Warum müssen Mitarbeiter auf Vertraulichkeit verpflichtet werden?

In der täglichen Beratung kommt immer wieder mal die Frage auf, warum Mitarbeiter von Unternehmen (und auch von öffentlichen Stellen) schriftlich auf Vertraulichkeit verpflichtet werden sollen. Dieser Beitrag erläutert im Überblick die Hintergründe dieser Verpflichtung.

Wer hat noch nicht bei seinem Arbeitgeber ein oder auch mehrere Dokumente zum Thema „Vertraulichkeit personenbezogener Daten“ unterzeichnen müssen? Bei genauer Betrachtung kann man allerdings feststellen, dass das Thema „Vertraulichkeit“ nur ein Gegenstand solcher Dokumente ist. Daneben klären diese auch darüber auf, dass Mitarbeiter personenbezogene Daten nur in einem bestimmten Rahmen und für die Erfüllung ihrer dienstlichen Aufgaben verarbeiten dürfen (Weisungs- und Zweckgebundenheit). Je nach Quelle des Vorlagendokumentes werden auch andere Datenschutz-typische Grundlagenthemen angesprochen und Mitarbeiter auf deren Beachtung und Einhaltung verpflichtet.

Rechtsgrundlagen

Die EU-Datenschutz-Grundverordnung (DS-GVO) regelt übergreifend den Umgang mit personenbezogenen Daten. Gemäß Art. 29 DS-GVO dürfen unterstellte Personen (Mitarbeiter) personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Art. 32 Abs. 4 DS-GVO bestimmt, dass Verantwortliche (und Auftragsverarbeiter) Schritte – im Sinn von Maßnahmen – unternehmen müssen, „um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten“.

Der Begriff der Verpflichtung findet sich in der DS-GVO lediglich in Art. 28 Abs. 3 S. 2 lit. b) DS-GVO. Hier wird explizit bestimmt, dass Auftragsverarbeiter die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten müssen. Aber auch verantwortliche Stellen, die nicht als Auftragsverarbeiter tätig sind, führen eine solche Verpflichtung regelmäßig durch. Hintergrund ist: Unter der DS-GVO unterliegen Verantwortliche einer Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) und müssen belegen können, dass durch geeignete Maßnahmen sichergestellt wird, dass Mitarbeiter personenbezogene Daten nur auf Weisung verarbeiten. Diese Rechenschaftspflicht gilt überdies auch für alle anderen Pflichten im Datenschutz.

In Deutschland galt es auch bereits vor der DS-GVO als einschlägige Maßnahme, Mitarbeiter schriftlich über die Weisungsgebundenheit und die Vertraulichkeit von personenbezogenen Daten zu informieren und zu verpflichten. Während das alte deutsche Bundesdatenschutzgesetz (Datengeheimnis nach § 5 BDSG alte Fassung) noch eine Vorschrift zur Verpflichtung der Mitarbeiter beinhaltete, gibt es eine solche klare Regelung im neuen BDSG nur für öffentliche Stellen (§ 53 BDSG).

Damit nun unter der heutigen DS-GVO auch Unternehmen eine weisungsgebundene Verarbeitung personenbezogener Daten sicherstellen und nachweisen können, gilt die schriftliche Verpflichtung aber weiterhin als Standardmaßnahme.

Die Sicht der Aufsichtsbehörden

Auch die deutschen Aufsichtsbehörden sehen eine schriftliche Verpflichtung als erforderlich und üblich an. Das Kurzpapier 19 der Deutschen Datenschutzkonferenz beschreibt dies noch einmal umfangreich und stellt auch gleich eine Mustervorlage zur Verfügung.

Müssen Mitarbeiter eine Verpflichtung unterzeichnen?

Die gesetzlichen Pflichten im Datenschutz bestehen auch unabhängig von der Unterschrift eines Mitarbeiters. Das heißt, dass Mitarbeiter sich auch ohne Unterschrift an die gesetzlichen Vorgaben und die zulässigen Weisungen des Arbeitgebers halten müssen.

Ein vorbereiteter Informationstext, dessen Kenntnisnahme von dem Mitarbeiter bedeutsam durch seine Unterschrift bestätigt wird, stellt eine einfache und wirksame Möglichkeit dar, um Mitarbeiter über die genannten rechtlichen Pflichten zu informieren und dies bei Bedarf auch nachweisen zu können. Eine solche Verpflichtung sollte mit einer angemessenen Einarbeitung und Schulung verbunden werden.

Wenn Mitarbeiter eine Unterschrift verweigern, kann das ein Zeichen für fehlende Information und Aufklärung sein. Eine Alternative im Einzelfall kann unter anderem ein gemeinsames Gespräch mit dem Vorgesetzten und dem Datenschutzbeauftragten sein. In diesem Rahmen kann persönlich auf die individuellen Informations- und Klärungsbedürfnisse des Mitarbeiters eingegangen werden. Über die erfolgte mündliche Verpflichtung können dann die Gesprächsteilnehmer ein Protokoll erstellen.

Das Bayrische Landesamt für den Datenschutz vertritt in seinem 11. Tätigkeitsbericht den Standpunkt:

“Es ist unerheblich, wenn ein:e Mitarbeiter:in sich weigert, die Verpflichtung auf das Datengeheimnis zu unterschreiben. […] Liegt ein Weigerungsfall vor, reicht es üblicherweise zur Erfüllung der Nachweispflicht aus, wenn der Arbeitgeber den Mitarbeiter auf seine Pflichten hingewiesen hat und darüber, sowie über den Umstand der Weigerung, einen Vermerk erstellt.”

BayLDA, 11. Tätigkeitsbericht 2021

Welche Aufgabe hat hier der Betriebsrat?

Ein Betriebsrat hat gemäß § 80 Abs. 1 Nr. 1 BetrVG die Aufgabe „darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden“.

In Bezug auf den Datenschutz ist hier primär zu überwachen, dass die Daten der Mitarbeiter durch das Unternehmen gesetzeskonform verarbeitet werden. Dementsprechend ist eine schriftliche Verpflichtung der Mitarbeiter auf eine weisungs- und gesetzeskonforme Verwendung der Mitarbeiterdaten (und natürlich auch die Daten aller anderen betroffenen Personen) ganz im Sinn der betriebsverfassungsgesetzlichen Idee.

Können Verpflichtungsdokumente kombiniert werden?

Die Verpflichtung von Mitarbeitern hört vielfach nicht beim Datenschutz im SInn der DS-GVO auf. Auch andere Gesetze in Deutschland, die sich mit dem Schutz von vertraulichen oder geheimen Daten beschäftigen, verlange oder erfordern eine Verpflichtung von Mitarbeitern. In Unternehmen sind – je nach Tätigkeitsfeld der Mitarbeiter – Verpflichtungen zum Fernmeldegeheimnis (z. B. in der IT), zur Vertraulichkeit von Sozialdaten (z. B. in der Personalabteilung) üblich. Wer für Berufsgeheimnisträgern arbeitet (z. B. Ärzte, Anwälte, Steuerberater) muss in der Regel auf den Schutz von Privatgeheimnissen (§ 203 StGB) verpflichtet werden.

Es bietet sich an, solche Verpflichtungen in einer Art Sammelmappe anzubieten und unterzeichnen zu lassen. Hier bieten wir auch Varianten an, die mit nur einer Unterschrift des Mitarbeiters zurechtkommen. Gerne teilen wir mit Ihnen unsere Ideen, wie das praktisch umgesetzt werden kann. Vereinbaren Sie einfach hier online einen unverbindlichen Kennenlerntermin mit uns.