Verpflichtung auf Vertraulichkeit

Worum geht es?

Die Verpflichtung aufs Datengeheimnis ergab sich nach alter Rechtslage unmittelbar aus einer gesetzlichen Verpflichtung (§ 5 BDSG-alt). Seit die Datenschutz-Grundverordnung (DS-GVO) gilt, ist diese konkrete Verpflichtung (scheinbar) entfallen, da keine Regelung diesen Punkt konkret aufgreift bzw. fortführt. Bedeutet das nun für den Verantwortlichen, dass es eine solche Verpflichtung nicht mehr gibt? Mitnichten, da sich eine analoge Verpflichtung mittelbar aus der DS-GVO ergibt und möglicherweise noch größere Bedeutung hinsichtlich der thematisierten, konkreten Inhalte erlangt.

Woraus ergibt sich die Verpflichtung nach der DS-GVO und was sind die Regelungsinhalte?

Die DS-GVO schreibt der verantwortlichen Stelle vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen (Art. 5 (1) DS-GVO). Aus der gesetzlichen Rechenschaftspflicht ergibt sich wiederum, dass dies nachzuweisen ist, was nur in dokumentierter Form erfolgen kann.

Insofern enthalten Verpflichtungserklärungen die Grundsätze der Verarbeitung personenbezogener Daten, die der oder die Beschäftigte zu beachten hat.

Die DS-GVO enthält zu den Aufgaben eines Auftragsverarbeiters (Art. 28 DS-GVO) und der Sicherheit der Verarbeitung (Art. 32 DS-GVO) weitere konkrete Hinweise, die Vertraulichkeit bei den Beschäftigten sicherzustellen.

Die Verpflichtung auf Vertraulichkeit besteht jedoch nicht nur für Beschäftigte, sondern auch für Dienstleister, die im Unternehmen tätig sind und dabei möglicherweise Kenntnis von vertraulichen Daten erlangen. Auch für diesen Fall ist eine Verpflichtung auf Vertraulichkeit vorzunehmen und das gleiche Dokument in leicht abgewandelter Form geeignet.

Vorteil der Regelung weiterer Verpflichtungen im gleichen Dokument

Neben der Verpflichtung auf Vertraulichkeit kann es sinnvoll sein, weitere Regelungsbedarfe zu ergänzen und die Mitarbeitenden auf weitere Geheimnisse zu verpflichten: So zum Beispiel die Wahrung von Betriebs- und Geschäftsgeheimnissen nach dem Geschäftsgeheimnisgesetz, das Fernmeldegeheimnis nach dem TTDSG, das Sozialgeheimnis nach dem SGB X, das Privatgeheimnis nach § 203 StGB und weitere Themen, die einer Verpflichtung bedürfen.

Hilfreiche Links:

Kurzpapier der Datenschutzkonferenz mit Muster Verpflichtungserklärung

Muster des GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit)

Verfasser: Thorsten Jordan, 27.02.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!