Die Verschwiegenheitserklärung und DSGVO

Wie definiert sich eine Verschwiegenheitserklärung nach der DSGVO?

Die Rolle einer Verschwiegenheitserklärung spielt bei der Einhaltung der DSGVO in Unternehmen eine enorm hohe Rolle. Im Jahr 2018 trat die Europäische Datenschutz-Grundverordnung in Kraft (EU-DSGVO) und hat die Thematik der Vertraulichkeit nochmals weiter in den Fokus gerückt. Die meisten Unternehmen beschäftigen sich mit personenbezogenen Daten oder arbeiten mit diesen Informationen, die oft einen Grundpfeiler der unternehmerischen Geschäftstätigkeit abbilden. Ein wichtiger Punkt der Verschwiegenheitserklärung gemäß der DSGVO ist, dass diese nicht mit einer Vertraulichkeitserklärung hinsichtlich der Wahrung der Betriebsgeheimnisse verwechselt werden darf. Diese Vertraulichkeitserklärung ist meistens in zu unterschreibenden Arbeitsverträgen enthalten, ersetzt aber nicht die Verschwiegenheitserklärung nach der DSGVO, die sich ausdrücklich auf den Schutz von erhobenen und zu verarbeitenden personenbezogenen Daten bezieht.

Welchem Zweck dient eine Verschwiegenheitserklärung, welche sich aus der DSGVO definiert?

Bezüglich der Verwendung von personenbezogenen Daten sind in der DSGVO klare Vorgehensweisen und Anforderungen verschriftlicht. Die DSGVO legt fest, dass personenbezogene Daten nicht ohne eine klare Einwilligung der betroffenen Person erhoben und verarbeitet werden dürfen. Haben Unternehmen Zugriff auf diese Datenform, müssen sie diese definierten Grundsätze zwingend einhalten. Passiert dies nicht, so drohen hohe Bußgelder und ein wirtschaftlich nicht einschätzbarer Imageverlust. In Bezug auf die ordnungsgemäße Handhabung der personenbezogenen Daten wird in der DSGVO grundsätzlich nicht nur die Geschäftsleitung in die Pflicht genommen. Es werden vielmehr alle Beteiligten, welche in Unternehmen die Mitarbeiter darstellen, verpflichtet die Vertraulichkeit der vorhandenen Daten zu gewährleisten. Durch die DSGVO soll sichergestellt werden, dass somit alle Mitarbeiter, die mit personenbezogenen Daten arbeiten und diese einsehen können, sich ausschließlich im gesteckten Rahmen des DSGVO bewegen und die vorhandenen Daten vertraulich behandeln.

Nach Artikel 39 der EU-DSGVO muss ein benannter Datenschutzbeauftragter die betroffenen Mitarbeiter des Unternehmens bezüglich der dringenden Einhaltung der vorgegebenen datenschutzrechtlichen Bestimmungen aufklären und explizit auf diese hinweisen. In der DSGVO wird dies sinngemäß so definiert, dass der Datenschutzbeauftragte die Verantwortlichen, den Auftragsverarbeiter und die Mitarbeiter hinsichtlich der Pflichten der DSGVO unterrichten und beraten muss. Gleichwohl muss er die Einhaltung sonstiger Datenschutzverpflichtungen der EU-Mitgliedsstaaten sicherstellen und im Unternehmen überwachen.

Um die Unterrichtung der betroffenen Mitarbeiter sicherzustellen, müssen diese Beschäftigten eine sogenannte DSGVO-Verschwiegenheitserklärung unterschreiben, die die Aufklärung nachvollziehbar und überprüfbar gestaltet. Den Kern der Verschwiegenheitserklärung bildet der Grundsatz, dass der Unterzeichner die personenbezogenen Daten grundsätzlich vertraulich behandeln muss und die Daten und Informationen nicht weitergeben darf. Für das Verständnis der Unterzeichnung muss der betroffene Mitarbeiter über die Definition von personenbezogenen Daten aufgeklärt worden sein und welche Konsequenzen eine Missachtung der definierten Regeln beinhalten kann. Unternehmen sichern sich rechtlich gegen Zuwiderhandlungen der Belegschaft ab, aber gleichzeitig können Unternehmen mit der Verschwiegenheitserklärung auch ihre DSGVO-Nachweispflicht belegen. Somit sind die Unternehmen jederzeit in der Lage alle Prozesse, welche im Zusammenhang mit der Verarbeitung und Erhebung von personenbezogenen Daten stehen, nachweislich DSGVO-konform zu gestalten.

Welche Inhalte werden in einer Verschwiegenheitserklärung gemäß der DSGVO verlangt?

Die Inhalte dieser Erklärung beziehen sich hauptsächlich um den vertraulichen und korrekten Umgang der Mitarbeiter mit den personenbezogenen Daten. Inhaltlich sollten folgende Punkte Bestandteil einer DSGVO-konformen Verschwiegenheitserklärung sein:

• Wie ist das Arbeitsverhältnis gestaltet? Welche Aufgaben und welche Dauer werden definiert?
• Eine Erklärung über die Einhaltung der geforderten Verschwiegenheit
• Die Definition der vertraulichen Daten und Informationen, die Bestandteil der Erklärung sind
• Der Zweck der Verarbeitung der personenbezogenen Daten
• Klausel der Konsequenzen bei eventuellen Datenschutz-Verstößen
• Eine Festlegung der Gültigkeitsdauer, welche sich auch über die Dauer des Arbeitsverhältnisses erstreckt.

In einer DSGVO-Verschwiegenheitserklärung müssen die Grundsätze des Umgangs mit den personenbezogenen Daten klar festgelegt werden. Folgende Definitionen sollte eine Verschwiegenheitserklärung hinsichtlich der personenbezogenen Daten aufweisen können:

• Die personenbezogenen Daten müssen rechtmäßig und fair und für die betroffenen Personen nachvollziehbar verarbeitet werden. Hier gelten die Grundsätze „Rechtmäßigkeit“, Verarbeitung nach „Treu und Glauben“ und „Transparenz“
• Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie unterliegen einer Zweckbindung und dürfen nicht weiterverarbeitet werden, wenn sie nicht zu obigen Zwecken verwendet werden
• Die Verarbeitung der personenbezogenen Daten ist auf ein notwendiges Maß zu reduzieren (Grundsatz der Datenminimierung). Die Erhebung der Daten muss dem Zweck angemessen sein
• Daten müssen grundsätzlich korrekt vorliegen. Sind die Daten sachlich nicht richtig, so tritt der Grundsatz der „Richtigkeit“ in Kraft. Sind die Daten nicht auf dem neusten Stand, so sind Maßnahmen zu ergreifen, die die Löschung der Daten auslösen oder die Daten auf den aktuellen Stand bringen
• Die personenbezogenen Daten dürfen ausschließlich in einer Form gespeichert werden, die für die Dauer der Nutzung erforderlich ist. Eine Identifikation von betroffenen Personen ist nur innerhalb dieses Zeitraumes möglich (Grundsatz der Speicherbegrenzung)
• Es muss gewährleistet werden, dass die personenbezogenen Daten nur so verarbeitet werden, dass jederzeit der Schutz der Informationen gewährleistet ist. Dies schließt die unbefugte und unrechtmäßige Verarbeitung, einen unabsichtlichen Verlust, unbeabsichtigte Zerstörung oder eine nicht absichtliche Schädigung der Daten ein. Diese Punkte werden durch technische und organisatorische Maßnahmen (TOM) sichergestellt und decken somit die Punkte „Integrität“ und „Vertrauen“ ab. Bei der Verarbeitung der personenbezogenen Daten ist grundsätzlich die Weisung eines Verantwortlichen einzuholen. Als Arbeitsanweisungen in Bezug auf die personenbezogenen Daten gelten Einzelanweisungen, Prozessbeschreibungen, Ablaufpläne, allgemeine Dienstanweisungen, innerbetriebliche Vereinbarungen, Handbücher und Dokumentationen

Inhalte und Form der Klausel über Verstöße in Bezug auf die DSGVO-Verschwiegenheitserklärung

Ein Verstoß gegen die Einhaltung der Verschwiegenheitsklausel sollte die Möglichkeit einer Geldbuße oder Freiheitsstrafe aufzeigen. Ein Verstoß gegen die Verschwiegenheitsklausel kann zudem gleichzeitig eine arbeitsvertragliche Verletzung der vertraglichen Pflichten darstellen oder auch die Geheimhaltungspflichten verletzen. Auch auf (zivilrechtliche) Schadensansprüche sollte hingewiesen werden, die sich aus einem Verstoß ergeben können. Es sollte vermerkt werden, dass Vereinbarungen aus dem Dienst- Arbeitsvertrag in der Verschwiegenheitserklärung nicht berührt werden. Ein wichtiger Punkt ist, dass die Verschwiegenheitsverpflichtung auch nach einer Beendigung des Arbeitsverhältnisses seine Gültigkeit beibehält.

Es bietet sich grundsätzlich an, dass man der Verschwiegenheitserklärung ein separates Merkblatt hinzufügt. Dieses sollte alle relevanten Gesetzesartikel beinhalten. Durch diesen Anhang wird sichergestellt, dass der Arbeitnehmer vollumfänglich und transparent informiert wird. Die eigentliche Verschwiegenheitserklärung sollte dem Mitarbeiter als eigenständiges Dokument ausgehändigt werden. Dies hat den Vorteil, dass die Erklärung bei einer behördlichen Überprüfung vorgezeigt werden kann. So wird ausgeschlossen, dass der gesamte Arbeitsvertrag bei der Aufsichtsbehörde vorgelegt werden muss, wenn es eine Überprüfung erfordert.

Die Verschwiegenheitserklärung sollte in schriftlicher Form gestaltet werden. Somit erfüllt der Arbeitgeber die Dokumentations- Nachweispflicht und setzt die Erklärung damit EU-DSGVO konform um. Es ist hierbei gleichgültig, ob die Verschwiegenheitserklärung in schriftlicher oder in einer elektronischen Form festgehalten wird. Eine Kopie der Erklärung wird dem Arbeitnehmer ausgehändigt und das vom Arbeitnehmer unterschriebene Exemplar wird zur Sicherung der Personalakte hinzugefügt. Somit ist eine größtmögliche Transparenz gewährleistet.

Wer ist zum Unterzeichnen der DSGVO-Verschwiegenheitserklärung verpflichtet?

Bei der Unterzeichnung einer DSGVO-Verschwiegenheitserklärung muss immer eine lückenlose Datensicherheit innerhalb des Unternehmens gewährleistet sein. Aus diesem Grund ist es zwingend erforderlich, dass alle involvierten Personen die Verschwiegenheitserklärung unterzeichnen. Dies gilt für alle Personengruppen, die mit personenbezogenen Daten in Berührung kommen – also diese im Tagesgeschäft erheben, speichern oder in den Tagesabläufen weiterverarbeiten. Auch bei Personengruppen, welche als Aushilfe, Praktikant oder Freelancer etc. auftreten, muss die DSGVO-Verschwiegenheitserklärung unterzeichnet werden. Grundsätzlich geraten in Unternehmen die meisten Mitarbeitergruppen mit personenbezogenen Daten und Informationen in Berührung. Aus diesem Grund werden fast alle Mitarbeiter eine DSGVO-Verschwiegenheitserklärung unterzeichnen müssen. Auch bei Personengruppen, welche scheinbar noch nicht mit den sicherheitsrelevanten Daten in Berührung kommen, ist eine Verschwiegenheitserklärung sinnvoll, da sich im Tagesgeschäft Arbeitsabläufe verschieben können und nach der Unterzeichnung auch dieser Fall datenschutzkonform abgedeckt ist.