Verpflichtung auf die Vertraulichkeit

Menschen schauen auf einen Laptop

Das bisherige Datenschutzrecht sah in § 5 BDSG a.F. eine sog. „Verpflichtung auf das Datengeheimnis“ vor. Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten. Insoweit stellt sich datenverarbeitenden Unternehmen die Frage, ob die klassische Verpflichtung auf das Datengeheimnis weiterhin eine Zukunft hat und als „Verpflichtung auf die Vertraulichkeit“ fortlebt.

Die GDD hatte sich bereits in ihrer Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit, dahingehend positioniert, dass eine Verpflichtung auf die Vertraulichkeit auch unter dem Regime der DS-GVO ein probates Mittel sein wird, um unmissverständlich auf die Bedeutung und den Umfang datenschutzrechtlicher Regeln hinzuweisen und Mitarbeitern etwaige Risiken von Gesetzesverstößen vor Augen zu führen.

Auch das BayLDA vertritt die Ansicht, dass eine Belehrung und Verpflichtung der beschäftigten Personen zur Beachtung der datenschutzrechtlichen Anforderungen auch unter Geltung der DS-GVO als organisatorische Maßnahme geboten bleibt, um die Einhaltung des Datenschutzes so weit wie möglich sicherzustellen. Auf Grund der vielen Nachfragen nach einer Hilfestellung habe man das nun einen Mustertext mit Erläuterungen für eine solche Belehrung und Verpflichtung von Beschäftigten veröffentlicht, so das BayLDA.

Das entsprechende Dokument ist für Interessierte ebenfalls auf der BayLDA-Homepage bei den Informationsblättern in der Infothek zu finden (www.lda.bayern.de/de/infoblaetter.html).

Das Kurzpapier Nr. 19 der Datenschutz-Konferenz (DSK)  „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung  der datenschutzrechtlichen Anforderungen nach der  DS-GVO“ geht ebenfalls auf diese Thematik ein. Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu „verpflichten“ sind, trifft inhaltlich diese „verpflichtende Unterrichtung“ auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen), ist nicht verbindlich geregelt. Es wird empfohlen, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Ein Muster für eine solche Verpflichtung enthält das Kurzpapier ebenfalls als Anlage.

Letztes Update:04.06.18

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren