Verpflichtung auf die Vertraulichkeit

Menschen schauen auf einen Laptop

Das bisherige Datenschutzrecht sah in § 5 BDSG a.F. eine sog. „Verpflichtung auf das Datengeheimnis“ vor. Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten. Insoweit stellt sich datenverarbeitenden Unternehmen die Frage, ob die klassische Verpflichtung auf das Datengeheimnis weiterhin eine Zukunft hat und als „Verpflichtung auf die Vertraulichkeit“ fortlebt.

Die GDD hatte sich bereits in ihrer Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit, dahingehend positioniert, dass eine Verpflichtung auf die Vertraulichkeit auch unter dem Regime der DS-GVO ein probates Mittel sein wird, um unmissverständlich auf die Bedeutung und den Umfang datenschutzrechtlicher Regeln hinzuweisen und Mitarbeitern etwaige Risiken von Gesetzesverstößen vor Augen zu führen.

Auch das BayLDA vertritt die Ansicht, dass eine Belehrung und Verpflichtung der beschäftigten Personen zur Beachtung der datenschutzrechtlichen Anforderungen auch unter Geltung der DS-GVO als organisatorische Maßnahme geboten bleibt, um die Einhaltung des Datenschutzes so weit wie möglich sicherzustellen. Auf Grund der vielen Nachfragen nach einer Hilfestellung habe man das nun einen Mustertext mit Erläuterungen für eine solche Belehrung und Verpflichtung von Beschäftigten veröffentlicht, so das BayLDA.

Das entsprechende Dokument ist für Interessierte ebenfalls auf der BayLDA-Homepage bei den Informationsblättern in der Infothek zu finden (www.lda.bayern.de/de/infoblaetter.html).

Das Kurzpapier Nr. 19 der Datenschutz-Konferenz (DSK)  „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung  der datenschutzrechtlichen Anforderungen nach der  DS-GVO“ geht ebenfalls auf diese Thematik ein. Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu „verpflichten“ sind, trifft inhaltlich diese „verpflichtende Unterrichtung“ auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen), ist nicht verbindlich geregelt. Es wird empfohlen, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Ein Muster für eine solche Verpflichtung enthält das Kurzpapier ebenfalls als Anlage.

Letztes Update:04.06.18

  • Stand der Technik

    Handreichung zum Stand der Technik

    Sowohl das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz bzw. ITSiG) als auch die europäische Datenschutz-Grundverordnung (DS-GVO) erwähnen den Begriff des Stands der Technik als eine Forderung, an der sich die IT-Sicherheit orientieren soll. Im Bereich des technischen Datenschutzes fordert die DS-GVO in Art. 32 DS-GVO zum Schutze der Rechte und Freiheiten natürlicher Personen

    Mehr erfahren
  • Wegweiser

    LDI NRW aktualisiert FAQ zum DSB

    Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Während die EG-Datenschutzrichtlinie (95/46/EG) die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, wird sich mit Geltung der DS-GVO ab dem 25. Mai 2018 eine Bestellpflicht

    Mehr erfahren
  • Personalüberlassung als Auftragsverarbeitung?

    Beschäftigtendatenschutz und DS-GVO

    Ein spezielles Recht für den Beschäftigtendatenschutz wurde schon zu Zeiten vor Geltung der DS-GVO in wiederkehrender Regelmäßigkeit von vielen von DatenschutzexpterInnen, Personalprofis, Betriebsräten und anderen gefordert. Dies hat sich zwar mit Wirksamwerden der DS-GVO nicht wesentlich geändert, jedoch existiert nach wie vor kein in sich geschlossener Arbeitnehmerdatenschutz. Abgesehen von dem § 26 BDSG, der vom Regelungsgehalt her

    Mehr erfahren