Datenschutz-Tipp Nr. 2

Verpflichtung auf das Datengeheimnis

Wie Sie die gesetzlichen Vorgaben korrekt umsetzen

Die Praxis

Der Datenschutz in Deutschland ist sehr, sehr häufig durch einen besonderen Umstand geprägt: Einer Diskrepanz zwischen der Auslegung des Gesetzestextes durch Unternehmen und der Auffassung der Aufsichtsbehörden über den Gesetzesinhalt

Das gilt insbesondere auch im Fall des Datengeheimnisses i.S.d. § 5 BDSG. Dabei ist bemerkenswert, dass selbst Unternehmen, die es mit dem Datenschutz nicht ganz so ernst nehmen, in der Regel zumindest eine Verpflichtung der Mitarbeiter auf das Datengeheimnis in schriftlicher Form vornehmen.

Warum ist das so? Ganz klar: Arbeitsrecht ist für den Großteil der Unternehmen immer ein wichtiges Thema. Und die Arbeitsrechtler wissen - auch wenn Sie vielleicht das Thema Datenschutz sonst nicht so kennen -, dass bei Begründung des Arbeitsverhältnisses (also z.B. beim Abschluss des Arbeitsvertrages) stets auch noch Anlagen zum Arbeitsvertrag zu unterzeichnen sind. Und dazu gehört klassischerweise dann auch die Verpflichtung auf das Datengeheimnis.

In weiten Teilen der deutschen Unternehmenspraxis besteht die Verpflichtung auf das Datengeheimnis tatsächlich nur in dem Vorgang, dass der Mitarbeiter eine entsprechende Verpflichtungserklärung unterzeichnet bzw. ein Hinweisblatt zum Datengeheimnis erhält und den Empfang bestätigt.

Die Auffassung der Aufsichtsbehörden

Nach Auffassung vieler Aufsichtsbehörden reicht diese Praxis jedoch nicht aus.

Die Idealvorstellung einer Aufsichtsbehörde für die Verpflichtung auf das Datengeheimnis dürfte wie folgt aussehen:

Max Petersen hat seinen ersten Arbeitstag bei seinem neuen Arbeitgeber, der Best Company AG. Seinen Arbeitsvertrag hat er schon nach Abschluss des Auswahlverfahrens für die Stelle unterschrieben. Gleich nach Ankunft an seinem ersten Arbeitstag erhält Max Petersen eine Führung durch das Unternehmen, und er darf kurz die verschiedenen Abteilungen und deren Aufgaben kennenlernen.
Im Anschluss an die Führung hat Max Petersen sein erstes Mitarbeitergespräch mit seinem direkten Vorgesetzten. Dieser händigt ihm ein leicht verständliches Merkblatt zum Datengeheimnis aus, in dem er darüber informiert wird, dass es untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten und zu nutzen. Darüber hinaus wird ihm erläutert, welche Leitlinien bei der „Best Company AG“ im Umgang mit personenbezogenen Daten gelten und an wen er sich mit Fragen zum Datenschutz wenden kann. Das Merkblatt ist zudem abteilungs- bzw. arbeitsplatzbezogen: es sind konkrete Hinweise für seine Tätigkeit in seiner Abteilung aufgeführt, die unbedingt eingehalten werden müssen. Außerdem sind in dem Merkblatt die einschlägigen Vorschriften des BDSG, nämlich § 5 BDSG und die Bußgeld-, Straf- und Schadensersatzregelungen (§§ 43, 44 und 7 BDSG) abgedruckt.
Der Vorgesetzte erläutert Max Petersen, nachdem dieser das Merkblatt gelesen hat, noch einmal, dass er Daten nur verwenden darf, wenn dies durch das Unternehmen angeordnet wurde und dass er sich in Zweifelsfällen gerne an ihn wenden könne.
Im Anschluss an das Gespräch sagt der Vorgesetzte dann die Worte "Ich verpflichte Sie hiermit auf das Datengeheimnis" und besiegelt dies mit einem Händedruck.
Eine schriftliche Fassung einer Verpflichtung auf das Datengeheimnis i.S.d. § 5 BDSG wird dann von Max Petersen unterzeichnet und vom Vorgesetzten an die Personalabteilung weitergeleitet.

Übrigens ist nach Auffassung einiger Aufsichtsbehörden auch die periodische Wiederholung der Verpflichtung auf das Datengeheimnis erforderlich, um die Verpflichtung erneut mit Leben zu füllen.

Aber: Ist das so wirklich erforderlich?

Um diese Frage zu beantworten, empfiehlt sich zunächst ein Blick ins Gesetz. Nach § 5 Satz 2 BDSG sind Personen, die bei einer nicht-öffentlichen Stelle (also z.B. einem Unternehmen) beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Wie die Verpflichtung, dass es untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen, praktisch umgesetzt werden soll, dazu sagt das Gesetz nichts. Ein Formerfordernis (z.B. Schriftform) gibt es z.B. nicht.

Immer wenn ein Gesetz nicht konkret sagt, was getan oder unterlassen werden muss, dann dürfen wir Juristen die Norm auslegen. Art und Weise der Auslegung und die Darstellung der verschiedenen Auffassungen in der rechtswissenschaftlichen Literatur - das würde den Rahmen hier sicher sprengen. Sie haben sicher heute noch etwas Anderes zu tun. Das Ergebnis der Auslegung daher nur ganz kurz:

Die Verpflichtung auf das Datengeheimnis ist...

• eine einseitige, deklaratorische Erklärung des Arbeitgebers und damit lediglich eine (einmalige) Information, die nicht gesondert vom Mitarbeiter zu unterzeichnen ist.
• ein Indiz dafür, dass der Mitarbeiter das Wissen über unbefugte Datenverwendungen hat und im Falle einer Verletzung des Datengeheimnisses ein Verschulden (und damit ggf. eine (Mit-)Haftung) des Mitarbeiters vorliegen kann.
• formlos möglich. Trotzdem ist eine schriftliche Belehrung zu empfehlen, deren Erhalt vom Mitarbeiter durch Unterschrift zu bestätigen ist. Dies bestärkt den Warncharakter und die Ernsthaftigkeit. Und es ermöglicht den Nachweis der Durchführung der Information über das Datengeheimnis, was in bestimmten Fallkonstellationen wie Gerichtsverfahren über Haftungsansprüche von Bedeutung sein kann.

Eine besondere Form der Verpflichtung, wie Sie von den Aufsichtsbehörden gefordert wird, ist aus dem Gesetz nicht unmittelbar herleitbar.

Sie können sich also durchaus auf den Standpunkt stellen, dass die einfache Information des Mitarbeiters und die schriftliche Bestätigung des Erhalts vollkommen ausreichend sind, um den gesetzlichen Anforderungen Genüge zu tun.

Und die praktische Umsetzung...

Mein Tipp: Best-Practice-Modell der Verpflichtung auf das Datengeheimnis anwenden

Best Practice?

In meinem beruflichen (und privaten) Alltag bin ich stets darauf bedacht, die Dinge und Vorgehensweisen, die ich erlebe oder von denen ich erfahre, daraufhin zu prüfen, ob sie

• erfolgreich sind und
• in der oder einer abgewandelten Form für eine Vielzahl weiterer Fälle wiederverwendet werden können.

Ich nenne das Modellieren von Exzellenz. Wenn ich jetzt hier beim Sonnenaufgang an meinem Notebook sitze und diesen Text schreibe, überlege ich mir gleichzeitig, in welcher Weise ich die Inhalte dieses Newsletters auch für andere Gelegenheiten nutzen und weiterverwenden kann. Bei der Formulierung des Textes werde ich also berücksichtigen, dass ich den Text so schreibe, dass ich ihn möglichst ohne größere Aufwände auch für andere Dinge nutzen kann. So arbeite ich z.B. gerade an einem Online-Kurs/Workshop für Unternehmen, die anhand eines vorgefertigten Best-Practice-Schemas in wöchentlichen Lektionen zu einer guten Umsetzung von Datenschutz im Unternehmen angeleitet werden. Mit möglichst wenig Aufwand - für die Unternehmen und nach diesem Modell eben auch für mich. So gewinnen alle. Und dafür kann ich Inhalte dieses Tipps auch sehr gut nutzen.

Aber zurück zum Thema: Wir haben gelernt, dass die Auffassung der Aufsichtsbehörden zur umfangreichen Belehrung über das Datengeheimnis dem Gesetzestext nicht unmittelbar entnommen werden kann. Eine reine, einfach gehaltene Information, die im Sinne des Gesetzes ausreichend sein dürfte, scheint aber auch keine befriedigende Lösung zu sein. Den Aufsichtsbehörden ist insoweit beizupflichten, dass es sinnvoll ist, dieses gesetzlich formulierte „abstrakte“ Datengeheimnis mit Leben zu füllen. Das sieht ein erheblicher Teil der rechtswissenschaftlichen Literatur im Übrigen auch so.

Das kann man idealerweise z.B. durch eine individuelle kurze Information zum Umgang mit Daten am Arbeitsplatz bei der mündlichen Einweisung in den neuen Arbeitsplatz tun.

Nach meinem Best-Practice-Modell sollte Verpflichtung auf das Datengeheimnis so erfolgen:

• Nutzen Sie eine kurze, aber gute schriftliche Information über das Datengeheimnis zur Aushändigung an Ihre Mitarbeiter. Hier finden Sie ein Muster.
• Ein neuer Mitarbeiter sollte bei der Einweisung in seinen Arbeitsplatz und die PC-Nutzung kurz darüber informiert werden, dass er sorgfältig mit personenbezogenen Daten umgehen soll und vor allem keine Scheu haben soll, bei Unsicherheit nachzufragen. Eine mündliche Information ist hierfür ausreichend und geeignet. Und im Übrigen ist dies meistens besser als eine statisch und daher schlecht rezipierte schriftliche Information.
• Lassen Sich den Erhalt der Information über das Datengeheimnis vom Mitarbeiter schriftlich bestätigen.

Schließlich noch ein wichtiger Hinweis:
Prüfen Sie ihre bestehende Datengeheimnisverpflichtung darauf, ob dort Gesetzestexte (z.B. §§ 43, 44 BDSG) abgedruckt sind. Entsprechen die abgedruckten Vorschriften noch dem aktuellen Gesetzestext? Der hat sich nämlich ab dem 01.09.2009 geändert.