Mit der Datenschutz-Grundverordnung, welche ab dem 25. Mai 2018 die bisher geltende Datenschutzrichtlinie 95/46 EG ersetzt und europaweit gilt, werden eine Vielzahl an Neuerungen ergeben, mit denen sich Unternehmen frühzeitig auseinandersetzen sollten. Dieser Beitrag wird sich mit der Pflicht zum Datengeheimnis für Mitarbeiter beschäftigen, welches wie der Titel bereits erwähnt nicht explizit in der DS-GVO geregelt ist. Mit dem Gebrauch der DS-GVO könnte der Anschein erweckt werden, dass die Verpflichtung zum Datengeheimnis, die noch im Bundesdatenschutzgesetz (BDSG) fest verankert ist, entfällt.
Keine explizite Regelung zum Datengeheimnis in der DS-GVO
Wie bereits erwähnt wird sich in der DS-GVO keine explizite Regelung zum Datengeheimnis finden lassen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) äußerte sich diesbezüglich in dem Tätigkeitsbericht von 2015/2016 und erklärte: „Eine dem § 5 BDSG (Bundesdatenschutzgesetz) vergleichbare Regelung ist in der DS-GVO nicht direkt enthalten.“
Es stellt sich nunmehr die Frage, ob eine förmliche Verpflichtung der Mitarbeiter zum Datengeheimnis mit der DS-GVO überhaupt notwendig ist. Geht man von der bestehenden Lage aus, so erschließt sich, dass mangels einer Regelung keine Verpflichtung entstehen kann. Diese Aussage sollte jedoch mit Vorsicht genossen werden, da zwar die konkrete Regelung zum Datengeheimnis entfällt, jedoch nicht das Datengeheimnis selbst.
Zudem müssen sowohl der Verantwortliche selbst als auch der Auftragsverarbeiter technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen. Die Sensibilisierung und Verpflichtung der Mitarbeiter zum/auf das Datengeheimnis dürfte eine solche Maßnahme sein. Dies schrieb auch das BayLDA in seinem Tätigkeitsbericht 2015/2016 und empfiehlt regelmäßige Wiederholungen bzw. Auffrischungen der/zur Verpflichtung auf das Datengeheimnis.
Andere Normen die den genannten Zustand relativieren
Auch wenn keine explizite Regelung zum Datengeheimnis in die DS-GVO aufgenommen wurde, existieren darin Regelungen, die an das Datengeheimnis anknüpfen. Darunter fällt mitunter der Art. 5 Abs. 1 a DS-GVO, welcher besagt:
„(1) Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).“
Weiterhin wird in Art. 5 Abs. 2 DS-GVO, der Verantwortliche dazu verpflichtet die Angaben des Absatzes 1 einzuhalten und die Einhaltung nachzuweisen. („Rechenschaftspflicht“) Aufgrund der Nachweispflicht empfiehlt es sich daher die Verpflichtungserklärung zum Datengeheimnis entsprechend zu dokumentieren und als einen Bestandteil des Datenschutzmanagement-Systems einzusetzen.
Nähere Ausformungen die eine Verpflichtung zum Datengeheimnis bedingen ergeben sich, beispielsweise aus Art. 29 DS-GVO und, wie bereits angedeutet, aus Art. 32 DS-GVO. Diese verdeutlichen, dass dem Verantwortlichen die Pflicht erwächst, dafür zu sorgen, dass die ihm unterstellen Mitarbeiter personenbezogene Daten nur auf dessen Weisung verarbeiten dürfen. Beide Artikel greifen dabei die Regelung des Art. 5 DS-GVO wieder auf, die besagt, dass personenbezogene Daten nur auf rechtmäßige Weise verarbeitet werden dürfen.
Die förmliche Verpflichtungserklärung zum Datengeheimnis bleibt
Aufgrund oben genannter Feststellung, ist von einem Auslassen einer förmlichen Verpflichtungserklärung zum Datenschutz abzuraten. Der vermeintliche Wegfall des Datengeheimnisses mit Geltung der DS-GVO täuscht, da mit den Neuregelungen auch höhere Dokumentations- und Nachweispflichten einhergehen, als bei den bisher geltenden Regelungen nach der Datenschutzrichtlinie 95/46 EG.
Dabei spielt vor allem die Sensibilisierung der Mitarbeiter bezüglich der Anforderungen der Datenschutz-Grundverordnung eine große Rolle. Aus diesem Grund ist es ratsam beispielsweise Mitarbeiterschulungen zum Datenschutz einzusetzen, um in regelmäßigen Abständen an das Datenschutzgeheimnis zu erinnern. Dies hat insoweit Sinn, da der Art. 24 Abs. 1 DS-GVO besagt: „[…] technisch und organisatorische Maßnahmen [sind einzusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls geprüft und aktualisiert.“
Das BayLDA hatte, wie bereits erläutert, empfohlen, eine Wiederholung der Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen durchzuführen. Sofern dieser Hinweis auf das Datengeheimnis für Mitarbeiter dokumentiert wird, könnte dies den Verantwortlichen und Auftragsverarbeiter bei einer Überprüfung durch die Aufsichtsbehörde entlasten. Dies ist insoweit von Bedeutung, da eine Übermittlung von personenbezogenen Daten durch einen Mitarbeiter, die nicht vom Art. 6 DS-GVO gedeckt ist und einen Verstoß darstellt, welcher unter den Bußgeldtatbestand nach Art. 83 DS-GVO fällt.
