Verpflichtung auf das Datengeheimnis bei Mitarbeitern nach der neuen DS-GVO

Wenn ab dem 25.05.2018 europaweit die neue Datenschutzgrundverordnung (DS-GVO) gilt, stellt sich die Frage, was aus der alten Verpflichtung von Mitarbeitern auf das Datengeheimnis wird. Aktuell müssen Unternehmen ihre Mitarbeiter – sofern diese mit der Verarbeitung personenbezogener Daten beschäftigt sind – bei der Aufnahme ihrer Tätigkeit auf das sogenannte Datengeheimnis nach dem jetzigen § 5 Bundesdatenschutzgesetz (BDSG) verpflichten. Hierdurch wird die unbefugte Datenverarbeitung personenbezogener Daten untersagt. Gibt es Änderungsbedarf ab 25.05.2018?

Keine Pflicht auf das Datengeheimnis nach der DS-GVO

In der DS-GVO selbst findet sich keine entsprechende Regelung dem alten § 5 BDSG und damit auch kein Datengeheimnis mehr. Damit ist es ausdrücklich gerade nicht geboten, die eigenen Mitarbeiter entsprechend mit einer Erklärung zu verpflichten.

Aber Rechenschaftspflichten nach Art 5 Absatz 2 DS-GVO

Im Rahmen der DS-GVO sind Unternehmen jedoch verpflichtet, jederzeit den Nachweis erbringen zu können, dass sie die Grundsätze für die Verarbeitung personenbezogener einhalten.Zu diesen Grundsätzen gehört auch der Grundsatz auf Integrität und Vertraulichkeit (Art. 5 Absatz 1 lit.f DS-GVO), also der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, des Verlustes oder der Schädigung personenbezogener Daten. Auch die Regelungen zu den technisch organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit im Unternehmen nach Art. 32 Absatz 4 DS-GVO sehen vor, dass Unternehmen als Verantwortliche sicherstellen müssen, dass die ihnen unterstellten Personen mit Zugang zu personenbezogenen Daten nur auf Anweisung tätig werden.

Und: Verpflichtung auf die Vertraulichkeit als Nachweis der Integrität und Vertraulichkeit

Auch wenn nach der DS-GVO selbst keine ausdrückliche Verpflichtung auf das Datengeheimnis vorgesehen ist, so kann sich trotzdem auch künftig eine Verpflichtung auf die Vertraulichkeit der Mitarbeiter im Hinblick auf die Rechenschaftspflichten empfehlen. So können Unternehmen ihrer Rechenschaftsverpflichtung nachkommen und nachweisen, dass Sie alles Erforderliche zur Gewährleistung der Datensicherheit unternommen haben. Solche Verpflichtungen sollte zweckmäßigerweise vor Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Dies kann mit einem Merkblatt oder Hinweis auf die Datenschutzrichtlinie im Unternehmen und die einschlägigen datenschutzrechtlichen Bestimmungen ergänztwerden.

Fazit:

Insgesamt sollten die Mitarbeiter, die personenbezogene Daten im Unternehmen verarbeiten, auf die Änderungen im Datenschutzrecht ab dem 25.05.2018 hingewiesen werden.