Um den Datenschutz in der Praxis einzuhalten, ist es notwendig, dass die Beschäftigten, die mit personenbezogenen Daten umgehen, wissen, was zu tun ist. Daher besteht für Unternehmen die Pflicht, ihre Beschäftigten

1. für den Datenschutz zu sensibilisieren,
2. für ihre Aufgaben ausreichend im Datenschutz zu schulen und
3. auf die Vertraulichkeit zu verpflichten.

Die Verpflichtung auf die Vertraulichkeit kann als Dokument mehr als nur die letzte Pflicht erfüllen. Sie kann auf verschiedene Weisen auch die Erfüllung der ersten beiden Pflichten dokumentieren.

Dass die Erfüllung dieser Pflichten dokumentiert wird, ist notwendig, um die allgemeine Rechenschaftspflicht des Unternehmens zu erfüllen. Es muss nachweisen können, dass der Datenschutz eingehalten wird.

Was ist das?

Unternehmensinterne Funktionen

Über die Verpflichtung eines Mitarbeiters auf die Vertraulichkeit hinaus, kann die Vertraulichkeitsverpflichtung zusätzlich Instruktionen zu den für den konkreten Arbeitsaufgaben des Beschäftigten beinhalten (Schulung) und Grundlegendes zu Datenschutz und Datensicherheit vermitteln (Sensibilisierung).

Werden im Unternehmen regelmäßige Schulungen und Sensibilisierungen in Form von Seminaren oder Webinaren abgehalten, können Verpflichtungen im Anschluss an diese Veranstaltungen von den Teilnehmenden unterschrieben werden, um die erfolgreiche Teilnahme zu dokumentieren.

Wie weit die Vertraulichkeitsverpflichtung auch schulend und sensibilisierend wirken muss, hängt nicht nur davon ab, ob Schulungen in Seminarform vorgenommen werden. Es ist hängt auch davon ab, ob im internen Datenschutzmanagement verbindliche Richtlinien zu Datenschutz und Datensicherheit in bestimmten Kontexten existieren, zum Beispiel zur sicheren Nutzung von E-Mail-Kommunikation oder zur Einhaltung des Datenschutzes bei der Arbeit im Home-Office. Eine umfangreiche Vertraulichkeitsverpflichtung kann jedoch als weit weniger effektiv eingeschätzt werden als ein passgenaues Schulungskonzept kombiniert mit präzisen Richtlinien.

Die Vertraulichkeitsverpflichtung wird ferner gerne kombiniert mit vergleichbaren Verpflichtungen, wie der Verpflichtung auf das Telekommunikationsgeheimnis, der Verpflichtung zur Wahrung von Geschäfts- und Betriebsgeheimnissen sowie der Verpflichtung auf das Datengeheimnis.

Unternehmensexterne Funktionen

Über diese Funktionen im internen Datenschutzmanagement hinaus, ist die Verpflichtung auf die Vertraulichkeit die „kleine Schwester“ des Auftragsverarbeitungsvertrags, der wiederum der „kleine Bruder“ der Vereinbarung über die gemeinsame Verantwortlichkeit ist. Alle diese Dokumente regeln wer wie zu welchem Zweck personenbezogene Daten verarbeitet und wer was dabei zu gewährleisten hat – mit Personen, die außerhalb des Unternehmens stehen. Denn hier kommt eine Besonderheit der Weltsicht des Datenschutzrechts ins Spiel: Es hat eine eigentümliche Auffassung davon, wer zu einem Unternehmen gehört und wer nicht.

Fun fact: Bewerber sind in der Sichtweise des Datenschutzrechts Beschäftigte eines Unternehmens. Ebenso können Freelancer, die auf Stunden- oder Leistungsbasis bei dem Unternehmen angestellt sind, in der Sichtweise des Datenschutzes als Beschäftigte des Unternehmens gelten. Entscheidend ist besonders, ob sie bei der Wahl der Mittel der Verarbeitung personenbezogener Daten eigenständig agieren können und inwieweit sie Sicherheitsvorkehrungen ergreifen (können).

Beispielsweise ist ein auf Honorarbasis vergüteter Webdesigner, der dem Unternehmen aus seinem eigenen Büro heraus einen Webshop entwickelt und wartet und dabei sein eigenes Arbeitsgerät mit eigenen IT-Sicherheitsmaßnahmen verwendet, ein Auftragsverarbeiter und kein Beschäftigter im Sinne des Datenschutzrechts.

In der Praxis kann es jedoch vorkommen, dass Unternehmen Arbeitskräfte als „Subunternehmer“ bezeichnen, die datenschutzrechtlich Beschäftigte des Unternehmens sind. Man kann nicht vom unternehmensinternen Sprachgebrauch auf das Datenschutzrecht schließen.

Wenn man solchen, in der Wahrnehmung des Unternehmens externen, in der Sichtweise des Datenschutzrechts aber internen Arbeitskräften Auflagen machen möchte, wie sie den Datenschutz gewährleisten sollen, geht dies nicht über einen Auftragsverarbeitungsvertrag, sondern über eine Verpflichtung auf die Vertraulichkeit (und über unternehmensinterne Richtlinien).

Wieso ist das sinnvoll?

Beschäftigte in der Einhaltung des Datenschutzes zu schulen, hilft Datenschutzverletzungen zu vermeiden. Den Beschäftigten wird auch deutlich, dass sie im Zweifelsfall dafür geradestehen müssen, wenn sie Datenschutzverletzungen zu verantworten haben.

Was braucht man?

Wenn man eine Vertraulichkeitsverpflichtung nicht weiter in das interne oder externe Datenschutzmanagement integriert, enthält sie nur wenige Elemente.

Die Form

Die Vertraulichkeitsverpflichtung bedarf der Unterschrift des betreffenden Beschäftigten und sollte sicher zu dokumentieren sein. Empfehlenswert ist daher die Schriftform. Es sind natürlich elektronische Formate denkbar, falls die Schriftform in sehr großen Unternehmen nicht praktikabel ist.

Der Gegenstand

Die Vertraulichkeitsverpflichtung besteht aus zwei Teilen:

1. einem Merkblatt für den Beschäftigten und
2. einer Bestätigung für den Arbeitgeber, dass der Beschäftigte das Merkblatt erhalten hat.

Das Merkblatt wiederum beinhaltet zwei Teile:

1. eine Wiedergabe der relevanten Artikel der DS-GVO und Paragrafen des BDSG im aktuellen Wortlaut sowie
2. eine für den Beschäftigten verständlichen und auf seine Arbeitsaufgaben bezogenen Erläuterung dieser Gesetze.

Den zweiten Teil dieses Merkblatts kann man mit Erläuterungen und Anweisungen zu Datenschutz und Datensicherheit anreichern, entsprechend der Funktion der Vertraulichkeitsverpflichtung im Datenschutzmanagement des Unternehmens hinsichtlich Sensibilisierung und Schulung der Mitarbeitenden sowie abhängig von der Existenz von internen Richtlinien.

Der Inhalt

Man sollte nicht zu viele Regelungen wiedergeben, um die Verständlichkeit der Vertraulichkeitsverpflichtung nicht unnötig zu verringern. Im Wortlaut wiedergegebenen werden sollten mindestens:

• Art. 29 DS-GVO (Beschäftigte dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten),
• Art. 83 Abs. 4–6 DS-GVO (Auszug aus der Bußgeldvorschrift),
• § 42 Abs. 1 und 2 BDSG (Auszug der Strafvorschrift) und
• § 43 Abs. 1 und 2 BDSG (Auszug der Bußgeldvorschrift).

Abhängig von der Zielgruppe und in welcher Form die Vertraulichkeitsverpflichtung in ein Schulungskonzept eingebunden ist, kann es sinnvoll sein, Begriffsbestimmungen und Verarbeitungsgrundsätze wiederzugeben:

• Art. 4 Nr. 1 DS‑GVO (Begriffsbestimmung „Personenbezogene Daten“),
• Art. 4 Nr. 2 DS‑GVO (Begriffsbestimmung „Verarbeitung“),
• Art. 5 Abs. 1 lit. a DS­‑GVO (Grundsätze der Verarbeitung: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“),
• Art. 5 Abs. 1 lit. f DS­‑GVO (Grundsätze der Verarbeitung: „Integrität und Vertraulichkeit“).

Möchte man die Strafen und Bußgelder weiter hervorheben, können noch folgende Paragraphen des Strafgesetzbuchs wiedergegeben werden:

• Art. 82 Abs. 1 S. 1 DS­‑GVO (Schadenersatzanspruch Betroffener),
• Art. 83 Abs. 1 S. 1 DS­‑GVO (Bußgelder sollen so hoch sein, dass sie abschreckend wirken),
• § 202a–d StGB (Strafvorschriften zum Ausspähen und Abfangen von Daten und dem Hehlen mit gestohlenen Daten; je nach konkreten Arbeitsaufgaben und Risiken können noch weitere Paragraphen zur Verletzung des persönlichen Lebens- und Geheimbereichs (§§ 201–210 StGB) mit wiedergegeben werden,
• § 303a Abs. 1 und 2 StGB (Datenveränderung),
• § 303b Abs. 1 und 2 StGB (Computersabotage).

Wie sieht das zum Beispiel aus?

Es gibt ein kostenloses Muster der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Wer kann einem das machen?

Wenn man kein Muster findet, das die eigenen Bedürfnisse abdeckt, oder sich nicht selbst eine Vertraulichkeitsverpflichtung zusammenstellen möchte, ist dies eine klassische Aufgabe, die man dem Datenschutzbeauftragten oder dem Koordinator des Datenschutzmanagements im Unternehmen übertragen kann. Diese Mitarbeiter haben auch den notwendigen Überblick über das Datenschutzkonzept des Unternehmens, um das Merkblatt der Vertraulichkeitsverpflichtung mit dem Schulungskonzept abzustimmen. Darüber hinaus helfen natürlich Datenschutzberater gerne bei dieser Aufgabe.

Nochmal in trocken!

• Art. 28 Abs. 3 S. 2 lit. b DS-GVO beschreibt die Pflicht von Auftragsverarbeitern, ihre Beschäftigten auf die Vertraulichkeit zu verpflichten;
• Art. 39 Abs. 1 lit. a DS-GVO beschreibt die Aufgabe von Datenschutzbeauftragten, alle Beschäftigten, die mit personenbezogenen Daten in Kontakt kommen können, für die Einhaltung des Datenschutzes zu schulen. Die Fachliteratur leitet daraus die allgemeine Pflicht von Unternehmen ab, ihre Mitarbeitenden zu schulen, auch wenn das Unternehmen keinen Datenschutzbeauftragten benannt hat.

Wo erfährt man mehr darüber?

• Die Datenschutzkonferenz bietet eine Orientierungshilfe mit Muster und kurzen Hinweisen zur Einbettung der Vertraulichkeitsverpflichtung ins Datenschutzmanagement in ihrem Kurzpapier Nr. 19, Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO.
• Kurz zusammengefasst finden sich Informationen über das Fortgelten von Verpflichtungen auf das Datengeheimnis aus Zeiten vor der DS‑GVO in der GDD-Praxishilfe DS-GVO XI, Verpflichtung auf die Vertraulichkeit.
• Mehr Informationen zur Abgrenzung von Auftragsverarbeitern und Beschäftigten bietet unser Beitrag zu Auftragsverarbeitungsverträgen.