Datengeheimnis

Worum geht es?

Der Gesetzgeber erschuf das Datengeheimnis bereits 1977. Ziel und Zweck des Datengeheimnisses ist es seitdem, dass Organisationen ihre Beschäftigten dafür sensibilisieren, wie sie mit personenbezogenen Daten umgehen dürfen. Nur wenn alle Personen dies in einer Organisation wissen, kann die Organisation in Gänze die gesetzlichen Datenschutzanforderungen erfüllen. Damit dies gelingt, vermitteln sie ihren Beschäftigten Möglichkeiten und Grenzen bei der Verarbeitung von personenbezogenen Daten und verpflichten sie formell auf die Einhaltung des Datengeheimnisses:

Es geht darum, dass sich Beschäftigte Tag für Tag in ihrem Handeln für den richtigen Umgang mit personenbezogenen Daten verantwortlich fühlen.

Wo ist das Datengeheimnis geregelt?

Das Datengeheimnis findet sich in unterschiedlichen Datenschutzgesetzen. Beispielsweise:

Als der europäische Gesetzgeber die DS-GVO in 2016 veröffentlichte, war die Überraschung unter Datenschutzbeauftragten groß, dass sie den Begriff des Datengeheimnisses nicht mehr in der DS-GVO finden konnten. Tatsächlich taucht dieser dort nur noch indirekt auf. Am ehesten erinnert noch die Verpflichtung auf Vertraulichkeit an das Datengeheimnis, mehr Details hierzu können Sie in unserem separaten Lexikonbeitrag erfahren.

Worauf zielt das Datengeheimnis ab?

Wie eingangs beschrieben, zielt das Datengeheimnis darauf ab, dass diejenigen Personen in Organisationen, die personenbezogene Daten verarbeiten, sich für die Art des Umgangs mit diesen verantwortlich fühlen. Selbstverständlich können sie nur innerhalb eines bestimmten Rahmens darauf Einfluss nehmen. Ihre Organisationen setzen als Verantwortliche konkrete technische und Organisatorische Maßnahmen um, z.B. Zugriffberechtigungen oder Passwortvorgaben. Damit bestimmen sie das Sicherheitsniveau. Dennoch kommt den beschäftigten Personen eine überragende Bedeutung zu: Sie entscheiden (sofern sie die folgenden Möglichkeiten kennen und damit vertraut sind), ob sie richtig oder falsch mit personenbezogenen Daten umgehen, z.B. indem sie

  • Dokumente mit Gesundheitsdaten verschlüsselt per E-Mail anstatt unverschlüsselt versenden,
  • einem Anrufer mitteilen, dass eine Kollegin abwesend ist und sie voraussichtlich am nächsten Dienstag zurück am Arbeitsplatz ist anstatt mitzuteilen, „dass die Arme sich Corona eingefangen hat und für 14 Tage ausfällt“,
  • einen Kreis von Adressaten, die sich gegenseitig nicht kennen, nur per Blindkopie/BCC in einer E-Mail adressieren, anstatt alle E-Mail-Adressen im Klartext an alle zu versenden,
  • zu Hause oder im Freundeskreis nur so von ihrer Arbeit berichten, dass sämtliche Geschäftsgeheimnisse und personenbezogenen Daten geschützt sind, anstatt dass sie diese unbefugt weitererzählen.

Damit die Beschäftigten besser verstehen, worauf sie achten müssen, bietet es sich an, Merkblätter einzusetzen, um die Sensibilisierung zu unterstützen.

Wie erfolgt die Verpflichtung auf das Datengeheimnis?

Organisationen müssen ihre Beschäftigten bereits zu Beginn des Beschäftigungsverhältnisses auf das Datengeheimnis verpflichten. Hierfür können sie verfügbare Vorlagen aus dem Internet nutzen. Organisationen sollten trotz der Vorlage überlegen, ob darin alle Inhalte, die sie regeln möchten, enthalten sind. Ggfs. müssen sie weitere Regelungsinhalte wie das Fernmeldegeheimnis oder das Geschäftsgeheimnis berücksichtigen. Wenn die Vorlage finalisiert ist, so sollten Organisationen die Beschäftigten am besten mit einer Datenschutzschulung zusätzlich unterstützen. Dies kann auch ein Datenschutzbeauftragter übernehmen.

In solch einer Schulung können Sie Fragen beantworten und Beispiele nennen, damit die Beschäftigten wirklich verstehen, worauf sie achten müssen, wenn sie personenbezogenen Daten verarbeiten. Falls Sie Fragen zu den Inhalten vom Datengeheimnis oder zur Umsetzung haben, sprechen Sie uns gerne an!

Hilfreiche Links:

  • Kurzpapier der Datenschutzkonferenz mit Muster zur Verpflichtungserklärung
  • Muster des GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit)
  • Muster der IHK Frankfurt (Industrie- und Handelskammer Frankfurt am Main)
  • Muster des EKD-Beauftragten (Der Beauftragte für den Datenschutz der EKD)
  • Arbeitshilfe zur Verpflichtungserklärung zum Datengeheimnis des katholischen Datenschutzzentrums

Verfasser: Julian Häcker. 04.06.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!