Rechtslage nach Inkrafttreten der DSGVO

Nach der bisherigen Rechtslage vor Inkrafttreten der DSGVO bestand gemäß § 5 BDSG alter Fassung für die bei der Datenverarbeitung beschäftigten Personen das Erfordernis zur Verpflichtung auf das Datengeheimnis. Mitarbeiter wurden daher durch datenverarbeitende Unternehmen regelmäßig mit entsprechenden Erklärungen zur Verschwiegenheit hinsichtlich personenbezogener Daten verpflichtet.

Dieses konkrete Erfordernis einer Verpflichtung auf das Datengeheimnis ist nunmehr weder in der seit Mai 2018 endgültig in Kraft getretenen DSGVO, noch im neugefassten BDSG enthalten. Der Bundesgesetzgeber dürfte in Ermangelung einer diesbezüglichen Öffnungsklausel in der DSGVO auf eine derartige Regelung im BDSG verzichtet haben. Lediglich in § 53 BDSG neuer Fassung findet sich eine vergleichbare Regelung, die jedoch öffentliche Stellen betrifft.

Für nichtöffentliche Stellen, also datenverarbeitende Unternehmen oder auch Vereine entfällt damit aber keineswegs die Notwendigkeit, datenschutzrechtliche Verpflichtungserklärungen von Mitarbeitern einzuholen. Dies ergibt sich aus einer Gesamtbetrachtung der DSGVO, die insgesamt sogar erhöhte Anforderungen zur Gewährleistung eines effektiven Datenschutzes stellt.

Anforderungen der DSGVO im Hinblick auf Verpflichtungserklärungen

Bereits aus den Grundsätzen zur Datenverarbeitung in Art. 5 DSGVO lässt sich die Pflicht zur rechtmäßigen Verarbeitung nach Treu und Glauben sowie zur Sicherstellung von Integrität und Vertraulichkeit entnehmen. Art. 24 Abs. 1 DSGVO fordert vom Datenverarbeiter geeignete technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Dies wird in Art. 32 DSGVO im Hinblick auf die Sicherheit der Verarbeitung noch konkretisiert. Art. 29 DSGVO knüpft die Verarbeitung personenbezogener Daten durch Mitarbeiter an das Weisungsrecht des Verantwortlichen bzw. des Auftragsverarbeiters (zum Begriff des Auftragsverarbeiters hier – ersten Artikel verlinken). Für den Fall der Auftragsverarbeitung schreibt Art. 28 Abs. 3 S. 2 lit. b DSGVO sogar explizit vor, dass der Auftragsverarbeiter gewährleisten muss, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

Berücksichtigt man all dies, besteht die Notwendigkeit von Verpflichtungserklärungen für Mitarbeiter mehr denn je. Zum einen, um Mitarbeitern die rechtlichen Vorgaben bei der Datenverarbeitung zu verdeutlichen und diese durchzusetzen. Die Verpflichtung dient der Warnung und Belehrung im Hinblick auf drohende Verstöße. Aufgrund der in Art. 24 Abs. 1 S. 2 DSGVO aufgestellte Pflicht zur Überprüfung und Aktualisierung kann es sogar ratsam sein, Verpflichtungserklärungen in regelmäßigen Abständen zu erneuern.

Zum anderen kann mithilfe von Verpflichtungserklärungen bei Verstößen, wie etwa einer unbefugten Datenweitergabe an Dritte durch einen Angestellten, seitens des Unternehmers leichter nachgewiesen werden, dass die ihn selbst betreffenden Pflichten als Verantwortlicher für die Datenverarbeitung erfüllt wurden. Denn darüber hat der Verantwortliche nach Art. 5 Abs. 2 DSGVO Rechenschaft abzulegen.

Handlungsempfehlungen für Verpflichtungserklärungen

 

Es ist somit geboten, Mitarbeiter weiterhin zur Einhaltung von Datenschutzbestimmungen zu verpflichten. Eine bestimmte Form ist dabei nicht vorgegeben, es empfiehlt sich aber die Schriftform für die erwähnten Nachweiszwecke. Entsprechende Erklärungsformulare sollten dabei inhaltlich an die DSGVO angepasst werden. Begrifflich können als Überschrift „Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)“ oder „Verpflichtung auf die Vertraulichkeit“ verwendet werden.

Der Personenkreis der zu verpflichtenden Personen ist weit gefasst. Neben regulären Angestellten sollten auch Personen wie Praktikanten, Leiharbeiter und ehrenamtlich Tätige etc. mit einbezogen werden und vor Beginn der datenverarbeitenden Tätigkeit verpflichtet werden. Zweckmäßig ist es durchaus, diesen Personen neben der Verpflichtungserklärung ein gesondertes Dokument zum Behalt auszuhändigen, auf dem die wesentlichen Gesetzesnormen aufgeführt sind. Ebenfalls bietet sich ein Merkblatt mit speziellen unternehmensbezogenen Hinweisen an.

Inhaltlich sollte man sich zunächst am Pflichtenkreis des Art. 5 Abs. 1 DSGVO orientieren. Die hier festgelegten Grundsätze bilden das Gerüst der DSGVO-Anforderungen:

1. Rechtmäßigkeit der Datenverarbeitung, Verarbeitung nach Treu und Glauben, Transparenz für die betroffene Person
2. Zweckbindung der Datenverarbeitung
3. Datenminimierung, also Reduzierung auf das notwendige Maß der Verarbeitung
4. Richtigkeit und Aktualität von Daten
5. Speicherbegrenzung, also Dauer im Hinblick auf die Zwecke der Verarbeitung
6. Integrität und Vertraulichkeit

Dazu kommen das Weisungsrecht aus Art.29 und Art. 32 DSGVO, der die Sicherheit der Verarbeitung betrifft. Aufbauend auf diese Grundsätze sollten Mitarbeiter Informationen über datenschutzrechtliche Pflichten im Rahmen ihrer Tätigkeit anhand typischer Fälle erhalten.

Ebenso ist auf die Folgen von Datenschutzverstößen hinzuweisen. Als Sanktionsinstrumente kommen Geldbußen (Art. 83 Abs. 1 DSGVO) sowie Geld- und Freiheitsstrafe (§ 42 BDSG) in Betracht. Daneben können zivilrechtliche Ansprüche treten, etwa auf Schadensersatz bei schuldhaften Verletzungen. Auch sind Konsequenzen im Hinblick auf die Verletzung arbeitsvertraglicher Pflichten möglich.

In diesem Zusammenhand kann auch von der Möglichkeit Gebrauch gemacht werden, die Verpflichtungserklärung zum Datenschutz nicht isoliert vorzunehmen, sondern in Verbindung mit etwaigen anderen Erklärungen, wie z.B. dem Fernmeldegeheimnis (§ § 88 TKG, 206 StGB) oder berufsspezifischen Geheimhaltungspflichten, wie sie z.B. bei Ärzten oder Rechtsanwälten bestehen (vgl. § 203 StGB).

Ein allgemeines Muster für eine schriftliche Verpflichtungserklärung hat das Bayerische Landesamt für Datenschutzaufsicht  veröffentlicht: https://www.lda.bayern.de/de/index.html#