Mitarbeiterverpflichtung und -unterrichtung nach der DSGVO (DSK-Papier Nr. 19)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.