Das bisherige Datenschutzrecht sah eine sogenannte Verpflichtung auf das Datengeheimnis vor. Diese Verpflichtung war eindeutig im alten BDSG festgelegt. Eine entsprechend klare und eindeutige Regelung findet sich in der DSGVO nicht. Unternehmen fragen sich nun, ob die bisherige Verpflichtung fort gilt, eine solche nicht mehr erforderlich oder neue Verpflichtungserklärungen einzuholen sind.

Was gilt nun?

Auch wenn die DSGVO eine Verpflichtung auf das Datengeheimnis bzw. eine Vertraulichkeitsverpflichtung nicht ausdrücklich vorsieht, ist diese als probates Mittel einzustufen, um Mitarbeiter auf die Bedeutung und den Umfang der datenschutzrechtlichen Regelungen hinzuweisen und ihnen die Konsequenzen etwaiger Verstöße vor Augen zu führen. Die Notwendigkeit, die Mitarbeiter entsprechend zu informieren und zu verpflichten ergibt sich ohnedies aus den dem Unternehmen obliegenden Sorgfalts- und Organisationspflichten.

Diese Auffassung wird sowohl von namhaften Verbänden, wie der GDD, als auch den Aufsichtsbehörden geteilt. So findet sich in der „Praxishilfe DS-GO XI“ der GGD eine entsprechende Empfehlung. Auch der Bayerische Landesdatenschutzbeauftragte vertritt die Ansicht, dass eine Belehrung und Verpflichtung der Mitarbeiter unter Beachtung der datenschutzrechtlichen Anforderungen auch unter der DSGVO als organisatorische Maßnahme geboten bleibt, um die Einhaltung des Datenschutzes sicherzustellen.

Schlussendlich wurde die Thematik auch von der Datenschutzkonferenz (DSK) in Kurzpapier Nr. 19 „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO“ aufgegriffen. Die in der DSGVO ausdrücklich nur für den Auftragsverarbeiter vorgesehene Verpflichtung, treffe den Verantwortlichen auch im Hinblick auf Beschäftigte. Zwar sehe die DSGVO nicht vor, wie diese umzusetzen (und auch nachzuweisen) sei, empfiehlt die DSK jedoch, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Hierfür wird seitens der DSK ein entsprechendes Muster vorgeschlagen.

Fazit

Auch nach Wirksamwerden der DSGVO sind Mitarbeiter auf die Vertraulichkeit zu verpflichten. Insoweit sollte nach Wirksamwerden der DSGVO eine neue Verpflichtungserklärung von den Mitarbeitern erbeten werden, die ausdrücklich auf die DSGVO Bezug nimmt. Ob Verpflichtungen auf das Datengeheimnis nach altem Recht weiter fortgelten bzw. als ausreichend erachtet werden, ist fraglich. Unnötige Risiken können mit einer neuen Verpflichtungserklärung von vornherein abgefedert werden. Es empfiehlt sich, die im Netz auffindbaren verschiedenen Muster nicht ohne Weiteres einzusetzen, sondern kritisch auf die Eignung in Ihren Unternehmen zu prüfen.

Autor: Yvonne Quad

Benötigen Sie Unterstützung rund um die Information und Verpflichtung der Mitarbeiter zur DSGVO? Wir unterstützen Sie gern!