Verpflichtung auf das Datengeheimnis 2.0

Author Image Tobias Struebing | 11. Juni 2023 | 0 Kommentare

Allgemein vorgeschrieben ist die Verpflichtung auf das Datengeheimnis durch die DSGVO nicht. Das verblüfft viele, denn nach wie vor gehört sie zu den Ritualen bei der Einstellung. Aber was ist, wenn neue Mitarbeitende die Unterschrift unter die Verpflichtungserklärung verweigern?

Die DSGVO regelt nur einen Spezialfall ausdrücklich

Wer das Stichwort „Verpflichtung auf das Datengeheimnis“ in der DSGVO finden will, muss genau hinsehen. Es taucht lediglich an einer Stelle auf. Nur für Beschäftigte von Auftragsverarbeitern sieht die DSGVO eine ausdrückliche Verpflichtung auf die Wahrung des Datengeheimnisses vor (siehe Art. 28 Abs. 3 Nr. 2b DSGVO). Für andere Beschäftigte ist eine solche förmliche Verpflichtung nicht vorgesehen. Das bedeutet keineswegs, dass die DSGVO das Datengeheimnis gering schätzen würde – im Gegenteil.

Diese Regelung soll denkbare Zweifel ausschließen

Für die DSGVO ist es völlig selbstverständlich, dass es so etwas wie ein Datengeheimnis gibt und dass Beschäftigte es generell beachten müssen. So selbstverständlich, dass sie es nur für den Spezialfall „Beschäftigte von Auftragsverarbeitern“ ausdrücklich hervorhebt. Denn hier könnten sich Zweifel ergeben. Schließlich verarbeiten diese Beschäftigten Daten, die nicht ihrem Arbeitgeber „gehören“, sondern dessen Kunden. Und zu diesen Kunden stehen die Mitarbeiter des Auftragsverarbeiters in keinem eigenen vertraglichen Verhältnis.

Das Datengeheimnis gilt unabhängig davon allgemein

Bei der Verpflichtung auf das Datengeheimnis geht es darum, dass ein Unternehmen seine datenschutzrechtliche „Rechenschaftspflicht“ erfüllen will. Diese Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO festgelegt. Sie besagt: Es genügt nicht, dass ein Unternehmen die Vorgaben der DSGVO einhält. Das Unternehmen muss vielmehr jederzeit nachweisen können, dass dies tatsächlich so ist.

„Wer schreibt, der bleibt“

Zur Einhaltung der DSGVO gehört es, dass ein Unternehmen seinen Mitarbeitern verdeutlicht, welche Pflichten sie im Datenschutz haben. Das erfordert Schulung, Information und Belehrung. Dass so etwas stattgefunden hat, muss schriftlich dokumentiert sein. Denn sonst könnte ein Unternehmen vieles behaupten, ohne dass es nachprüfbar wäre.

Die Verpflichtung ist ein Instrument der Dokumentation

Ein bewährtes Instrument der Dokumentation ist die Verpflichtung von Beschäftigten auf das Datengeheimnis. Aus ihr entstehen für die Beschäftigten keine Pflichten, die nicht ohnehin vorhanden wären. Insofern haben sie auch keinen sachlichen Grund, die Unterschrift unter eine solche Verpflichtung zu verweigern.

Beschäftigte sind zur Unterschrift nicht verpflichtet

Andererseits können sie gerade deswegen auch nicht zu einer Unterschrift gezwungen werden. Es gibt dafür schlicht keine Rechtsgrundlage. Niemand muss durch seine Unterschrift die Beachtung von Pflichten bestätigen, wenn eine solche Bestätigung nirgends gesetzlich angeordnet ist. Schließlich käme auch niemand auf die Idee, von Beschäftigten beispielsweise eine schriftliche Bestätigung dafür zu fordern, dass sie niemals etwas am Arbeitsplatz stehlen werden. Das Verbot, Dinge zu stehlen, gilt völlig unabhängig von einer solchen Unterschrift.

Ein Vermerk über die Verweigerung genügt

Damit liegt auf der Hand, wie ein Unternehmen damit umgehen sollte, wenn ein Beschäftigter die Verpflichtung auf das Datengeheimnis nicht unterschreiben will. Es genügt, dass das Unternehmen die Weigerung in seinen Unterlagen vermerkt. Eine kurze Notiz „Unterschrift verweigert“ reicht aus. Zur Sicherheit sollte die Notiz mit einem Datum versehen sein und den Namen oder das Namenskürzel desjenigen enthalten, der die Verpflichtung vornehmen wollte.

Der Vermerk dient der Dokumentation

Damit hat das Unternehmen seine Dokumentationspflicht erfüllt. Und der Beschäftigte kann sich nicht irgendwann darauf herausreden, er habe seine Pflichten nicht gekannt. Ein ausdrücklicher Hinweis an den Beschäftigten, dass die Verweigerung der Unterschrift an seinen Pflichten nicht das Geringste ändert, kann dabei sinnvoll sein.

Der Begriff „Beschäftigte“ ist hier sehr weit zu fassen

Die dauerhaft Beschäftigten bilden in Unternehmen normalerweise die Kerngruppe der Personen, die auf das Datengeheimnis verpflichtet werden. Selbstverständlich müssen jedoch auch befristet Beschäftigte, Azubis, Praktikanten und Leiharbeiter die Vorgaben der DSGVO beachten. Gerade für sie ist das möglicherweise nicht so selbstverständlich wie für die Kernbelegschaft. Sie müssen deshalb unbedingt ebenfalls verpflichtet werden.

Neueste Beiträge

Navigieren per Smartphone: praktisch oder riskant?
Heimliche Aufzeichnung von Gesprächen?
Das sind die Ziele der Cyberkriminellen: Ihre Daten!
Spielregeln für den Umgang mit Datenpannen
Mit Cookie-Bannern richtig umgehen
Gepostet in

Hinterlassen Sie einen Kommentar