Verschwiegenheitserklärung – Reicht die Standardklausel in Verträgen oder muss ein separates Dokument erstellt werden?
Neben den mannigfaltigen Dokumentationspflichten im Datenschutz, muss auch im Arbeitsverhältnis eine entsprechende Vereinbarung zwischen Arbeitgeber (Verantwortlichem) und Arbeitnehmer abgeschlossen werden. Grundsätzlich zu unterscheiden sind dabei die allgemeinen Geheimhaltungspflichten, welche sich aus den sekundären Pflichten aus dem Arbeitsverhältnisses ergeben und der expliziten datenschutzrechtlichen Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten durch nicht-öffentliche Stellen. Geheimhaltungspflichten beziehen sich auf Dienst- bzw. Geschäftsgeheimnisse und werden allgemein im Arbeitsvertrag fixiert und letztere dienen Geheimhaltungspflichten gemäß der EU-DSGVO.
Was ist eine Verschwiegenheitserklärung?
Eine Verschwiegenheitserklärung oder genauer gesagt die Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen muss mit jeder unterstellten natürlichen Person zu Beginn der Tätigkeit abgeschlossen werden. Der Kreis der zu verpflichtenden Personen sollte grundsätzlich weit ausgelegt sein. Dazu zählen neben den normalen Angestellten auch Auszubildende, Praktikanten, Werksstudenten, Leiharbeiter, Referendare, Freelancer und Ehrenamtliche.
Wo ist die Verschwiegenheitserklärung gesetzlich geregelt?
Explizit gesetzlich geregelt ist die Verschwiegenheitserklärung nicht in der EU-DSGVO. Sie ergibt sich aber aus Art. 5 Abs. I lit. f) in Verbindung mit Art. 32 Abs. IV EU-DSGVO. Für Auftragsverarbeiter ergibt sich diese aus Art. 28 Abs. IV S. 1 EU-DSGVO. Zwar gibt es auch noch mit § 53 BDSG-neu ebenfalls eine entsprechende Norm, aber diese ist für nicht-öffentliche Stellen nicht anwendbar, da § 53 BDSG-neu gemäß § 45 ff. BDSG-neu nur für öffentliche Stellen der Strafverfolgung und Ordnungswidrigkeiten maßgeblich ist.
Warum muss eine Verschwiegenheitserklärung abgeschlossen werden und worin besteht die Notwendigkeit?
Die Notwendigkeit einer Verschwiegenheitserklärung ergibt sich selbstverständlich in erster Linie aus der gesetzlichen Pflicht. Daneben muss, wie eingangs erwähnt, vom Arbeitgeber dokumentiert werden, dass mit jeder Person, mit der ein Arbeitsverhältnis besteht, eine solche Verschwiegenheitserklärung abgeschlossen werden. Es kann bei einer behördlichen Überprüfung durch aus sein, dass die zuständige Behörde die entsprechenden Verschwiegenheitserklärungen einsehen möchte und der Arbeitgeber diesbezüglich auch die Beweislast trägt.
Ein weiterer wichtiger Grund, der sich aus der Dokumentationspflicht ergibt ist, dass der Arbeitgeber keine Bußgelder gemäß Art. 83 EU-DSGVO seitens der Aufsichtsbehörden auferlegt bekommt. Zudem kann es auch im innerbetrieblichen Arbeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer wichtig sein, dass der Arbeitgeber, die datenschutzrechtlichen Verpflichtungen mit dem Arbeitnehmer schriftlich dokumentiert, falls der Arbeitnehmer eine (grobe) Pflichtverletzung begeht und der Arbeitgeber sich möglicherweise bei etwaigen Regressansprüchen exkulpieren kann.
Welche Inhalte müssen in einer Verschwiegenheitserklärung geregelt werden?
Eine Verpflichtungserklärung sollte mit jedem Arbeitnehmer einzeln abgeschlossen werden, wobei natürlich der Inhalt immer der gleiche sein sollte, es sei denn es ergeben sich aus dem konkreten Arbeitsverhältnis spezielle Bestimmungen, die nur für den einen Arbeitnehmer in die Verpflichtungserklärung mit aufgenommen werden sollte.
Hier bietet es sich an, eine Vorlage des BayLDA zu verwenden:
Frau/Herr
verpflichtet sich, personenbezogene Daten nicht unbefugt zu verarbeiten. Personenbezogene Daten dürfen daher nur verarbeitet werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Regelung die Verarbeitung erlaubt oder vorschreibt. Die Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sind zu wahren; sie sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:
Nun erfolgt eine Aufzählung der in Art Abs. I lit. a) bis f) aufgeführten Grundsätze.
Personenbezogene Daten müssen
a) auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Personenbezogene Daten dürfen daher nur nach Weisung des Verantwortlichen verarbeitet werden. Neben Einzelweisungen der Vorgesetzten gelten als Weisung: Prozessbeschreibungen, Ablaufpläne, Betriebsvereinbarungen, allgemeine Dienstanweisungen sowie betriebliche Dokumentationen und Handbücher3.
Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung von arbeitsvertraglichen Pflichten oder spezieller Geheimhaltungspflichten darstellen. Auch (zivilrechtliche) Schadenersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben.
Ihre sich aus dem Arbeits- bzw. Dienstvertrag oder gesonderten Vereinbarungen ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.
Ich bestätige diese Verpflichtung. Ein Exemplar der Verpflichtung habe ich erhalten.
Ort, Datum Unterschrift des Verpflichteten Unterschrift des Verantwortlichen1
Als Anhang an die Verpflichtungserklärung wäre es noch sinnvoll ein Merkblatt mit den relevanten Artikeln anzuhängen, damit der Arbeitnehmer transparent informiert wird. Zudem sollte die Verschwiegenheitserklärung immer ein separates Dokument sein, da dieses bei einer behördlichen Überprüfung ggf. vorgezeigt werden muss und somit nicht der gesamte Arbeitsvertrag der Aufsichtsbehörde zur Verfügung gestellt werden muss.
Wie sollte ein Arbeitgeber mit einer Verpflichtungserklärung umgehen?
Wie eine solche Verpflichtungserklärung von dem Verantwortlichen (Arbeitgeber) umgesetzt wird, ist von der EU-DSGVO vorgegeben. Es ist aber zu raten, dass eine solche Verpflichtungserklärung auf jeden Fall schriftlich, aufgrund der Dokumentations- & Nachweispflicht, zu gestalten, wobei es gleichgültig ist, ob dies in schriftlicher oder elektronischer Form festgehalten wird.
Es sollte zudem darauf geachtet werden, dass der jeweilige Arbeitnehmer zumindest mündlich über seine Pflichten und den sich daraus möglicherweise ergebenden Konsequenzen bzw. Sanktionen belehrt wird. Des Weiteren sollte dem Arbeitnehmer auch eine Kopie der Verpflichtungserklärung für seine eigenen Unterlagen ausgehändigt werden. Das vom Arbeitnehmer unterschriebene Exemplar sollte in die jeweilige Personalakte mit aufgenommen werden.
Fazit
Jeder Verantwortliche sollte mit jeder natürlichen Person, mit der ein arbeitsrechtliches Verhältnis besteht, auch eine Verpflichtungserklärung abschließen. Dies zum einen um den gesetzlichen Vorschriften Folge zu leisten und zum anderen um keine Bußgelder der zuständigen Aufsichtsbehörde zu riskieren.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!