unbefugt umzugehen. Es handelt sich um einen formellen Akt, der vor allem eine Sensibilisierung der betroffenen Mitarbeiter bewirken soll. Diesen soll die Bedeutung des Datenschutzes und das Bestehen rechtlicher Vorgaben und Sanktionen vor Augen geführt werden. Eine schlichte Anweisung allein reicht daher nicht aus. Vielmehr muss der Akt der Verpflichtung mit einer Belehrung zum Datenschutz einhergehen.
Ein Muster für eine Verpflichtungserklärung samt Belehrung für die Mitarbeiter findet sich beispielsweise hier.
Wer muss verpflichtet werden?
Sämtliche Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen auf das Datengeheimnis verpflichtet werden. Diese gesetzliche Vorgabe ist weit auszulegen. Auch Praktikanten, Azubis oder Reinigungspersonal, das für die Entsorgung von Unterlagen zuständig ist, ist betroffen. Es kommt nicht darauf an, welchen Anteil an der täglichen Arbeit der Umgang mit personenbezogenen Daten darstellt. Bei Leiharbeitnehmern ist umstritten, ob die Verpflichtung durch den Verleiher oder den Entleiher zu erfolgen hat. Zur Sicherheit sollte die Verpflichtung (auch) durch den Entleiher erfolgen.
Geschäftsführer oder andere Organe juristischer Personen müssen hingegen nicht verpflichtet werden. Als rechtliche Vertreter ihrer Unternehmen müssten sie sich ansonsten quasi selbst verpflichten.
In welcher Form muss die Verpflichtung erfolgen?
Das BDSG nennt keine konkrete Form für die Durchführung der Verpflichtung. Diese könnte somit grundsätzlich auch mündlich erfolgen. Aus Gründen der Dokumentation empfiehlt sich jedoch auf jeden Fall eine schriftliche Verpflichtung, die vom Mitarbeiter gegengezeichnet wird. Da dies jedoch rechtlich nicht zwingend vorgesehen ist, ist eine Verweigerung der Unterschrift durch Mitarbeiter unschädlich. Der Arbeitgeber sollte in derartigen Fällen die Verpflichtung unter Anwesenheit von Zeugen mündlich durchführen. Im Übrigen sollte jedoch auch geprüft werden, ob Mitarbeiter die sich einer Verpflichtung verweigern, mit der Verarbeitung personenbezogener Daten eingesetzt werden sollten.
Üblicherweise wird die Verpflichtung als Anlage zum Arbeitsvertrag genommen. Ein bloßer Aushang am Schwarzen Brett wäre hingegen nicht ausreichend. Die Verpflichtung muss persönlich erfolgen.
Welche Wirkung hat die Verpflichtung?
Für Unternehmen ist die Vornahme einer Verpflichtung nach § 5 BDSG eine gesetzliche Pflicht. Wird die Verpflichtung nicht durchgeführt, stellt dies zwar keine Ordnungswidrigkeit dar. Es steigt jedoch die Gefahr, dass es durch die fehlende Sensibilisierung der Mitarbeiter zu Datenpannen oder datenschutzrechtlichen Verstößen kommt, die wiederum als Ordnungswidrigkeit mit einem Bußgeld geahndet werden können. Gerade bei Unternehmen, die als Dienstleister tätig sind, würde eine fehlende Verpflichtung der eigenen Mitarbeiter nach § 5 BDSG zudem einen äußerst schlechten Eindruck machen, wenn es zu einem Audit durch einen Auftraggeber kommt. Auftraggeber sind oftmals angehalten, die bei Dienstleistern getroffenen organisatorischen Maßnahmen zum Datenschutz zu prüfen. Nach einer Verpflichtung gemäß § 5 BDSG können sich Mitarbeiter gegenüber ihrem Arbeitgeber zudem nicht mehr auf Unwissenheit berufen, wenn es zu arbeitsvertraglichen Pflichtverletzung mit datenschutzrechtlichem Bezug kommt.
Für Arbeitnehmer wiederum ergeben sich durch die Verpflichtung auf das Datengeheimnis keine besonderen Rechtsfolgen. Es entstehen ihnen keine Rechte oder Pflichten, denen sie nicht ohnehin kraft Gesetzes unterliegen würden. Sorgen und Ängste von Arbeitnehmern im Zusammenhang mit der Verpflichtung auf das Datengeheimnis sind somit völlig unbegründet.
Welche Änderungen werden sich durch die DSGVO ergeben?
Die Datenschutzgrundverordnung (DSGVO), welche im Mai 2018 das bislang geltende BDSG weitestgehend ablösen wird, enthält keine Regelung, die § 5 BDSG entspricht. Dies gilt bezogen auf Unternehmen auch für das BDSG-neu. Es empfiehlt sich jedoch, Mitarbeiter auch weiterhin zum Zwecke der Sensibilisierung auf die Einhaltung datenschutzrechtlicher Vorgaben zu verpflichten und über das Bestehen von Vorgaben und Sanktionen zu informieren. Die bislang verwendeten Muster können dabei grundsätzlich weiterverwendet werden. Bezüge auf Vorschriften des BDSG müssen jedoch entfernt und durch die entsprechenden Regelungen der DSGVO und des BDSG-neu ersetzt werden.