Datengeheimnis (Teil 2) - Team Datenschutz

Datengeheimnis (Teil 2)

Praxistipps zum Datenschutz - heute zum Datengeheimnis (Teil 2)

Verpflichtung und Unterweisungen

 

Zusammenfassung: Wenn Beschäftigte neu eingestellt werden, sind sie gemäß § 5 BDSG auf das Datengeheimnis zu verpflichten. Eine Verpflichtung bedeutet im arbeitsrechtlichen Sinne, dass diese schriftlich vorzunehmen ist. Die Verpflichtung ist mit einer Unterweisung zu verknüpfen, wenn sichergestellt werden soll, dass die Beschäftigten auch verstanden haben, wozu sie verpflichtet wurden. Die Verpflichtungen sind zu dokumentieren, die Unterweisungen von zeit zu Zeit zu aktualisieren.

Grundsatz Schriftform: Im Sinne des Arbeitsrechts gelten Verpflichtungen nur dann als erfolgt, wenn bewiesen werden kann, dass sie in geeigneter Form stattgefunden haben. Daher ist die Verpflichtung in schriftlicher Form vorzunehmen.

Die Mindestinhalte sind wie bei jeder Verpflichtung das Verhalten, das erwartet wird - also wie mit personenbezogenen Daten umzugehen ist. Weiter gehört dazu die Rechtsgrundlage - in diesem Fall eine Erläuterung des § 5 BDSG (oder bei fehlender Einschlägigkeit die entsprechende Rechtsgrundlage). Dann müssen die Folgen des Nichtbeachtens der Verpflichtung beschrieben sein, also was passieren kann, wenn sich die Beschäftigten nicht an die Regelungen halten - im Fall der Verletzung des Datengeheimnisses die Rechtsfolgen, bis hin zu Bußgeld und Strafverfolgung in besonders harten Fällen.

Verpflichtung getrennt vom Arbeitsvertrag: Es wird empfohlen, die Verpflichtung getrennt vom Arbeitsvertrag vorzunehmen. Grund: Um den Arbeitsvertrag zu erhalten, werden BEtroffene wohl alles unterschreiben. Daher empfehlen Fachkundige, die Verpflichtung auf gesondertem Formular vorzunehmen. Die Alternative wäre, die Verpflichtung nach Ende der Probezeit zu erneuern. Hinweis: ob diese Auffassung von Juristen eher eine Absicherung für alle Eventualitäten oder tatsächlich für die Praxis unabdingbar ist, soll hier nicht bewertet werden. 

Was tun bei Weigerung? Wenn sich Beschäftigte weigern sollten, die Verpflichtung zu unterschreiben, so gibt es mindestens zwei Möglichkeiten.  Die eine ist, ein Protokoll anzufertigen, aus dem hervorgeht, dass die Verpflichtung ordnungsgamäß erfolgt ist, verbunden mit einer Belehrung, dass sich der  zu Verpflichtende jedoch weigerte die Verpflichtung zu unterschreiben. Wird hier ein neutraler Zeuge hinzugezogen, der dies bestätigt, so gilt die Verpflichtung im Allgemeinen auch als vorgenommen. Die andere Möglichkeit besteht darin, die Option der Probezeitkündigung zu ziehen, oder gar eine fristlose Kündigung auszusprechen, wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für die Tätigkeit unabdingbar ist. Denn ohne die ordnungsgemäß vorgenommene Verpflichtung darf der Arbeitgeber keine entsprechenden Tätigkeiten anordnen.

Unterweisung ist erforderlich:Bei der zunehmenden Komplexität datenschutzrechtlicher Fragen sollte eine Unterweisung unbedingt im Zusammenhang mit der Verpflichtung auf das Datengeheimnis vorgenommen werden. Diese kann natürlich auch in der allgemeinen Einführung in den Datenschutz mit vorgenommen werden. Es ist in jeden Fall sicherzustellen, dass die Verpflichteten auch verstehen, was sie da unterschreiben.

Verpflichtung erneuern: Insbesondere bei Vorgaben von Auftraggebern im Zusammenhang mit der Auftragsdatenverarbeitung ist immer wieder zu beobachten, dass in vertraglichen Vereinbarungen zu Datenverarbeitung im Auftrag auch die Andorderungen aufgenommen ist, die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu erneuern. Ist dies vereinbart, muss dies auch durchgeführ werden, im Übrigen kann eine Erneuerung der Verpflichtung nur von Vorteil sein, da damit sichergestellt sein sollte, dass die Beschäftigten die Pflichten nicht vergessen. Das gilt auch für Unterweisungen, die immer wieder auf das Datengeheimnis und die daraus erwachsenden Pflichten für Beschäftigte hinweisen.

Ein Exemplar für die Personalakte: Ein unterschriebenes Exemplar der Verpflichtung sollte in die Personalakte eingelegt werden. 

Ein Exemplar für die Beschäftigten: Auch die Beschäftigten sollten ein Exemplar der Verpflichtung auf das Datengeheimnis erhalten.

Aktualität der Verpflichtung prüfen: In internen Audits sollte regelmäßig geprüft werden, ob die Verpflichtungstexte der aktuellen Rechtslage entsprechen. Bei Bedarf ist die aktuelle Textvorlage zu verwenden. Diese kann unter anderem auf der Homepage der zuständigen Aufsichtsbehörde für den Datenschutz abgeglichen werden.

Vollständigkeit der Verpflichtung prüfen: In internen Audits sollte regelmäßig geprüft werden, ob die Verpflichtung vollständig vorgenommen wurde.

 

Autor: Eberhard Häcker (ext. Datenschutzbeauftragter)

Nach oben