Wer haftet, wenn Beschäftigte die Verpflichtung zur Vertraulichkeit verweigern?

Geschrieben am: | Geschätzte Lesezeit: 3 Minuten

Wenn Mitarbeiter sich weigern, eine Verpflichtung auf Vertraulichkeit bzw. eine Verschwiegenheitserklärung zu unterschreiben, kann dies äußerst unangenehm für Arbeitgeber werden. Daran ändert auch eine derzeit oft zitierte Stellungnahme einer Datenschutzbehörde nichts.

Die Pflicht zur Verpflichtung

Im altehrwürdigen Bundesdatenschutzgesetz fand sich in § 5 BDSG a.F. noch das Datengeheimnis. In der Datenschutz-Grundverordnung (DSGVO) gibt es dieses Geheimnis begrifflich nicht mehr und eine Aussage über die Verpflichtung zur Vertraulichkeit findet sich ausdrücklich nur noch in Art. 28 DSGVO in Bezug auf Auftragsverarbeitungs-Verhältnisse.

Es ist aber völlig unstreitig, dass eine Verpflichtung und entsprechende Schulung bzw. Sensibilisierung von Mitarbeitern hinsichtlich ihrer Datenschutzpflichten und damit auch zur notwendigen Vertraulichkeit zu den wesentlichen technischen und organisatorischen Maßnahmen (TOM) gehören. Nachdem Verantwortliche solche Maßnahmen auch nachweisen können müssen, hat sich an der Praxis, Mitarbeiter entsprechend schriftlich zu verpflichten, nicht viel geändert.

Tipp: Nutzen Sie unsere kostenlose Vorlage für die Verpflichtung von Mitarbeitern auf Vertraulichkeit.

Merkwürdige Ansicht des BayLDA

Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in seinem kürzlich erschienenen 11.  Tätigkeitsbericht eine bemerkenswerte Aussage dazu getroffen, die mittlerweile auch in Fachkreisen leider wenig reflektiert wiederholt wird.

Kernaussage des BayLDA im Kapitel 11.3 des Berichts ist, dass es unerheblich sein soll, wenn sich Mitarbeiter weigern, die Verpflichtung zur Vertraulichkeit zu unterschreiben. Es wäre vielmehr ausreichend, wenn der entsprechende Prozess nachgewiesen werden könnte. Soweit der Arbeitgeber Mitarbeiter auf ihre Pflichten hinweist und gegebenenfalls den Umstand der Weigerung vermerkt, wären die Pflichten demnach erfüllt.

Delegation muss sorgfältig erfolgen

Wie aber bitte schön ist es mit der Haftung von Verantwortlichen in Bezug auf ihr Auswahlverschulden? Die ganz allgemein bestehende Sorgfaltspflicht erfordert es, bei der Übertragung jeglicher Aufgabe darauf zu achten, dass der Beauftragte sowohl fachlich als auch persönlich entsprechend geeignet ist (siehe dazu auch unser Ratgeber über Verantwortung, Haftung und Delegierbarkeit beim Datenschutz).

Wie soll in diesem Zusammenhang damit umgegangen werden, wenn sich ein Mitarbeiter explizit weigert, einfachste und grundlegende Anforderungen im Datenschutz zu erfüllen? Der Nachweis, eine geeignete Person eingesetzt zu haben, würde wohl kaum gelingen. Im Gegenteil: Der vorsätzliche Verstoß gegen das Gebot, nur persönlich geeignete Personen einzusetzen, wäre nach Ansicht der Behörde ja sogar auch noch zu dokumentieren.

Dies passt hinten und vorne nicht zusammen und stellt aus unserer Sicht ein massives Haftungsrisiko dar!

Arbeitgeber sollten vielmehr kritisch überlegen, wie mit Mitarbeitern umgegangen werden muss, die sich ausdrücklich weigern, das Unternehmen bei der Erfüllung der eigenen Compliance- Verpflichtungen zu unterstützen und damit mindestens gegen eine arbeitsvertragliche Nebenpflicht verstoßen. Nach unserer Ansicht kann und muss dies die vorhersehbaren arbeitsrechtlichen Konsequenzen haben. Zumindest darüber, ob der sich verweigernde Mitarbeiter ohne Änderungen im Aufgabenbereich einfach weiterbeschäftigt werden darf, muss nachgedacht werden.

Auffallend ist, dass im Kontext Datenschutz offenbar von einzelnen Verantwortlichen auch in diesem Fall wieder ein ganz anderer Maßstab angelegt wird als er sonst völlig selbstverständlich wäre. Würde ein Mitarbeiter beispielsweise nicht zusagen wollen, die Finger aus der Kasse zu lassen oder Umweltschutzvorgaben zu beachten, wäre doch wahrscheinlich im Zweifel niemand auf die Idee gekommen, dafür bei der Aufsicht nachzufragen.

Fazit: Im Zweifel haftet der Arbeitgeber

Wenn sich ein Mitarbeiter ausdrücklich weigert, datenschutzrechtlich notwendige Maßnahmen mitzutragen, muss das für jeden Arbeitgeber ein deutliches Alarmzeichen sein. Nicht zu reagieren, erzeugt fast vorhersehbar ein Haftungsrisiko.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Fischer S. Profilbild
    Fischer S.

    Das Beispiel “die Finger aus der Kasse zu lassen” lässt den Widerspruch der Argumentation des Autors erkennen. Denn niemand käme auf die Idee einen Mitarbeiter explizit eine Vereinbarung unterzeichnen zu lassen, dass im jeweiligen Unternehmen Diebstahl verboten sei. Dies ist gesetzlich geregelt und daher geltendes Recht für jedermann, ebenso wie die DS-GVO.
    Die Ansicht des BayLDA kann daher sehr wohl vertreten werden, auch wenn man dem Fazit des Autors, dass es sich um ein deutliches Alarmzeichen handele und der Arbeitgeber genau überdenken sollte wen er hier beschäftigen will, sehr wohl zuzustimmen ist.

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Vielen Dank für Ihren Kommentar.
      Sie verstehen das Beispiel falsch. Es geht gar nicht darum, ob eine Verpflichtung erfolgt oder notwendig ist. Entscheidend ist, dass sich ein Mitarbeiter bei konkreter Gelegenheit ausdrücklich weigert, den Verantwortlichen bei der Erfüllung zwingender Pflichten zu unterstützen. Ob die entsprechende Pflicht bereits gesetzlich besteht oder erst durch die Verpflichtung entsteht, ist dabei völlig irrelevant. Wir könnten genauso andere Szenarien wählen: der Fahrer, der klar sagt, sich nicht an Verkehrsregeln halten zu wollen, der Vertrieb, dem Sanktionslisten egal sind, der Lagerarbeiter, den das Rauchverbot nicht interessiert, der Einkäufer, den Lieferketten nicht jucken.
      Entscheidend ist, dass ein Mitarbeiter sich aktiv und für den Verantwortlichen erkennbar gegen die Erfüllung einer Compliance Pflicht stellt. Wenn das im Rahmen einer notwendigen Verpflichtung erfolgt, erhält die Ankündigung, nicht compliant sein zu wollen, ja sogar noch mehr Gewicht, als wenn sie sich erst durch das entsprechende Fehlverhalten manifestiert. Der Verantwortliche muss dann nicht erst herausfinden, dass sich da jemand nicht an die Regeln halten will; es wird ihm vielmehr unmissverständlich angekündigt. Er erhält positives Wissen und der weitere unveränderte Einsatz des Mitarbeiters ist damit sogar vorsätzlich, wenn man mal einen strafrechtlichen Terminus bedienen will.

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.