Beschäftigter lehnt Verpflichtung auf das Datengeheimnis ab: Was tun?

Verpflichtung auf das Datengeheimnis

Gemäß Art. 5 Abs. 2 DS-GVO muss der für die Verarbeitung Verantwortliche die Einhaltung der im Absatz 1 des Artikels festgelegten Grundsätze der Verarbeitung personenbezogener Daten nachweisen können. Hieraus folgt eine umfassende Rechenschaftspflicht (engl.: „Accountability“) mit zahlreichen Dokumentations- und Nachweispflichten.

Präzisiert werden die Anforderungen an die Nachweispflicht in Art. 24 Abs. 1 DS-GVO. Hier wird festgelegt, dass der Verantwortliche den Nachweis zu erbringen hat, dass er Maßnahmen getroffen hat, die sicherstellen, dass die Verarbeitung gemäß der DS-GVO erfolgt.

Vor Geltung der DS-GVO sah der nationale Gesetzgeber eine sog. „Verpflichtung auf das Datengeheimnis“ vor. § 5 BDSG a.F. lautete: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten (vgl. GDD-Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit) . Zwar sieht die DS-GVO nur für die Beschäftigten von Auftragsverarbeitern ausdrücklich vor, dass diese auf das Datengeheimnis zu verpflichten sind (Art. 28 Abs. 3 Nr. 2b DS-GVO), doch trifft diese Pflicht nach Auffassung der Aufsichtsbehörden (vgl. Kurzpapier 19 der DSK) auch Verantwortliche, mithin auch Arbeitgeber:innen und Beschäftigte.

Im Rahmen der Dokumentations- und Nachweispflichten des Art. 5 Abs. 2 DS-GVO ist die Verpflichtung der zur Verarbeitung befugten Personen auch weiterhin als probates Mittel anzusehen, um die Einhaltung datenschutzrechtlicher Vorschriften von vornherein zu gewährleisten.

Die Verpflichtung von Beschäftigten zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, die erforderlich sind, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 2 lit. b DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann.

Kernelement der Maßnahme ist, dass die Beschäftigten auf die Einhaltung betrieblicher Weisungen verpflichtet werden. Die Form der jeweiligen Weisung ist dabei nachrangig. Im Kurzpapier 19 der DSK heisst es:
Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden.

Was ist jedoch die Konsequenz für den Verantwortlichen, wenn sich ein Beschäftigter partout weigert, eine solche Verpflichtung zu unterzeichnen?

Das Bayerische Landesamt für Datenschutzaufsicht gibt zu dieser Frage in seinem 11. Tätigkeitsbericht für das Berichtsjahr 2021 eine klare Antwort (Ziffer 11.3):
“ […] Auch wenn eine bestimmte Form der Verpflichtung nicht vorgesehen ist, sollten die Arbeitgeber:innen doch, um ihrer Nachweispflicht gemäß Art. 5 Abs. 2 DS-GVO gegenüber unserer Behörde nachkommen zu können, eine schriftliche oder elektronische Verpflichtungserklärung einholen und hierzu ein entsprechendes Formular verwenden.

Die datenschutzrechtlichen Pflichten müssen Mitarbeiter:innen einhalten, unabhängig davon, ob diese die Verpflichtung unterschreiben oder nicht. Liegt ein Weigerungsfall vor, reicht es üblicherweise zur Erfüllung der Nachweispflicht aus, wenn der Arbeitgeber den Mitarbeiter auf seine Pflichten hingewiesen hat und darüber, sowie über den Umstand der Weigerung, einen Vermerk erstellt.

(Foto: michalchm89 – stock.adobe.com)

Letztes Update:28.02.23

  • Folge 34: ChatGPT & Co: Neues aus dem Maschinenraum der EU-Datenregulierung – KI und ePrivacy

    Die Europäische Union arbeitet mit Nachdruck an der Umsetzung der Datenstrategie 2020. Die geplanten und angegangenen Regelwerke sind für Spezialisten kaum durchschaubar und waren Gegenstand des DataAgenda Datenschutzpodcasts #29 mit Kai Zenner, dem Büroleiter und Digitalreferenten von MdEP Axel Voss von der EVP. In seinem „RDV-Update aus Brüssel“ berichtet Zenner in der RDV regelmäßig über

    Mehr erfahren
  • Personalunion Interessenkollision

    Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter

    Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.

    Mehr erfahren
  • Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?

    In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in

    Mehr erfahren