Florian Padberg
Datenschutzbeauftragter
Die Verpflichtung von Mitarbeitern bezgl. des Datengeheimnis oder zur Vertraulichkeit ist so klar, wie es im alten Bundesdatenschutzgesetz in §5 geregelt war, in der EU-Datenschutzgrundverordnung (EU-DSGVO) oder im Bundesdatenschutzgesetz-2018 (BDSG-2018) nicht mehr zu finden.
Im BDSG-2018 gibt es zwar den Paragraphen 53 – Datengeheimnis, da aber dieser Paragraph nur für den öffentlichen Bereich in Deutschland gilt und nicht für Unternehmen, haben wir diesbzgl. keine Grundlage zur Verpflichtung der Mitarbeiter in Unternehmen.
Eine Verpflichtung zum Datengeheimnis gibt uns auch die EU-DSGVO nicht vor, jedenfalls nicht direkt. Ist das Unternehmen jedoch als Auftragsverarbeiter für seine Kunden tätig, also weisungsgebunden werden personenbezogene Daten durch das Unternehmen verarbeitet, so gibt es eine ähnliche Verpflichtung. In Art. 28 Abs. 3b steht geschrieben, dass der Auftragsverarbeiter gewährleistet, dass die mit der Datenverarbeitung betrauten Personen entweder zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Des Weiteren gibt uns die EU-DSGVO im Art.32 vor, dass entsprechende technische und organisatorische Maßnahmen zu treffen sind um dem Risiko ein angemessenes Schutzniveau zur Seite zu stellen. In Abs. 4 ist das Unternehmen (der Verantwortliche oder Auftragsverarbeiter) dazu verpflichtet sicherzustellen, dass Mitarbeiter (intern wie extern) nur auf Anweisung personenbezogene Daten verarbeiten dürfen.
Dieser Absatz und die Schaffung entsprechender organisatorischer Maßnahmen (eine Verpflichtung ist eine organisatorische Maßnahme) sollte dadurch für alle Unternehmen ein Grund sein, die Mitarbeiter zur Vertraulichkeit zu verpflichten, auch wenn keine Auftragsverarbeitung vorliegt. Eine sollte Maßnahme schärft auch zusätzlich das Bewußtsein der Mitarbeiter in Bezug auf den Umgang mit personenbezogenen Daten und dem Datenschutz.
Eine Verpflichtung zur Einhaltung datenschutzrechtlicher Anforderungen nach der EU-Datenschutzgrundverordnung und zur Wahrung der Vertraulichkeit sollte zumindest folgende Punkte beinhalten:
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!