Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Compliance zugeschickt.

Verpflichtung auf das Datengeheimnis

Datenschutz

von Simon Lang

Was ändert sich mit der Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung (DSGVO) beschert ganz Europa viele Änderungen. Auch betroffen ist die Verpflichtung auf das Datengeheimnis – oder etwa doch nicht?

„Ist eine Verpflichtung meiner Mitarbeiter auf das Datengeheimnis notwendig?“ – diese Frage stellen sich zurzeit viele Unternehmen.

Eine rasche Antwort fand man bisher in § 5 Bundesdatenschutzgesetz alte Fassung: „Ja, es ist notwendig!“

Spätestens bei der Neuausrichtung auf die DSGVO sucht man diesen Passus jedoch vergebens. Doch bedeutet dies nun, dass neue Mitarbeiter nicht mehr verpflichtet werden müssen?

Für Auftragsverarbeiter ist diese Frage schnell zu verneinen. Art. 28 Abs. 3 lit. b DSGVO schreibt explizit vor, dass der Auftragsverarbeiter im Auftragsverarbeitungsvertrag (AV-Vertrag) gewährleisten muss, dass seine Mitarbeiter bei der Verarbeitung von personenbezogenen Daten zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. An dieser Stelle wird nun nicht mehr vom Datengeheimnis, sondern von Vertraulichkeit gesprochen, welches uns die Augen für den folgenden Absatz öffnen wird.

Die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) gelten gleichermaßen für alle Unternehmen, ungeachtet davon, ob es sich um Auftraggeber, Auftragsverarbeiter oder schlichtweg um Unternehmen handelt, die personenbezogenen Daten verarbeiten.

In Art. 5 Abs. 1 lit. f wird man (liest man den Gesetzestext von Anfang an) erstmalig auf den Begriff der „Vertraulichkeit“ aufmerksam gemacht.

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“ – so der Wortlaut.

Blättert man im Gesetzestext einige Seiten weiter, stolpert man unweigerlich über Art. 24 und Art. 32 DSGVO, die final Antwort geben, ob eine Verpflichtung notwendig ist.

Art. 24 DSGVO verlangt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzt und nachweisen kann, dass die Verarbeitung im Einklang mit der DSGVO erfolgt - maßgeblich also nach den oben erwähnten Grundsätzen für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO.

Art. 32 Abs. 4 DSGVO verlangt darüber hinaus, dass der Verantwortliche sicherstellt, dass die Mitarbeiter nach seinen Vorgaben handeln.

Und hier schließt sich der Kreis! Mittels einer Verpflichtung auf die Vertraulichkeit kann der Verantwortliche seinen Pflichten aus den oben genannten Artikeln nachkommen und sicherstellen, dass jeder neue Mitarbeiter Kenntnis über den datenschutzkonformen Umgang von personenbezogenen Daten erlangt.

Für Unternehmen bedeutet dies: Alte Verpflichtungen auf das Datengeheimnis sind nach den Artikeln der DSGVO auszurichten.

Das Kind bekommt einen neuen Namen, faktisch geändert hat sich jedoch wenig.

Zurück