Streng ­vertraulich! Sind Mitarbeiter auch unter der DSGVO noch auf die Einhaltung datenschutzrechtlicher Vorgaben zu verpflichten

Regelmäßig werden wir gefragt, was die EU-Datenschutzgrundverordnung (DSGVO) in Bezug auf die Verpflichtung von Mitarbeitern zur Einhaltung datenschutzrechtlicher Vorgaben vorsieht. Bisher hatte das alte Bundesdatenschutzgesetz (BDSG) auf Basis der EU-Richtlinie 95/46/EG die Regelung des Datengeheimnisses in § 5 formuliert. Hier war der Verantwortliche im Sinne des § 4 Nr. 7 BDSG (alt) dazu aufgefordert, seine Mitarbeiter, die mit der Verarbeitung personenbezogener Daten betraut waren, zur Einhaltung des Datengeheimnisses zu verpflichten. Der Gesetzgeber hatte hier also eine explizite Vorgabe gemacht. Um sie zu erfüllen, wurden Mitarbeiter in der Regel mit einer entsprechenden Standard­vorlage in Verbindung mit einer Schulung zum Datenschutz auf die Einhaltung des Datengeheimnisses verpflichtet.

Was ändert die DSGVO?

Im Wesentlichen nichts! Eine explizite Regelung für eine solche Verpflichtung des eigenen Personals finden wir auf den ersten Blick in der DSGVO nicht. Jedoch lässt sich aus Art. 5 Abs. 1 lit. f DSGVO, dem Grundsatz zur Vertraulichkeit, eine entsprechende Verpflichtung ableiten. Die Grundsätze des Datenschutzes sind in Art. 5 DSGVO formuliert und setzen sich wie folgt zusammen:
Absatz 1
lit. a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
lit. b) Zweckbindung
lit. c) Datenminimierung
lit. d) Richtigkeit
lit. e) Speicherbegrenzung
lit. f) Integrität und Vertraulichkeit

In Absatz 2 heißt es: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Die Verpflichtung zum vertraulichen Umgang mit personenbezogenen Daten aus Art. 5 Abs. 1 lit. f DSGVO richtet sich zunächst an den Arbeitgeber als Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO. Der Arbeitgeber wiederum weist seinen Mitarbeiter an, personenbezogene Daten für ihn zu verarbeiten. Aus dem Weisungsrecht des Arbeitgebers lässt sich auch die Verpflichtung auf die Vertraulichkeit ableiten, die somit per arbeitsrechtlicher Weisung den Mitarbeiter bindet. Zudem ergibt sich dies auch aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Der Verantwortliche ist heute anders als nach der alten Regelung im Rahmen der Beweislastumkehr dazu aufgefordert, sowohl gegenüber der Person, deren personenbezogene Daten verarbeitet werden, als auch gegenüber der Aufsichtsbehörde im Bedarfsfall nachzuweisen, dass er alles unternommen hat, die Einhaltung datenschutzrechtlicher Vorgaben im Unternehmen sicherzustellen.

Insofern sind Verantwortliche gut beraten, wenn sie interne Datenschutzschulungen und die Verpflichtungen zur Einhaltung der Vertraulichkeit entsprechend dokumentieren, um bei Bedarf nachweisen zu können, dass diese Maßnahmen durchgeführt wurden.

Weitere Anforderungen

Art. 28 Abs. 3 lit. b DSGVO verlangt vom Auftragsverarbeiter, welcher in der Regel nicht der Immobilienverwalter ist, „… dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“. Das bedeutet, dass jeder Dienstleister eines Immobilienverwalters, sofern dieser als Auftragsverarbeiter tätig wird, die Verpflichtung seines Personals entsprechend sicherzustellen hat. In der Regel sind dies beispielsweise IT-Dienstleister, Lettershops, Aktenentsorger etc.

Achtung: falsche Referenzierung!

Die DSGVO als Europäische Verordnung (EU 2016/679) regelt in den Artikeln 2 und 3 den sachlichen und räumlichen Anwendungsbereich. Außerdem sind diverse Klauseln formuliert, die dem jeweils nationalen Gesetzgeber Möglichkeiten geben, bestimmte Themen im nationalen Gesetz zu konkretisieren (erweiterte Regelungsmöglichkeiten). Dies ist die Basis unseres neuen BDSG (Datenschutz-Anpassungs- und Umsetzungsgesetz – DSAnpUG).

Im BDSG neu befinden sich in den §§ 1 bis 44 diverse Regelungen für den deutschen Rechtsanwender (Verantwortlicher als private Stelle). Die §§ 45 ff. enthalten Bestimmungen für Verarbeitungen zu Zwecken gemäß Art. 1 Abs. 1 der Richtlinie (EU) 2016/680. Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten, also Justiz- und Strafverfolgungsbehörden. Insofern ist § 53 (Datengeheimnis) nicht anwendbar, da diese Regelung nicht für private Stellen vorgesehen ist, sondern für die vorgenannten Behörden. Immer wieder haben wir Vorlagen bei Verantwortlichen und im Internet gefunden, die sich auf diese in unserem Falle nicht anwendbare Regelung beziehen – und sie werden auch von professionellen Anbietern vertrieben.

Fazit

Mitarbeiter eines Verantwortlichen im Sinne des Datenschutzes sind auch nach der neuen Regelung (DSGVO) zur Vertraulichkeit zu verpflichten. Es hat sich hier nur die Formulierung geändert: Aus „Datengeheimnis“ wurde „Vertraulichkeit“. Inhaltlich gibt es keine wesentlichen Abweichungen.
Auch wenn sie nicht ausdrücklich als Forderungen formuliert sind, die oben aufgeführten Grundsätze des Datenschutzes sind rechtlich bindende (absolut normative) Anforderungen, als ein unumgängliches Muss. Es ist weder für Arbeitgeber noch für Arbeitnehmer verhandelbar, sondern verpflichtend umzusetzen.

Foto: © Jakub Krechowicz / Shutterstock.com