Eine Pflicht Arbeitnehmer auf die Einhaltung des Datengeheimnisses zu verpflichten kennt die Datenschutzgrundverordnung (DSGVO) nicht. Bisher schrieb § 5 Bundesdatenschutzgesetz (BDSG) eine solche Verpflichtung zwingend vor. Doch wer nun meint, komplett auf eine Verpflichtung verzichten zu können, der irrt.

Artikel 29 DSGVO schreibt vor, dass Beschäftigte, egal, ob es sich um Beschäftigte eines Auftragsverarbeiters oder um Beschäftigte eines Verantwortlichen handelt, personenbezogene Daten ausschließlich auf Weisung des Arbeitgebers verarbeiten dürfen (es sei denn es gibt eine gesetzliche Regelung, die die Verarbeitung vorschreibt). Der Verantwortliche bzw. der Auftragsverarbeiter werden durch Artikel 32 Abs. 4 verpflichtet, Schritte einzuleiten, die eben dies sicherstellen. Obwohl also eine explizite Verpflichtung zur Vertraulichkeit nur für die Auftragsverarbeiter und ihre Beschäftigten vorgesehen ist (Artikel 28 Abs. 3 Satz 2 lit. b DSGVO), trifft die Verpflichtung inhaltlich aus den oben genannten Gründen auch auf verantwortliche Unternehmen und ihre Beschäftigten zu.

Wie diese Verpflichtung umgesetzt wird, regelt die DSGVO indes nicht. Wir empfehlen, ebenso wie die Datenschutzaufsichtsbehörden, dies mit einer schriftlichen Verpflichtungserklärung zu tun.

Wann sollte die Verpflichtung erfolgen?

Unkritisch ist es bei Neueinstellungen ab dem 25.5.2018. Hier sollte mit Beginn der Tätigkeit (erster Arbeitstag) eine solche Verpflichtung unterzeichnet werden. Die bereits nach § 5 BDSG auf das Datengeheimnis verpflichteten Personen sollten z.B. durch eine Rundmail, einen Bericht in der Firmenzeitung, im Rahmen von Schulungen etc. über die neuen gesetzlichen Grundlagen informiert werden. Eine erneute schriftliche Erklärung kann, muss aber nicht zwingend erfolgen. Allerdings sollte die Rundmail zu Dokumentationszwecken mit Datum und Empfängerkreis aufbewahrt werden.

Das Bayerische Landesamt für Datenschutzaufsicht hält auf seiner Webseite ein Muster einer „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO“ vor.