Schlagwort: Verschwiegenheit

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bayerische Landesbeauftragte für Datenschutz klärt in seinem Arbeitspapier die Fragen, wer förmlich verpflichtet werden muss.

Was bedeutet förmliche Verpflichtung?

  • Datenschutzrechtliche Verstöße können auch eine strafrechtliche Relevanz (§ 203 StGB) besitzen
  • Betroffen davon sind Beamte sowie Tarifbeschäftigte bayerischer öffentlicher Stellen
  • Förmliche Verpflichtung ist nicht gleich Verpflichtung auf das Datengeheimnis

Gibt es datenschutzrechtliche Regelung für eine förmliche Verpflichtung?

Ja, in mehreren Gesetzen ist eine förmliche Verpflichtung vorgesehen. Sofern der zu Verpflichtende kein Amtsträger (Beamter) ist, sind folgende Gesetze einschlägig:

  • Beschäftigte eines Auftragsverarbeiters, welcher Personalaktendaten verarbeitet (Art. 108 Abs. 3 Satz 2 BayBG)
  • Beschäftigte eines Versicherungsunternehmens, welches mit Beihilfestellung beauftragt ist (Art. 96 Abs. 4 Satz 5 HS 2 BayBG)
  • Öffentlich bestellte Dolmetscher (Art. 4 abs. 1 Dolmetschergesetz)
  • Evaluationsgruppen, die an der externen Evaluation an Schulen mitwirken (Art. 113 Abs. 2 Satz 3 Bayerisches Gesetz über Erziehungs- und Unterrichtswesen)
  • Nicht verbeamtete Administratoren für den elektronischen Personenstandsregister (§ 1 Abs. 4 Satz 2 Verordnung über das zentrale Personenstandsregister)

Müssen eigene Mitarbeiter förmlich verpflichtet werden?

  • Sofern der Mitarbeiter Beamter ist eine Verpflichtung nicht nötig, da er Amtsträger ist

Sind ehrenamtliche Gemeinderatsmitglieder zu verpflichten?

  • Grundsätzlich sind Gemeinderatsmitglieder keine Amtsträger (Beamte) (§ 11 Abs. 1 Nr. 2 StGB), auch keine Beschäftigten der Gemeinde oder in keinem Auftragsverhältnis mit der Gemeinde stehen
  • Voraussetzung für eine förmliche Verpflichtung wäre, dass die Mitglieder bei der Behörde/Gemeinde beschäftigt sind oder für sie Aufgaben übernimmt z.B. Leitung des Sportsamts durch den Sportreferenten des Stadtrats
  • Eine förmliche Verpflichtung würde dem Weisungsrecht unterfallen und gegen das freien Mandat der Mitglieder sprechen

Ist eine förmliche Verpflichtung auch ohne gesetzliche Rechtsgrundlage möglich?

  • Ja, öffentliche Stellen können auch unabhängig der gesetzlichen Vorgaben eine förmliche Verpflichtung anwenden
  • Grds. sollte eine förmliche Verpflichtung erfolgen, wenn externe (auch nicht öffentliche-Stellen) Personen/Stellen tatsächlich Zugang zu den personenbezogenen Daten hat

Wie ist der Ablauf einer förmlichen Verpflichtung?

  • Die Verpflichtung wird mündlich vorgenommen
  • Der Hinweis auf strafrechtliche Konsequenzen bei Verletzung hat zu erfolgen
  • Verpflichtende unterzeichnet eine Niederschrift und erhält eine Abschrift

Arbeitspapier förmliche Verpflichtung

Quelle

Der Bayerische Datenschutzbeauftragte für den Datenschutz (BayLfD): https://www.datenschutz-bayern.de/datenschutzreform2018/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf