Aktenschublade

Datengeheimnis in der DSGVO

Die DSGVO raubt Ihnen Zeit und Nerven?
Ihr Datenschutz in besten Händen: Jetzt zum Experten für externen Datenschutz wechseln!

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Die Verpflichtung auf das Datengeheimnis war bisher in § 5 Bundesdatenschutzgesetz (BDSG-alt) geregelt: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste vom Arbeitgeber verpflichtet werden, das Datengeheimnis zu wahren und durfte nicht unbefugt Daten erheben, verarbeiten oder nutzen.
Eine solche Verpflichtung gibt es in der Datenschutzgrundverordnung (DSGVO) nicht. Das Datengeheimnis wird jedoch auch durch die Verordnung weiterhin sichergestellt.

Was ist das Datengeheimnis?

Der Begriff Datengeheimnis im Unternehmen war bisher nach § 5 BDSG-alt definiert und besagte, dass Personen, die in einem Unternehmen mit personenbezogenen Daten arbeiten, diese weder unbefugt erheben, verarbeiten noch nutzen durften – auch nicht nach Beendigung des Arbeitsverhältnisses.

Bisherige Regelung zum Datengeheimnis nach § 5 BDSG-alt

Die bisherige Regelung machte es dem Unternehmen relativ einfach, seine Mitarbeiter auf das Datengeheimnis zu verpflichten: Jede Person, die mit der Datenverarbeitung von personenbezogenen Daten beschäftigt war, musste eine Verpflichtung unterzeichnen, die das unbefugte Erheben, Verarbeiten oder Nutzen dieser Daten untersagte.


Was ist ein Verstoß gegen das Datengeheimnis?

Ein Verstoß gegen das Datengeheimnis ist beispielsweise

  • die Zweckentfremdung erhobener Daten,

  • die Erhebung oder Verarbeitung nicht öffentlich zugänglicher personenbezogener Daten,

  • die Nutzung der Daten entgegen dem Willen des Betroffenen, z.B. zu Marktforschungszwecken oder

  • die Bereitstellung der erhobenen Daten (automatisiert) zum Abruf für Unbefugte.

Ob es sich bei solchen oder ähnlichen Handlungen um eine Ordnungswidrigkeit oder eine Straftat handelt, muss je nach Einzelfall entschieden werden. Ausschlaggebend ist dabei insbesondere, ob der Verstoß gegen das Datengeheimnis fahrlässig oder mit Vorsatz verübt wurde.

Was droht, wenn das Datengeheimnis nicht eingehalten wurde?

Unabhängig davon, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde, droht ein Bußgeld von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Das Bußgeld richtet sich entweder gegen das Unternehmen selbst als die verantwortliche Stelle oder gegen den Beschäftigten. Diesem drohen darüber hinaus arbeitsrechtliche Konsequenzen, da er sich meist gegenüber dem Arbeitgeber dazu verpflichtet hat, den Datenschutz zu wahren.

Neue Regelung zum Datengeheimnis nach Art. 32 Abs. 4 DSGVO

In der DSGVO gibt es keine explizite Regelung zur Verpflichtung auf das Datengeheimnis. Das heißt jedoch nicht, dass die Verpflichtung entfällt. In Art. 32 Abs. 4 DSGVO wird festgelegt, dass die Verantwortlichen und Auftragsverarbeiter Schritte unternehmen müssen, um „sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (…)“.

Was bedeutet das in der Praxis?

Durch die neue Regelung wird der zu verpflichtende Personenkreis nicht verringert, sondern sogar erweitert. Bisher waren nur die Mitarbeiter zu verpflichten, die mit der Verarbeitung von personenbezogenen Daten beschäftigt waren. Seit dem Inkrafttreten der neuen Verordnung am 25.05.2018 muss sichergestellt werden, dass

  • Mitarbeiter, die ausschließlich Zugang zu personenbezogenen Daten haben, das Datengeheimnis wahren.

  • Personen mit Zugang zu Büroräumen und Personen, die gegebenenfalls Zugang zu Akten mit personenbezogenen Daten haben, ebenfalls dem Datengeheimnis verpflichtet werden müssten. Eine Belehrung oder die Umsetzung technischer Maßnahmen kann hier ausreichen.

Ausnahme: Herrscht eine Clean-Desk-Policy im Unternehmen, die verschlossene Aktenschränke mit einbezieht, so hätten andere Personen keinen Zugang und müssten demnach auch nicht verpflichtet bzw. belehrt werden.


Welche Maßnahmen im Unternehmen sind für die neue Verordnung zu empfehlen?

  • Zuerst sollte ein Unternehmen feststellen, welche Mitarbeiter und welcher Personenkreis Zugang zu personenbezogenen Daten haben bzw. haben könnten.

  • Obwohl keine Verpflichtungserklärung zum Datengeheimnis mehr gesetzlich vorgeschrieben ist, sollten Unternehmen trotzdem alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, entsprechend verpflichten.

  • Will ein Unternehmen auf Nummer sicher gehen, können auch alle Mitarbeiter und alle Kontraktoren, die im Haus arbeiten (Putzkräfte, Küchenhilfen etc.), verpflichtet werden.

Fazit zum Datengeheimnis nach der DSGVO

Unternehmen sollten ihre Verpflichtungen zum Datengeheimnis basierend auf den Regelungen der DSGVO überarbeiten und eine Liste führen, welche Mitarbeiter Zugang zu personenbezogenen Daten haben. Auch wenn die Datenschutzgrundverordnung eine Verpflichtung der Mitarbeiter nicht vorschreibt, wird diese trotzdem empfohlen. Wollen Unternehmen auf der sicheren Seite sein, können sie alle im Unternehmen beschäftigten Personen (auch Externe) eine Verpflichtungserklärung unterschreiben lassen. Ein Muster „Verpflichtung zur Wahrung der Vertraulichkeit“ gibt es hier zum Download.

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Datengeheimnis in der EU-DSGVO"