• Datenschutz

Die Verpflichtung auf das Datengeheimnis

Wer in einem Unternehmen mit personenbezogenen Daten umgeht, muss auf das Datengeheimnis verpflichtet sein. So war man es bisher gewohnt. Die Datenschutz-Grundverordnung (DSGVO) sieht keine förmliche Verpflichtung mehr vor. Trotzdem werden Unternehmen auch in Zukunft eine Verpflichtung unterzeichnen lassen.

Ende eines gewohnten Rituals?

Es gehört zum gewohnten Ritual: Wer neu in ein Unternehmen eintritt, muss eine „Verpflichtung auf das Datengeheimnis“ unterschreiben. Dazu erhält er ein Infoblatt. Hintergrund ist eine entsprechende Regelung im bisherigen Bundesdatenschutzgesetz (BDSG-alt). Am 25. Mai 2018 löst die DSGVO das BDSG-alt ab. Die DSGVO enthält keine Regelung mehr, wonach Beschäftigte auf das Datengeheimnis zu verpflichten sind. Das hört sich zunächst nach einem willkommenen Abbau von Bürokratie an. Doch so einfach ist es nicht.

Herausforderung „Rechenschaftspflicht“

Die DSGVO verpflichtet alle Unternehmen dazu, die Datenschutzvorschriften zu beachten. Zusätzlich sieht sie eine „Rechenschaftspflicht“ vor. Das heißt: Unternehmen müssen nachweisen können, dass sie die DSGVO tatsächlich beachten. Zur Einhaltung der DSGVO gehört es, den Mitarbeitern zu verdeutlichen, welche Pflichten sie im Datenschutz haben. Dazu braucht es eine Art Belehrung. Sie muss schriftlich dokumentiert sein. Anders lässt sich nicht nachweisen, dass den Mitarbeitern ihre Pflichten klar waren.

Muster der Datenschutzaufsicht

Auf der Webseite des Bayerischen Landesamts für Datenschutzaufsicht findet sich das Muster „Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)“. Es führt die wesentlichen Grundsätze auf, die im Datenschutz zu beachten sind. Damit erinnert es nur an das, was sich ohnehin schon aus dem Gesetz ergibt. Der Text schafft keine Pflichten, die dort nicht enthalten sind. Von daher gibt es keinen Grund für einen Beschäftigten, die Unterschrift zu verweigern.

Kreis der zu Verpflichtenden

Zu verpflichten sind alle Personen, die mit personenbezogenen Daten umgehen. Das sind außer der „Stammbelegschaft“ auch Auszubildende, Praktikanten und Leiharbeiter. Wichtig ist, dass die Verpflichtung bei Aufnahme der Tätigkeit erfolgt. Also spätestens am ersten Arbeitstag. Selbstverständlich kann sie jedoch auch schon vorher geschehen.

Inhalt statt Formalie!

Die Inhalte der Verpflichtung sind das eigentlich Wichtige. Aus diesem Grund wäre es auch nicht gut, die Verpflichtung als eine lästige Formalie anzusehen nach dem Motto: „Das haken wir am ersten Arbeitstag schnell ab, und dann liegt das Formular eben jahrelang in der Personalakte.“ Die Datenschutzaufsicht empfiehlt, alle Beschäftigten immer wieder einmal daran zu erinnern, dass die Verpflichtung weiterhin gilt und was sie bedeutet. Dies kann durch Aushänge, aber auch zum Beispiel durch eine E-Mail an alle oder in Schulungen geschehen. Hier können die Unternehmen wählen.