Die Verpflichtung aus das Datengeheimnis findet ihren Ursprung derzeit in §5 Bundesdatenschutzgesetz. Nach dieser Norm ist es „den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).
Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.“ Obwohl die Verpflichtung auf das Datengeheimnis schon lange besteht, wird sie oftmals nicht oder nicht richtig umgesetzt. Häufig wird sie fälschlicherweise mit einer unternehmensinternen Verschwiegenheitserklärung gleichgesetzt.
Wozu dient die Verpflichtung auf das Datengeheimnis?
Der Unterschied zwischen einer Verschwiegenheitserklärung und der Verpflichtung auf das Datengeheimnis liegt vor allem im Sinn und Zweck. Denn eine Verschwiegenheitsklausel schützt in erster Linie Unternehmensinterna. Die Verpflichtung auf das Datengeheimnis hingegen regelt die rechtskonforme Verarbeitung von personenbezogenen Daten im Unternehmen und schützt damit die Interessen von Kunden oder Nutzern.
Wen betrifft die Verpflichtung auf das Datengeheimnis?
Betroffen von der Regelung in §5 Bundesdatenschutzgesetz sind grundsätzlich alle Mitarbeite, die während ihrer Tätigkeit mit personenbezogenen Daten in Berührung kommen. Da heute die meisten Unternehmensbereiche Datenverarbeitungsprozesse voraussetzen, kann das generelle Verpflichten aller Mitarbeiter sinnvoll sein. Darunter fallen im Übrigen auch Praktikanten oder freiberufliche Mitarbeiter.
Zu beachten ist jedoch, dass ab 25.05.2018 die Datenschutzgrundverordnung in Kraft trifft. Darin ist explizit keine Verpflichtung auf das Datengeheimnis normiert. Es empfiehlt sich jedoch daran festzuhalten, um den Anforderungen des Datenschutzes weiter gerecht zu werden.
Wie ist die Verpflichtung auf das Datengeheimnis auszugestalten?
Grundsätzlich sind von der Regelung betroffene Mitarbeiter vor Aufnahme ihrer Tätigkeit über die Grundsätze des Datengeheimnisses zu belehren. Darüber hinaus muss eine Sensibilisierung hinsichtlich der Verarbeitung personenbezogener Daten mit Blick auf das jeweilige Tätigkeitsfeld erfolgen. Hier empfiehlt sich in vielen Fällen eine spezielle Schulung der Mitarbeiter. Ziel des Prozesses ist es, dass der Mitarbeiter danach weiß, wann und wie er personenbezogene Daten verarbeiten darf und unter welchen Umständen er die Daten im Unternehmen weitergeben kann. Am Ende dieses Beitrags finden Sie ein Muster für eine Verpflichtung auf das Datengeheimnis.
Form und Konsequenzen bei Nichteinhaltung
Aus Beweisgründen sollte die Verpflichtung auf das Datengeheimnis schriftlich erfolgen. Außerdem sollte das Dokument mögliche Sanktionen für den Fall der Nichtbeachtung enthalten. In Frage kommen hier etwa arbeitsrechtliche Konsequenzen. Darüber hinaus sollte dem Mitarbeiter eine Kopie der Verpflichtung ausgehändigt werden.
MUSTER
Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) zur Wahrung des Datengeheimnisses
……………………………………………….
Name der verantwortlichen Stelle
Sehr geehrte(r) Frau/Herr…………………
aufgrund Ihrer Aufgabenstellung verpflichte ich Sie auf die Wahrung des Datengeheimnisses nach § 5 BDSG. Es ist Ihnen nach dieser Vorschrift untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen.
Diese Verpflichtung besteht auch nach Beendigung Ihrer Tätigkeit fort.
Verstöße gegen das Datengeheimnis können nach §§ 44, 43 Absatz 2 BDSG sowie nach anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden.
In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen.
Eine unterschriebene Zweitschrift dieses Schreibens reichen Sie bitte an die Personalabteilung zurück.
……………………. ……………………………………………………….
Ort, Datum Unterschrift der verantwortlichen Stelle
Über die Verpflichtung auf das Datengeheimnis und die sich daraus ergebenden Verhaltensweisen wurde ich unterrichtet. Das Merkblatt zur Verpflichtungserklärung (Texte der §§ 5, 43 Absatz 2, 44 BDSG) habe ich erhalten.
…………………… ………………………………………………
Ort, Datum Unterschrift des Verpflichteten
Merkblatt zur Verpflichtungserklärung
5 BDSG –Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
43 Absatz 2 BDSG –Bußgeldvorschriften
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
- unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
- unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
- unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
- die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
- entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
5a. entgegen § 28 Abs. 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
5b. entgegen § 28 Abs. 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
- entgegen § 30 Abs. 1 Satz 2, § 30a Abs. 3 Satz 3 oder § 40 Abs. 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
- entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
44 BDSG –Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde.