Datengeheimnis
Übersicht
zuletzt besuchte Definitionen...
1. Reichweite: Beschäftigte dürfen personenbezogene Daten grundsätzlich nur in dem Umfang verwenden, wie es zur Erfüllung ihrer konkreten Arbeitsaufgabe erforderlich ist. Als unbefugtes Handeln im Sinne der Vorschrift gilt die Überschreitung individueller unternehmensinterner Zugriffsbefugnisse, bspw. durch Einsichtnahme personenbezogener Daten einer anderen Fachabteilung oder durch Weitergabe von Daten an Unberechtigte.
Das Datengeheimnis erstreckt sich über die Dauer des jeweiligen Beschäftigungsverhältnisses hinaus. Nach Ausscheiden des Beschäftigten aus dem Arbeitsverhältnis ist über personenbezogene Sachverhalte, über die im Rahmen der betrieblichen Tätigkeit Kenntnis erlangt wurde - ungeachtet ggf. weiterer bestehender Verschwiegenheits- oder Geheimhaltungsverpflichtungen -, weiterhin Stillschweigen zu bewahren.
2. Persönlicher Anwendungsbereich: Beschäftigte, die typischerweise personenbezogene Datenverarbeitungsvorgänge vollziehen, sind Mitarbeiter in der Personalabteilung oder Lohn- und Gehaltsabrechnung. Der Adressatenkreis des Datengeheimnisses reicht vor dem Hintergrund der Digitalisierung in Betrieben regelmäßig wesentlich weiter: So stellt z.B. bereits der betriebliche E-Mail-Anschluss ein IT-System dar, mittels dem ein Umgang mit personenbezogenen Daten erfolgt.
Dabei ist unerheblich, in welcher Form das Beschäftigungsverhältnis vorliegt, d.h. auch auf arbeitnehmerähnliche Personen, Werkstudenten, Aushilfskräfte oder Teilzeitbeschäftigte findet das Datengeheimnis Anwendung. Auch das eingesetzte Personal bei ggf. in Anspruch genommenen Dienstleistern ist vom Auftragnehmer zwingend auf das Datengeheimnis zu verpflichten, sofern dort personenbezogene Daten im Wege der Auftragsdatenverarbeitung gem. § 11 BDSG verarbeitet werden.
3. Durchführung der Verpflichtung: Die Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf die Einhaltung des Datengeheimnisses zu verpflichten. Die Belehrung umfasst zwei Komponenten:
(1) eine hinreichende Information, was die Pflicht zur Wahrung des Geheimnisses konkret und tätigkeitsspezifisch beinhaltet. Die möglichst detaillierte Unterrichtung inklusive Hinweise zur praktischen Umsetzung flankiert diese Information. Überdies ist auf drohende Schadenersatzforderungen sowie auf potenzielle Sanktionen arbeits-, ordnungswidrigkeits- oder strafrechtlicher Natur hinzuweisen.
(2) die Aufforderung, das Datengeheimnis stets gewissenhaft zu wahren.
Für Arbeitgeber ist aus Gründen der Beweissicherheit ratsam, sich die vollzogene Verpflichtung durch Unterschrift der Beschäftigten bestätigen zu lassen. Für die betriebliche Praxis bietet es sich an, das unterzeichnete Verpflichtungsformular im Original mit in die Personalakte aufzunehmen und dem Beschäftigten eine Kopie zu übergeben.
Da das BDSG nicht vorgibt, wer die Verpflichtung der Beschäftigten vorzunehmen hat, erlangen hierfür vorrangig Personalabteilung und Datenschutzbeauftragter Relevanz.
4. Konsequenzen bei Verletzung des Datengeheimnisses: Bei Verstößen gegen das Datengeheimnis kommen neben arbeitsrechtlichen Maßnahmen - die bis hin zur außerordentlichen Kündigung reichen können - Bußgelder, Geldstrafen und in besonders gravierenden Fällen sogar Freiheitsstrafen in Betracht.
5. Ausblick: Ab 25. Mai 2018 werden die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) gelten, die das Datenschutzrecht innerhalb der EU auf einem Höchstmaß vereinheitlichen sollen. Die EU-DSGVO sieht die Verpflichtung der Beschäftigten auf das Datengeheimnis nicht explizit vor. Dennoch lässt sich aus Art. 29 und 32 EU-DSGVO ein Äquivalent zur aktuellen Datengeheimnisverpflichtung ableiten. Diese Vorschriften beinhalten für datenverarbeitende Stellen die Pflicht, mittels geeigneter Vorkehrungen sicherzustellen, dass die ihnen unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.