Die Verschwiegenheitserklärung und DSGVO

Die Verschwiegenheitserklärung – oft auch Geheimhaltungsvereinbarung (NDA) oder „Verpflichtung auf das Datengeheimnis“ genannt – ist ein zentraler Baustein der Datenschutzpraxis in Unternehmen. Dabei handelt es sich um ein Dokument, mit dem sich Mitarbeitende oder externe Personen verbindlich dazu verpflichten, alle personenbezogenen Daten, auf die sie im Rahmen ihrer Tätigkeit Zugriff haben, vertraulich zu behandeln.

Beispiel aus dem Alltag:
Ein:e Mitarbeiter:in im Kundenservice sieht täglich Adressen, E-Mails und Beschwerden von Kund:innen. Ohne Verschwiegenheitserklärung besteht ein hohes Risiko, dass solche Informationen – absichtlich oder versehentlich – nach außen dringen. Genau das will die Erklärung verhindern.

Im Gegensatz zu allgemeinen Loyalitätsklauseln im Arbeitsvertrag zielt die Verschwiegenheitserklärung konkret auf datenschutzrechtliche Vorgaben ab – insbesondere auf die DSGVO und nationale Datenschutzgesetze. Sie dient also nicht nur dem Schutz von Betriebsgeheimnissen, sondern soll sicherstellen, dass Unternehmen ihrer gesetzlichen Verantwortung zum Schutz personenbezogener Daten nachkommen.

Ja, in vielen Fällen ist sie sogar gesetzlich vorgeschrieben.

Die DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff oder Missbrauch zu schützen (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO). Dazu zählt auch die Verpflichtung aller Personen, die mit diesen Daten arbeiten, auf Vertraulichkeit.

Auch das deutsche Bundesdatenschutzgesetz (BDSG) konkretisiert diese Pflicht. In § 53 BDSG heißt es:

„Personen, die bei der Datenverarbeitung tätig sind, dürfen personenbezogene Daten nicht unbefugt verarbeiten oder bekannt geben. Diese Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.“

Wichtig: Die Verpflichtung muss aktiv, dokumentiert und individuell erfolgen – pauschale Regelungen in einem Standardarbeitsvertrag reichen nicht aus.

Grundsätzlich alle Personen, die im Rahmen ihrer Tätigkeit Zugriff auf personenbezogene Daten haben:

Wen betrifft das konkret?

• Alle internen Mitarbeitenden, z. B. in HR, IT, Marketing oder Vertrieb
• Externe Dienstleister:innen (z. B. IT-Support, Marketingagenturen, Buchhaltungsservices)
• Freelancer:innen und Berater:innen
• Praktikant:innen und Werkstudierende
• Ehrenamtliche und befristete Kräfte
• Ggf. Auftragsverarbeiter (gemäß Art. 28 DSGVO zusätzlich zum AVV)

Eine DSGVO-konforme Verschwiegenheitserklärung sollte mindestens folgende Punkte enthalten:

1. Verweis auf Art. 5 und Art. 32 DSGVO sowie § 53 BDSG
2. Definition, was personenbezogene Daten sind (z. B. Namen, Kontaktdaten, IP-Adressen, Gesundheitsinformationen)
3. Pflicht zur Vertraulichkeit während und nach der Tätigkeit
4. Hinweis auf arbeits- oder zivilrechtliche Konsequenzen bei Verstößen
5. Datum, Unterschrift und ggf. Information über Schulungen oder Datenschutzbeauftragte

Wichtig für Unternehmen:
Die unterzeichnete Verschwiegenheitserklärung ist nicht nur ein organisatorischer Schritt, sondern auch ein wichtiger Bestandteil der Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“). Unternehmen müssen belegen können, dass sie geeignete Maßnahmen zum Schutz personenbezogener Daten getroffen haben – dazu gehört auch der Nachweis, dass alle beteiligten Personen zur Vertraulichkeit verpflichtet wurden.

Praxis-Tipp: Halte die unterschriebenen Erklärungen digital oder analog nachvollziehbar vor – idealerweise mit Vermerk zur Schulung oder Einweisung. So kannst du im Falle einer Datenschutzprüfung belegen, dass dein Unternehmen seinen Pflichten nachgekommen ist.

• Keine individuelle Verpflichtung, sondern nur eine Passage im Arbeitsvertrag
• Fehlende Hinweise auf die DSGVO oder § 53 BDSG
• Keine Aktualisierung bei neuen Anforderungen oder Rollenwechseln
• Keine Schulung oder Dokumentation der Übergabe

Tipp: Eine einmalige Unterschrift reicht nicht – regelmäßige Auffrischungen (z. B. bei Onboarding, Jobwechsel oder neuen Tools) erhöhen die Sicherheit und Haftungsabdeckung.

Die DSGVO nimmt nicht nur Unternehmen als Ganzes in die Pflicht – auch der oder die Datenschutzbeauftragte (DSB) spielt eine entscheidende Rolle bei der Sicherstellung der internen Datenschutzkonformität.

Laut Artikel 39 DSGVO ist es eine zentrale Aufgabe des oder der Datenschutzbeauftragten,

„die Einhaltung dieser Verordnung zu überwachen“ und „die Verantwortlichen, die Auftragsverarbeiter und die Beschäftigten, die Verarbeitungen durchführen, [...] zu unterrichten und zu beraten“.

Das bedeutet konkret:

Mitarbeitende müssen über ihre Pflichten im Umgang mit personenbezogenen Daten informiert werden.
Die Aufklärung erfolgt idealerweise im Rahmen von Datenschutzschulungen oder Onboarding-Prozessen.
Die Verschwiegenheitserklärung dient dabei nicht nur als rechtliche Absicherung, sondern auch als dokumentierter Nachweis, dass die betreffende Person entsprechend unterrichtet wurde.

Tipp: Die Aufgabe der Aufklärung sollte nicht als einmalige Formalität verstanden werden. Datenschutz ist ein kontinuierlicher Prozess – regelmäßige Erinnerungen und Nachschulungen sind sinnvoll und in vielen Branchen sogar notwendig.

Muss ich jede:n Mitarbeitende:n einzeln verpflichten?
Ja – pauschale Regelungen im Arbeitsvertrag reichen nicht aus.

Gilt die Verschwiegenheit auch nach dem Ausscheiden?
Ja, die Pflicht besteht laut § 53 BDSG auch nach Beendigung des Arbeitsverhältnisses weiter.

Brauche ich eine Erklärung auch für Dienstleister:innen?
Unbedingt – entweder im AV-Vertrag oder separat. Für Freelancer:innen ist eine gesonderte Erklärung empfehlenswert.

Die beste Datenschutz-Software nützt wenig, wenn Menschen nicht eingebunden sind. Mit einer Verschwiegenheitserklärung nach DSGVO sicherst du dich rechtlich ab, schärft das Bewusstsein im Team und zeigst, dass Datenschutz im Unternehmen ernst genommen wird.