Aktenschublade

Datengeheimnis in der DSGVO

Die DSGVO raubt Ihnen Zeit und Nerven?
Ihr Datenschutz in besten Händen: Jetzt zum Experten für externen Datenschutz wechseln!

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Die Verpflichtung auf das Datengeheimnis war bisher in § 5 Bundesdatenschutzgesetz (BDSG-alt) geregelt: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste vom Arbeitgeber verpflichtet werden, das Datengeheimnis zu wahren und durfte nicht unbefugt Daten erheben, verarbeiten oder nutzen.
Eine solche Verpflichtung gibt es in der Datenschutzgrundverordnung (DSGVO) nicht. Das Datengeheimnis wird jedoch auch durch die Verordnung weiterhin sichergestellt.


Bisherige Regelung zum Datengeheimnis nach § 5 BDSG-alt

Die bisherige Regelung machte es dem Unternehmen relativ einfach, seine Mitarbeiter auf das Datengeheimnis zu verpflichten: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste sich verpflichten, die unbefugte Erhebung, Verarbeitung oder Nutzung zu unterlassen.

Neue Regelung zum Datengeheimnis nach Art. 32 Abs. 4 DSGVO

In der DSGVO gibt es keine explizite Regelung zur Verpflichtung auf das Datengeheimnis. Das heißt jedoch nicht, dass die Verpflichtung entfällt. In Art. 32 Abs. 4 DSGVO wird festgelegt, dass die Verantwortlichen und Auftragsverarbeiter Schritte unternehmen müssen, um „sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (…)“.


Was bedeutet das in der Praxis?

Durch die neue Regelung wird der zu verpflichtende Personenkreis nicht verringert, sondern sogar erweitert. Bisher waren nur die Mitarbeiter zu verpflichten, die mit der Verarbeitung von personenbezogenen Daten beschäftigt waren. Seit dem Inkrafttreten der neuen Verordnung am 25.05.2018 muss sichergestellt werden, dass auch Mitarbeiter, die nur Zugang zu personenbezogenen Daten haben, das Datengeheimnis wahren. Wenn also Personen Zugang zu Büroräumen haben und gegebenenfalls Akten mit personenbezogenen Daten auf den Schreibtischen liegen, müssten diese ebenfalls dem Datengeheimnis verpflichtet werden. Eine Belehrung oder die Umsetzung technischer Maßnahmen kann hier ausreichen. Herrscht eine Clean-Desk-Policy im Unternehmen, die verschlossene Aktenschränke mit einbezieht, so hätten andere Personen keinen Zugang und müssten demnach auch nicht verpflichtet bzw. eingewiesen werden.

 

Welche Maßnahmen im Unternehmen sind für die neue Verordnung zu empfehlen?

Wichtig ist zunächst einmal, dass ein Unternehmen feststellt, welche Mitarbeiter und welcher Personenkreis Zugang zu personenbezogenen Daten hat.
Obwohl keine Verpflichtungserklärung zum Datengeheimnis mehr vonnöten ist, sollten Unternehmen trotzdem alle Mitarbeitern, die Zugang zu personenbezogenen Daten haben, entsprechend verpflichten. Natürlich können auch alle Mitarbeiter und alle Kontraktoren, die im Haus arbeiten (Putzkräfte, Küchenhilfen etc.) verpflichtet werden. Damit wäre ein Unternehmen auf der sicheren Seite.

Fazit zum Datengeheimnis nach der DSGVO

Unternehmen sollten ihre Verpflichtungen zum Datengeheimnis basierend auf den Regelungen der DSGVO überarbeiten und eine Liste führen, welche Mitarbeiter Zugang zu personenbezogenen Daten haben. Auch wenn die Datenschutzverordnung eine Verpflichtung der Mitarbeiter nicht vorschreibt, wird diese empfohlen. Möglich ist es, grundsätzlich alle Personen, die im Unternehmen arbeiten, unabhängig davon, ob sie Zugang zu den Daten haben oder nicht, zu verpflichten, um auf der sicheren Seite zu sein.

 

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)


Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Datengeheimnis in der EU-DSGVO"