Zum Inhalt springen Zur Navigation springen
Das Datengeheimnis nach § 5 BDSG

Das Datengeheimnis nach § 5 BDSG

Das Thema Verpflichtung auf das Datengeheimnis ist ein Thema voller Missverständnisse – so zumindest lehrt es die tägliche datenschutzrechtliche Beratung. Aus diesem Anlass werden im Folgenden noch einmal die grundlegenden Punkte zusammengefasst.

Worauf bezieht sich die Verpflichtung auf das Datengeheimnis?

Bei der Verpflichtung auf das Datengeheimnis geht es um die Belehrung der bei der Datenverarbeitung Beschäftigten über das gesetzlich verankerte Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.

Es geht nicht um die Verpflichtung zur Wahrung von Geschäfts- und Betriebsgeheimnissen. Die Verpflichtung zur Wahrung von Geschäfts- und Betriebsgeheimnissen ergibt sich vielmehr aus § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG), welcher nämlich den Verrat von Geschäfts- und Betriebsgeheimnissen unter Strafe stellt. Über die entsprechende Pflicht der Beschäftigten zur Wahrung von Geschäfts- und Betriebsgeheimnissen sollte daher eine gesonderte Belehrung erfolgen.

Wo ist die Verpflichtung auf das Datengeheimnis im Gesetz geregelt?

Das Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch die bei der Datenverarbeitung Beschäftigten ist in § 5 des Bundesdatenschutzgesetzes (BDSG)  geregelt.

Wer ist auf das Datengeheimnis zu verpflichten?

5 BDSG erfasst die bei der Datenverarbeitung beschäftigten Personen“. Dies umfasst Personen, die im Rahmen der  ihr übertragenen oder von ihr wahrgenommenen Aufgaben- bzw. Tätigkeitsgebiete mit personenbezogenen Daten dauernd oder regelmäßig in der Weise in Berührung kommen, dass sie diese zur Kenntnis nehmen, verarbeiten oder in sonstiger Weise verwenden, also nutzen können.

Wer ist für die Verpflichtung der Beschäftigten verantwortlich?

Die Durchführung der Verpflichtung obliegt formal der Leitung der verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG und gehört grundsätzlich nicht zum gesetzlichen Aufgabenkatalog des Beauftragten für den Datenschutz, welcher lediglich gehalten ist, auf die Durchführung der Verpflichtung hinzuwirken. Dieser kann aber sinnvoller Weise insofern beteiligt werden, als er die Beschäftigten mit den geltenden Vorschriften über den Datenschutz und damit auch dem Datengeheimnis vertraut macht.

Im Übrigen sind die Mitarbeiter von Unternehmen, die Datenverarbeitung im Auftrag im Sinne des § 11 BDSG betreiben, von ihrem Arbeitgeber zu verpflichten, nicht vom Auftraggeber.

Wie wird die Verpflichtung auf das Datengeheimnis praktisch umgesetzt?

5 Satz 2 BDSG statuiert, dass die betroffenen Beschäftigten bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Dies ist in der Regel der Zeitpunkt der Arbeitsaufnahme. Eine Aussage über die Gestaltung der Verpflichtung, also die Form, in welcher sie zu erfolgen hat, trifft § 5 Satz 2 BDSG jedoch nicht. Die Schriftform ist also nicht verpflichtend, aber insbesondere aus Nachweisgründen dringend zu empfehlen.

In der Praxis hat sich zumeist das Verfahren eingespielt, im Rahmen der Einstellung den Beschäftigten eine entsprechende Zusatzerklärung zum Arbeitsvertrag unterzeichnen zu lassen, das Original zur Personalakte zu nehmen und dem Mitarbeiter eine Kopie auszuhändigen.

Sollte die Verpflichtung nicht bei der Aufnahme der Tätigkeit erfolgt sein, ist dringend anzuraten, dies schnellstmöglich nachzuholen

Welche Informationen sollten die zu Verpflichtenden erhalten?

Es hat eine individuelle und möglichst genaue Unterrichtung zu erfolgen, die sich auf die für den jeweiligen Arbeitsplatz geltenden speziellen Bestimmungen bezieht. In diesem Zusammenhang sollten Beschäftigte, die im besonderen Maße bestimmungsgemäß mit personenbezogenen Daten in Berührung kommen, auf entsprechend spezielle Vorschriften hingewiesen werden, z.B. Systemadministratoren ergänzend auf das in § 88 des Telekommunikationsgesetzes (TKG) verankerte Fernmeldegeheimnis und Mitarbeiter in der Personalabteilung auf die Spezialvorschrift des § 32 BDSG zum Umgang mit personenbezogenen Daten von Beschäftigten.

Verbunden werden sollten hiermit auch Hinweise insbesondere auf die Konsequenzen bei Verstößen. Demnach genügt es nicht, über einen Aushang am schwarzen Brett oder in einer Arbeitsanweisung auf das Datengeheimnis hinzuweisen.

Es empfiehlt sich, aus Gründen der Transparenz zudem, der vom Beschäftigten zu unterschreibenden Verpflichtungserklärung die einschlägigen Vorschriften beizufügen, damit der Beschäftigte sich hiermit auseinandersetzen kann.

Was passiert bei Verweigerung der Unterschrift der Verpflichtungserklärung?

Das Datengeheimnis ist von den Beschäftigten zu wahren, unabhängig davon, ob sie eine Verpflichtungserklärung unterschreiben oder nicht. Demzufolge spielt es für das gesetzlich verankerte Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten keine Rolle, ob eine Verpflichtungserklärung abgegeben wird. Das Datengeheimnis gilt trotzdem. Aus der Verweigerung können jedoch arbeitsrechtliche Konsequenzen resultieren.

Sofern sich ein Mitarbeiter weigert, die Verpflichtungserklärung schriftlich abzugeben, empfiehlt sich, den betreffenden Mitarbeiter mündlich über das zu wahrende Datengeheimnis und die Folgen des Verstoßes mündlich nach dem 4-Augen-Prinzip zu belehren und dies zu dokumentieren.

Hat der Betriebsrat ein Mitbestimmungsrecht?

Da es lediglich um einen förmlichen Hinweis auf eine gesetzliche Verpflichtung geht, hat der Betriebsrat bei der Einholung von Verschwiegenheitserklärungen kein Mitbestimmungsrecht.

Welche Konsequenzen drohen beim Verstoß gegen das Datengeheimnis?

Sofern die verantwortliche Stelle die förmliche Verpflichtung nicht durchführt bzw. die Durchführung nicht nachweisen kann, wenn auf die Schriftform verzichtet wurde, kann die Datenschutzaufsichtsbehörde dies als einen Organisationsmangel im Hinblick auf § 9 BDSG rügen und die Verpflichtung anordnen.

Darüber hinaus kann mit einem Verhalten, mit welchem gegen § 5 BDSG verstoßen wird, zugleich eine Ordnungswidrigkeit nach § 43 Abs. 2 BDSG vorliegen, z.B. unbefugte Erhebung oder Verarbeitung (Nr. 1)  oder die zweckwidrige Datenweitergabe (Nr. 5). Es drohen Bußgelder in Höhe von bis zu 300.000,- EUR je Verst0ß, und zwar unabhängig davon, ob die Ordnungswidrigkeit  fahrlässig oder vorsätzlich begangen wird. Das Bußgeld kann sich entweder gegen die verantwortliche Stelle oder den Beschäftigten selbst richten. Daneben drohen für Beschäftigte, deren Verhalten das Datengeheimnis missachtet, arbeitsrechtliche Konsequenzen, da ein Verstoß gegen § 5 BDSG in der Regel zugleich eine Verletzung arbeitsvertraglicher Pflichten darstellt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Guten Morgen Dr. Datenschutz!
    Was ist mit den Personen die bereits im Unternehmen tätig sind und nicht auf §5 verpflichtet wurden??? ( Einkauf, Verkauf, Service, Abteilungsleiter, Azubi…) Ich finde im Gesetz oder Internet nichts wie es gehandhabt werden soll bzw. muss.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.