Beschäftigte bzw. Mitarbeiter sind zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit zu verpflichten – zumindest sobald sie Umgang mit personenbezogenen Daten haben. Die EU-Datenschutz-Grundverordnung (DSGVO) lässt diesbezüglich keinen Spielraum. Wie diese Verpflichtung von Mitarbeitern auf Vertraulichkeit in der Praxis am besten funktioniert und wie Sie etwaige Hindernisse überwinden, erläutern wir Ihnen in dieser Anleitung (inkl. kostenlosem Muster).
Gesetzliche Grundlagen der Verpflichtung von Mitarbeitern
Die Verpflichtung von Beschäftigten auf Vertraulichkeit ergibt sich aus mehreren Normen der DSGVO:
- Nach 29 DSGVO dürfen Beschäftigte eines Verantwortlichen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.
- 32 Abs. 4 DSGVO schreibt ferner vor, dass der Verantwortliche Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
- Der Begriff der Verpflichtung findet sich ausdrücklich in 28 Abs. 3 Satz 2 lit. b DSGVO, der bestimmt, dass der Auftragsverarbeiter die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten muss.
- Die Rechenschaftspflicht des Verantwortlichen, also die Pflicht diese „verpflichtende Unterrichtung“ nachweisen zu können, ergibt sich aus Art. 24 DSGVO und Art. 5 Abs. 2 DSGVO.
Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder hält in ihrem Kurzpapier Nr. 19 vom 29. Mai 2018 zudem fest, dass diese „verpflichtende Unterrichtung“ nicht nur die Beschäftigten von Auftragsverarbeitern sondern natürlich auch die Verantwortlichen und deren Beschäftigte trifft.
Praktische Umsetzung der Verpflichtung von Mitarbeitern mit den 3 W-Fragen
Wer sollte verpflichtet werden?
Die DSGVO spricht von der Verpflichtung der „unterstellten natürlichen Personen“, was im Hinblick auf die Wichtigkeit der Regelung weit auszulegen ist. Die DSK empfiehlt ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige miteinzubeziehen.
Wann muss verpflichtet werden?
Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen. Genauer: Sie muss erfolgen, bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich damit an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.
Idealerweise werden Arbeitsvertrag, IT-Nutzungsrichtlinie und Verpflichtungserklärung nach der DSGVO als drei getrennte Dokumente vor dem Arbeitsantritt unterschrieben. Mit der Verpflichtung nach DSGVO können aber auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis.
Für bereits beschäftigte Mitarbeiter bietet es sich an, im Zuge der Umsetzung der DSGVO eine Neuverpflichtung vorzunehmen. Dies kann sowohl im Anschluss an eine Schulung zum Datenschutz oder auch ohne einen besonderen Anlass geschehen. Denn die Umsetzung gesetzlicher Vorgaben ist immer ein ausreichender Anlass. In diesem Zusammenhang empfiehlt die DSK sogar ab und zu im Rahmen von Schulungen oder schriftlichen Hinweisen (z. B. in der Betriebszeitung) als „Auffrischung der Unterrichtung“ daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt.
Wie wird verpflichtet?
Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Damit die Unternehmensleitung als verantwortliche Stelle jedoch ihrer Rechenschaftspflicht gegenüber der Aufsichtsbehörde nachkommen kann, sollte aus Gründen der Nachweisbarkeit zumindest beim ersten Mal ein entsprechendes Dokument verwendet werden (siehe unsere kostenlose Vorlage zur Verpflichtung auf Vertraulichkeit). Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften der verantwortlichen Stelle und des zu Verpflichtenden festgehalten werden.
Beachten Sie, dass die reine Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorgaben keine entsprechende Schulung ersetzen kann, bei der die Umsetzung dieser Pflicht in der Praxis anhand typischer Fälle erläutert wird.
Müssen Beschäftigte die Verpflichtung unterschreiben?
Zunächst ist festzuhalten, dass die gesetzlichen Verpflichtungen der DSGVO von den Mitarbeitern einzuhalten sind, ob sie eine Verpflichtungserklärung unterschreiben oder nicht. Anders als beispielsweise bei einer Einwilligung zur Nutzung von Fotos eines Mitarbeiters fragt der Verantwortliche bei der Datenschutzverpflichtung nicht um Erlaubnis, sondern setzt ihn lediglich in Kenntnis von den – unabhängig von einer Unterschrift – bestehenden Pflichten. So gelten beispielsweise auch die Strafgesetze oder die Betriebsvereinbarung für alle Mitarbeiter, ohne dass diese ihre explizite Zustimmung erklären müssen.
Bei der Verpflichtung auf das Datengeheimnis handelt es sich daher nicht um eine Verlagerung von Verantwortung, eine Erweiterung der Pflichten des Beschäftigten oder eine Streitfrage, bei der sich Arbeitnehmer und Arbeitgeber gegenüberstehen. Der Arbeitgeber kommt bei der Unterrichtung lediglich seiner gesetzlichen Pflicht nach, den Arbeitnehmer auf seine gesetzlichen Pflichten beim Umgang mit personenbezogenen Daten hinzuweisen. Die Unterschrift stellt damit keine Erweiterung der Aufgaben des Beschäftigten oder eine Einwilligung dar, sie quittiert lediglich die Kenntnisnahme der bestehenden Aufgaben im Rahmen des Datenschutzes.
Es besteht folglich kein Grund eine Erklärung zur Kenntnisnahme nicht zu unterschreiben. Wenn sich ein Beschäftigter dennoch weigert, die Erklärung zur Kenntnisnahme zu unterschreiben, empfiehlt es sich, ihm oder ihr diesen Zusammenhang in einem persönlichen Gespräch – idealweise unter Miteinbeziehung des Datenschutzbeauftragten oder -koordinators – zu erläutern. Ein entsprechend datierter Vermerk, dass ein aufklärendes Gespräch geführt wurde und der Beschäftigte darin auf seine Pflichten hingewiesen wurde, sollte als Nachweis gegenüber der Aufsichtsbehörde ausreichend sein.
Arbeitsrechtliche Konsequenzen sind möglich, da die Einhaltung des Datenschutzes eine wesentliche Pflicht des Arbeitnehmers gegenüber dem Arbeitgeber darstellt. Sie sollten entsprechende Maßnahmen allerdings erst dann einleiten, wenn der Beschäftigte nicht nur die Unterschrift der Kenntnisnahme verweigert, sondern auch die Einhaltung der rechtlichen Pflichten verweigert, auf die er dort hingewiesen wird.
Die Rolle des Betriebsrats bei der Verpflichtung
Der Betriebsrat hat gemäß § 80 I Nr. 1 BetrVG die Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Ihm sollte es infolgedessen auch daran gelegen sein, dass die Beschäftigten eine Verpflichtungserklärung unterschreiben. Dies ist einfach der Tatsache geschuldet, dass der Schutz personenbezogener Daten nach der DSGVO sich nicht auf Kundendatenschutz beschränkt, sondern auch dem Beschäftigtendatenschutz größte Relevanz beimisst. Beispielsweise mag einem Beschäftigten im Vertrieb oder Marketing eine Verpflichtung zum Datenschutz auf den ersten Blick lästig erscheinen. Nichtsdestotrotz sorgt dieselbe Verpflichtung dafür, dass die Kollegen z. B. aus der Personal- oder IT-Abteilung vertraulich mit seinen Daten umgehen.
Fazit: Machen Sie die Verpflichtung von Mitarbeitern zum Standard
Die Verpflichtung auf Vertraulichkeit von Mitarbeitern und ggfs. anderen Beschäftigten ist in der Praxis sehr effizient umzusetzen. Da sich die Pflicht zur Vertraulichkeit direkt aus dem Gesetz ergibt, sollte es wenig Widerstand bei den Verpflichteten geben. Letztlich profitieren von einer sauber dokumentierten Verpflichtung alle Beteiligten.