+49 8142 4205020  info@ituso.de
Datenschutzprofi24
  • Themen
    • Datenschutzbeauftragter
    • DSGVO und Gesetze
    • Datenschutz im Internet
    • Datenschutz für Webseiten
    • Datenschutz Social Media
    • Datenschutz im Unternehmen
    • Datenschutz in der Technik
    • Datenschutz im Marketing
    • Betroffenenrechte
  • Magazin
  • Branchen
    • Immobilienmakler
    • Datenschutz in der Arztpraxis
    • Datenschutz in der Pflege
  • Über uns
    • Unsere Leistungen
  • Veranstaltungen
  • Download
  • Kontakt
  • Suche
  • Menü Menü

Verschwiegenheitserklärung – Reicht die Standardklausel in Verträgen oder muss ein separates Dokument erstellt werden?

Neben den mannigfaltigen Dokumentationspflichten im Datenschutz, muss auch im Arbeitsverhältnis eine entsprechende Vereinbarung zwischen Arbeitgeber (Verantwortlichem) und Arbeitnehmer abgeschlossen werden. Grundsätzlich zu unterscheiden sind dabei die allgemeinen Geheimhaltungspflichten, welche sich aus den sekundären Pflichten aus dem Arbeitsverhältnisses ergeben und der expliziten datenschutzrechtlichen Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten durch nicht-öffentliche Stellen. Geheimhaltungspflichten beziehen sich auf Dienst- bzw. Geschäftsgeheimnisse und werden allgemein im Arbeitsvertrag fixiert und letztere dienen Geheimhaltungspflichten gemäß der EU-DSGVO.

Was ist eine Verschwiegenheitserklärung?

Eine Verschwiegenheitserklärung oder genauer gesagt die Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen muss mit jeder unterstellten natürlichen Person zu Beginn der Tätigkeit abgeschlossen werden. Der Kreis der zu verpflichtenden Personen sollte grundsätzlich weit ausgelegt sein. Dazu zählen neben den normalen Angestellten auch Auszubildende, Praktikanten, Werksstudenten, Leiharbeiter, Referendare, Freelancer und Ehrenamtliche.

Wo ist die Verschwiegenheitserklärung gesetzlich geregelt?

Explizit gesetzlich geregelt ist die Verschwiegenheitserklärung nicht in der EU-DSGVO. Sie ergibt sich aber aus Art. 5 Abs. I lit. f) in Verbindung mit Art. 32 Abs. IV EU-DSGVO. Für Auftragsverarbeiter ergibt sich diese aus Art. 28 Abs. IV S. 1 EU-DSGVO. Zwar gibt es auch noch mit § 53 BDSG-neu ebenfalls eine entsprechende Norm, aber diese ist für nicht-öffentliche Stellen nicht anwendbar, da § 53 BDSG-neu gemäß § 45 ff. BDSG-neu nur für öffentliche Stellen der Strafverfolgung und Ordnungswidrigkeiten maßgeblich ist.

Warum muss eine Verschwiegenheitserklärung abgeschlossen werden und worin besteht die Notwendigkeit?

Die Notwendigkeit einer Verschwiegenheitserklärung ergibt sich selbstverständlich in erster Linie aus der gesetzlichen Pflicht. Daneben muss, wie eingangs erwähnt, vom Arbeitgeber dokumentiert werden, dass mit jeder Person, mit der ein Arbeitsverhältnis besteht, eine solche Verschwiegenheitserklärung abgeschlossen werden. Es kann bei einer behördlichen Überprüfung durch aus sein, dass die zuständige Behörde die entsprechenden Verschwiegenheitserklärungen einsehen möchte und der Arbeitgeber diesbezüglich auch die Beweislast trägt.

Ein weiterer wichtiger Grund, der sich aus der Dokumentationspflicht ergibt ist, dass der Arbeitgeber keine Bußgelder gemäß Art. 83 EU-DSGVO seitens der Aufsichtsbehörden auferlegt bekommt. Zudem kann es auch im innerbetrieblichen Arbeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer wichtig sein, dass der Arbeitgeber, die datenschutzrechtlichen Verpflichtungen mit dem Arbeitnehmer schriftlich dokumentiert, falls der Arbeitnehmer eine (grobe) Pflichtverletzung begeht und der Arbeitgeber sich möglicherweise bei etwaigen Regressansprüchen exkulpieren kann.

Welche Inhalte müssen in einer Verschwiegenheitserklärung geregelt werden?

Eine Verpflichtungserklärung sollte mit jedem Arbeitnehmer einzeln abgeschlossen werden, wobei natürlich der Inhalt immer der gleiche sein sollte, es sei denn es ergeben sich aus dem konkreten Arbeitsverhältnis spezielle Bestimmungen, die nur für den einen Arbeitnehmer in die Verpflichtungserklärung mit aufgenommen werden sollte.

Hier bietet es sich an, eine Vorlage des BayLDA zu verwenden:

Frau/Herr
verpflichtet sich, personenbezogene Daten nicht unbefugt zu verarbeiten. Personenbezogene Daten dürfen daher nur verarbeitet werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Regelung die Verarbeitung erlaubt oder vorschreibt. Die Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sind zu wahren; sie sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:
Nun erfolgt eine Aufzählung der in Art Abs. I lit. a) bis f) aufgeführten Grundsätze.

Personenbezogene Daten müssen

a) auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Personenbezogene Daten dürfen daher nur nach Weisung des Verantwortlichen verarbeitet werden. Neben Einzelweisungen der Vorgesetzten gelten als Weisung: Prozessbeschreibungen, Ablaufpläne, Betriebsvereinbarungen, allgemeine Dienstanweisungen sowie betriebliche Dokumentationen und Handbücher3.
Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung von arbeitsvertraglichen Pflichten oder spezieller Geheimhaltungspflichten darstellen. Auch (zivilrechtliche) Schadenersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben.
Ihre sich aus dem Arbeits- bzw. Dienstvertrag oder gesonderten Vereinbarungen ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.

Ich bestätige diese Verpflichtung. Ein Exemplar der Verpflichtung habe ich erhalten.

Ort, Datum Unterschrift des Verpflichteten Unterschrift des Verantwortlichen1

Als Anhang an die Verpflichtungserklärung wäre es noch sinnvoll ein Merkblatt mit den relevanten Artikeln anzuhängen, damit der Arbeitnehmer transparent informiert wird. Zudem sollte die Verschwiegenheitserklärung immer ein separates Dokument sein, da dieses bei einer behördlichen Überprüfung ggf. vorgezeigt werden muss und somit nicht der gesamte Arbeitsvertrag der Aufsichtsbehörde zur Verfügung gestellt werden muss.

Wie sollte ein Arbeitgeber mit einer Verpflichtungserklärung umgehen?

Wie eine solche Verpflichtungserklärung von dem Verantwortlichen (Arbeitgeber) umgesetzt wird, ist von der EU-DSGVO vorgegeben. Es ist aber zu raten, dass eine solche Verpflichtungserklärung auf jeden Fall schriftlich, aufgrund der Dokumentations- & Nachweispflicht, zu gestalten, wobei es gleichgültig ist, ob dies in schriftlicher oder elektronischer Form festgehalten wird.

Es sollte zudem darauf geachtet werden, dass der jeweilige Arbeitnehmer zumindest mündlich über seine Pflichten und den sich daraus möglicherweise ergebenden Konsequenzen bzw. Sanktionen belehrt wird. Des Weiteren sollte dem Arbeitnehmer auch eine Kopie der Verpflichtungserklärung für seine eigenen Unterlagen ausgehändigt werden. Das vom Arbeitnehmer unterschriebene Exemplar sollte in die jeweilige Personalakte mit aufgenommen werden.

Fazit

Jeder Verantwortliche sollte mit jeder natürlichen Person, mit der ein arbeitsrechtliches Verhältnis besteht, auch eine Verpflichtungserklärung abschließen. Dies zum einen um den gesetzlichen Vorschriften Folge zu leisten und zum anderen um keine Bußgelder der zuständigen Aufsichtsbehörde zu riskieren.

Benötigen Sie Unterstützung?

Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!

Zum Kontaktformular

Aktuelle Artikel zu diesem Thema

Say Mine – was Sie bei der Bearbeitung von Betroffenenanfragen „Powered by Mine“ beachten sollten

02.02.2022/von Marzena Tasch

Datenschutz im Gesundheitswesen: Kommunikation mit gutem Gewissen

08.10.2021/von Marzena Tasch

Datenschutz im Personalbeschaffungs- und Bewerbungsprozess

27.07.2021/von Marzena Tasch

Haben Sie noch Fragen?

Unser Experte und Spezialist dieses Themas beantwortet gerne Ihre Fragen!

Frage stellen

datenschutzprofi24 - powered by ituso

ituso GmbH

Fraunhoferstraße 9

85221 Dachau

Tel: +49 8142 42050 20

E-Mail: info@ituso.de

wwww.ituso.de
www.dsm-online.eu
  • Impressum
  • Datenschutz
  • Cookie Einstellungen anpassen
Datenminimierung: Wie ein Verstoß zum teuren Verhängnis werden kann Technische und organisatorische Maßnahmen (TOMs) nach DSGVO – Checkl...
Nach oben scrollen