Verpflichtung auf die Vertraulichkeit
Das bisherige Datenschutzrecht sah in § 5 BDSG a.F. eine sog. „Verpflichtung auf das Datengeheimnis“ vor. Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten. Insoweit stellt sich datenverarbeitenden Unternehmen die Frage, ob die klassische Verpflichtung auf das Datengeheimnis weiterhin eine Zukunft hat und als „Verpflichtung auf die Vertraulichkeit“ fortlebt.
Die GDD hatte sich bereits in ihrer Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit, dahingehend positioniert, dass eine Verpflichtung auf die Vertraulichkeit auch unter dem Regime der DS-GVO ein probates Mittel sein wird, um unmissverständlich auf die Bedeutung und den Umfang datenschutzrechtlicher Regeln hinzuweisen und Mitarbeitern etwaige Risiken von Gesetzesverstößen vor Augen zu führen.
Auch das BayLDA vertritt die Ansicht, dass eine Belehrung und Verpflichtung der beschäftigten Personen zur Beachtung der datenschutzrechtlichen Anforderungen auch unter Geltung der DS-GVO als organisatorische Maßnahme geboten bleibt, um die Einhaltung des Datenschutzes so weit wie möglich sicherzustellen. Auf Grund der vielen Nachfragen nach einer Hilfestellung habe man das nun einen Mustertext mit Erläuterungen für eine solche Belehrung und Verpflichtung von Beschäftigten veröffentlicht, so das BayLDA.
Das entsprechende Dokument ist für Interessierte ebenfalls auf der BayLDA-Homepage bei den Informationsblättern in der Infothek zu finden (www.lda.bayern.de/de/infoblaetter.html).
Das Kurzpapier Nr. 19 der Datenschutz-Konferenz (DSK) „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO“ geht ebenfalls auf diese Thematik ein. Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu „verpflichten“ sind, trifft inhaltlich diese „verpflichtende Unterrichtung“ auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen), ist nicht verbindlich geregelt. Es wird empfohlen, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Ein Muster für eine solche Verpflichtung enthält das Kurzpapier ebenfalls als Anlage.
Das könnte Sie auch interessieren
-
FAQ-Sammlung zum „Schulischen Datenschutz“
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rlp) stellt auf seiner Internetseite eine Sammlung von Fragen und Antworten zum Themengebiet „Schulischer Datenschutz“ zur Verfügung. Die vorgestellte Sammlung ist Ergebnis einer Kooperation zwischen dem LfDI Rlp, dem Pädagogischen Landesinstitut Rheinland-Pfalz (PL) sowie dem Bildungsministerium. Unter dem Titel „Schulischer Datenschutz in der Praxis –
Mehr erfahren -
BSI-Standard zum Notfallmanagement wird aktualisiert
Das BSI entwickelt den IT-Grundschutz weiter fort. In absehbarer Zeit soll auch der Standard 100-4 ersetzt werden. Mit dem BSI-Standard 100-4 hatte das BSI begonnen, einen systematischen Weg aufzuzeigen, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.Der Standard 100-4 wird durch den neuen Standard 200-4
Mehr erfahren -
Datenschutzorganisationen prüfen und beurteilen mit begrenztem Zeitaufwand!
Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) hält Unternehmen und andere datenverarbeitenden Stellen weiter in Atem. Auch lange nach ihrem Inkrafttreten stellt sie für viel Organisationen eine große Herausforderung dar. Aber auch dort, wo bereits viel Engagement in die Umsetzung des europäischen Datenschutzrechts gesteckt wurde, hat wohl noch niemand das Ziel der hundertprozentigen DS-GVO-Compliance erreicht. Komplexe Materie
Mehr erfahren
