Verpflichtung auf das Datengeheimnis 2.0
Allgemein vorgeschrieben ist die Verpflichtung auf das Datengeheimnis durch die DSGVO nicht. Das verblüfft viele, denn nach wie vor gehört sie zu den Ritualen bei der Einstellung. Aber was ist, wenn neue Mitarbeitende die Unterschrift unter die Verpflichtungserklärung verweigern?
Die DSGVO regelt nur einen Spezialfall ausdrücklich
Wer das Stichwort „Verpflichtung auf das Datengeheimnis“ in der DSGVO finden will, muss genau hinsehen. Es taucht lediglich an einer Stelle auf. Nur für Beschäftigte von Auftragsverarbeitern sieht die DSGVO eine ausdrückliche Verpflichtung auf die Wahrung des Datengeheimnisses vor (siehe Art. 28 Abs. 3 Nr. 2b DSGVO). Für andere Beschäftigte ist eine solche förmliche Verpflichtung nicht vorgesehen. Das bedeutet keineswegs, dass die DSGVO das Datengeheimnis gering schätzen würde – im Gegenteil.
Diese Regelung soll denkbare Zweifel ausschließen
Für die DSGVO ist es völlig selbstverständlich, dass es so etwas wie ein Datengeheimnis gibt und dass Beschäftigte es generell beachten müssen. So selbstverständlich, dass sie es nur für den Spezialfall „Beschäftigte von Auftragsverarbeitern“ ausdrücklich hervorhebt. Denn hier könnten sich Zweifel ergeben. Schließlich verarbeiten diese Beschäftigten Daten, die nicht ihrem Arbeitgeber „gehören“, sondern dessen Kunden. Und zu diesen Kunden stehen die Mitarbeiter des Auftragsverarbeiters in keinem eigenen vertraglichen Verhältnis.
Das Datengeheimnis gilt unabhängig davon allgemein
Bei der Verpflichtung auf das Datengeheimnis geht es darum, dass ein Unternehmen seine datenschutzrechtliche „Rechenschaftspflicht“ erfüllen will. Diese Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO festgelegt. Sie besagt: Es genügt nicht, dass ein Unternehmen die Vorgaben der DSGVO einhält. Das Unternehmen muss vielmehr jederzeit nachweisen können, dass dies tatsächlich so ist.
„Wer schreibt, der bleibt“
Zur Einhaltung der DSGVO gehört es, dass ein Unternehmen seinen Mitarbeitern verdeutlicht, welche Pflichten sie im Datenschutz haben. Das erfordert Schulung, Information und Belehrung. Dass so etwas stattgefunden hat, muss schriftlich dokumentiert sein. Denn sonst könnte ein Unternehmen vieles behaupten, ohne dass es nachprüfbar wäre.
Die Verpflichtung ist ein Instrument der Dokumentation
Ein bewährtes Instrument der Dokumentation ist die Verpflichtung von Beschäftigten auf das Datengeheimnis. Aus ihr entstehen für die Beschäftigten keine Pflichten, die nicht ohnehin vorhanden wären. Insofern haben sie auch keinen sachlichen Grund, die Unterschrift unter eine solche Verpflichtung zu verweigern.
Beschäftigte sind zur Unterschrift nicht verpflichtet
Andererseits können sie gerade deswegen auch nicht zu einer Unterschrift gezwungen werden. Es gibt dafür schlicht keine Rechtsgrundlage. Niemand muss durch seine Unterschrift die Beachtung von Pflichten bestätigen, wenn eine solche Bestätigung nirgends gesetzlich angeordnet ist. Schließlich käme auch niemand auf die Idee, von Beschäftigten beispielsweise eine schriftliche Bestätigung dafür zu fordern, dass sie niemals etwas am Arbeitsplatz stehlen werden. Das Verbot, Dinge zu stehlen, gilt völlig unabhängig von einer solchen Unterschrift.
Ein Vermerk über die Verweigerung genügt
Damit liegt auf der Hand, wie ein Unternehmen damit umgehen sollte, wenn ein Beschäftigter die Verpflichtung auf das Datengeheimnis nicht unterschreiben will. Es genügt, dass das Unternehmen die Weigerung in seinen Unterlagen vermerkt. Eine kurze Notiz „Unterschrift verweigert“ reicht aus. Zur Sicherheit sollte die Notiz mit einem Datum versehen sein und den Namen oder das Namenskürzel desjenigen enthalten, der die Verpflichtung vornehmen wollte.
Der Vermerk dient der Dokumentation
Damit hat das Unternehmen seine Dokumentationspflicht erfüllt. Und der Beschäftigte kann sich nicht irgendwann darauf herausreden, er habe seine Pflichten nicht gekannt. Ein ausdrücklicher Hinweis an den Beschäftigten, dass die Verweigerung der Unterschrift an seinen Pflichten nicht das Geringste ändert, kann dabei sinnvoll sein.
Der Begriff „Beschäftigte“ ist hier sehr weit zu fassen
Die dauerhaft Beschäftigten bilden in Unternehmen normalerweise die Kerngruppe der Personen, die auf das Datengeheimnis verpflichtet werden. Selbstverständlich müssen jedoch auch befristet Beschäftigte, Azubis, Praktikanten und Leiharbeiter die Vorgaben der DSGVO beachten. Gerade für sie ist das möglicherweise nicht so selbstverständlich wie für die Kernbelegschaft. Sie müssen deshalb unbedingt ebenfalls verpflichtet werden.