Wissen

Die Verschwiegenheitserklärung und DSGVO

Verschwiegenheitserklärung

Wie definiert sich eine Verschwiegenheitserklärung nach der DSGVO?

Die Rolle einer Verschwiegenheitserklärung spielt bei der Einhaltung der DSGVO in Unternehmen eine enorm hohe Rolle. Im Jahr 2018 trat die Europäische Datenschutz-Grundverordnung in Kraft (EU-DSGVO) und hat die Thematik der Vertraulichkeit nochmals weiter in den Fokus gerückt. Die meisten Unternehmen beschäftigen sich mit personenbezogenen Daten oder arbeiten mit diesen Informationen, die oft einen Grundpfeiler der unternehmerischen Geschäftstätigkeit abbilden. Ein wichtiger Punkt der Verschwiegenheitserklärung gemäß der DSGVO ist, dass diese nicht mit einer Vertraulichkeitserklärung hinsichtlich der Wahrung der Betriebsgeheimnisse verwechselt werden darf. Diese Vertraulichkeitserklärung ist meistens in zu unterschreibenden Arbeitsverträgen enthalten, ersetzt aber nicht die Verschwiegenheitserklärung nach der DSGVO, die sich ausdrücklich auf den Schutz von erhobenen und zu verarbeitenden personenbezogenen Daten bezieht.

Welchem Zweck dient eine Verschwiegenheitserklärung, welche sich aus der DSGVO definiert?

Bezüglich der Verwendung von personenbezogenen Daten sind in der DSGVO klare Vorgehensweisen und Anforderungen verschriftlicht. Die DSGVO legt fest, dass personenbezogene Daten nicht ohne eine klare Einwilligung der betroffenen Person erhoben und verarbeitet werden dürfen. Haben Unternehmen Zugriff auf diese Datenform, müssen sie diese definierten Grundsätze zwingend einhalten. Passiert dies nicht, so drohen hohe Bußgelder und ein wirtschaftlich nicht einschätzbarer Imageverlust. In Bezug auf die ordnungsgemäße Handhabung der personenbezogenen Daten wird in der DSGVO grundsätzlich nicht nur die Geschäftsleitung in die Pflicht genommen. Es werden vielmehr alle Beteiligten, welche in Unternehmen die Mitarbeiter darstellen, verpflichtet die Vertraulichkeit der vorhandenen Daten zu gewährleisten. Durch die DSGVO soll sichergestellt werden, dass somit alle Mitarbeiter, die mit personenbezogenen Daten arbeiten und diese einsehen können, sich ausschließlich im gesteckten Rahmen des DSGVO bewegen und die vorhandenen Daten vertraulich behandeln.

Nach Artikel 39 der EU-DSGVO muss ein benannter Datenschutzbeauftragter die betroffenen Mitarbeiter des Unternehmens bezüglich der dringenden Einhaltung der vorgegebenen datenschutzrechtlichen Bestimmungen aufklären und explizit auf diese hinweisen. In der DSGVO wird dies sinngemäß so definiert, dass der Datenschutzbeauftragte die Verantwortlichen, den Auftragsverarbeiter und die Mitarbeiter hinsichtlich der Pflichten der DSGVO unterrichten und beraten muss. Gleichwohl muss er die Einhaltung sonstiger Datenschutzverpflichtungen der EU-Mitgliedsstaaten sicherstellen und im Unternehmen überwachen.

Um die Unterrichtung der betroffenen Mitarbeiter sicherzustellen, müssen diese Beschäftigten eine sogenannte DSGVO-Verschwiegenheitserklärung unterschreiben, die die Aufklärung nachvollziehbar und überprüfbar gestaltet. Den Kern der Verschwiegenheitserklärung bildet der Grundsatz, dass der Unterzeichner die personenbezogenen Daten grundsätzlich vertraulich behandeln muss und die Daten und Informationen nicht weitergeben darf. Für das Verständnis der Unterzeichnung muss der betroffene Mitarbeiter über die Definition von personenbezogenen Daten aufgeklärt worden sein und welche Konsequenzen eine Missachtung der definierten Regeln beinhalten kann. Unternehmen sichern sich rechtlich gegen Zuwiderhandlungen der Belegschaft ab, aber gleichzeitig können Unternehmen mit der Verschwiegenheitserklärung auch ihre DSGVO-Nachweispflicht belegen. Somit sind die Unternehmen jederzeit in der Lage alle Prozesse, welche im Zusammenhang mit der Verarbeitung und Erhebung von personenbezogenen Daten stehen, nachweislich DSGVO-konform zu gestalten.

Welche Inhalte werden in einer Verschwiegenheitserklärung gemäß der DSGVO verlangt?

Die Inhalte dieser Erklärung beziehen sich hauptsächlich um den vertraulichen und korrekten Umgang der Mitarbeiter mit den personenbezogenen Daten. Inhaltlich sollten folgende Punkte Bestandteil einer DSGVO-konformen Verschwiegenheitserklärung sein:

  • Wie ist das Arbeitsverhältnis gestaltet? Welche Aufgaben und welche Dauer werden definiert?
  • Eine Erklärung über die Einhaltung der geforderten Verschwiegenheit
  • Die Definition der vertraulichen Daten und Informationen, die Bestandteil der Erklärung sind
  • Der Zweck der Verarbeitung der personenbezogenen Daten
  • Klausel der Konsequenzen bei eventuellen Datenschutz-Verstößen
  • Eine Festlegung der Gültigkeitsdauer, welche sich auch über die Dauer des Arbeitsverhältnisses erstreckt.

In einer DSGVO-Verschwiegenheitserklärung müssen die Grundsätze des Umgangs mit den personenbezogenen Daten klar festgelegt werden. Folgende Definitionen sollte eine Verschwiegenheitserklärung hinsichtlich der personenbezogenen Daten aufweisen können:

  • Die personenbezogenen Daten müssen rechtmäßig und fair und für die betroffenen Personen nachvollziehbar verarbeitet werden. Hier gelten die Grundsätze „Rechtmäßigkeit“, Verarbeitung nach „Treu und Glauben“ und „Transparenz“
  • Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie unterliegen einer Zweckbindung und dürfen nicht weiterverarbeitet werden, wenn sie nicht zu obigen Zwecken verwendet werden
  • Die Verarbeitung der personenbezogenen Daten ist auf ein notwendiges Maß zu reduzieren (Grundsatz der Datenminimierung). Die Erhebung der Daten muss dem Zweck angemessen sein
  • Daten müssen grundsätzlich korrekt vorliegen. Sind die Daten sachlich nicht richtig, so tritt der Grundsatz der „Richtigkeit“ in Kraft. Sind die Daten nicht auf dem neusten Stand, so sind Maßnahmen zu ergreifen, die die Löschung der Daten auslösen oder die Daten auf den aktuellen Stand bringen
  • Die personenbezogenen Daten dürfen ausschließlich in einer Form gespeichert werden, die für die Dauer der Nutzung erforderlich ist. Eine Identifikation von betroffenen Personen ist nur innerhalb dieses Zeitraumes möglich (Grundsatz der Speicherbegrenzung)
  • Es muss gewährleistet werden, dass die personenbezogenen Daten nur so verarbeitet werden, dass jederzeit der Schutz der Informationen gewährleistet ist. Dies schließt die unbefugte und unrechtmäßige Verarbeitung, einen unabsichtlichen Verlust, unbeabsichtigte Zerstörung oder eine nicht absichtliche Schädigung der Daten ein. Diese Punkte werden durch technische und organisatorische Maßnahmen (TOM) sichergestellt und decken somit die Punkte „Integrität“ und „Vertrauen“ ab. Bei der Verarbeitung der personenbezogenen Daten ist grundsätzlich die Weisung eines Verantwortlichen einzuholen. Als Arbeitsanweisungen in Bezug auf die personenbezogenen Daten gelten Einzelanweisungen, Prozessbeschreibungen, Ablaufpläne, allgemeine Dienstanweisungen, innerbetriebliche Vereinbarungen, Handbücher und Dokumentationen

Inhalte und Form der Klausel über Verstöße in Bezug auf die DSGVO-Verschwiegenheitserklärung

Ein Verstoß gegen die Einhaltung der Verschwiegenheitsklausel sollte die Möglichkeit einer Geldbuße oder Freiheitsstrafe aufzeigen. Ein Verstoß gegen die Verschwiegenheitsklausel kann zudem gleichzeitig eine arbeitsvertragliche Verletzung der vertraglichen Pflichten darstellen oder auch die Geheimhaltungspflichten verletzen. Auch auf (zivilrechtliche) Schadensansprüche sollte hingewiesen werden, die sich aus einem Verstoß ergeben können. Es sollte vermerkt werden, dass Vereinbarungen aus dem Dienst- Arbeitsvertrag in der Verschwiegenheitserklärung nicht berührt werden. Ein wichtiger Punkt ist, dass die Verschwiegenheitsverpflichtung auch nach einer Beendigung des Arbeitsverhältnisses seine Gültigkeit beibehält.

Es bietet sich grundsätzlich an, dass man der Verschwiegenheitserklärung ein separates Merkblatt hinzufügt. Dieses sollte alle relevanten Gesetzesartikel beinhalten. Durch diesen Anhang wird sichergestellt, dass der Arbeitnehmer vollumfänglich und transparent informiert wird. Die eigentliche Verschwiegenheitserklärung sollte dem Mitarbeiter als eigenständiges Dokument ausgehändigt werden. Dies hat den Vorteil, dass die Erklärung bei einer behördlichen Überprüfung vorgezeigt werden kann. So wird ausgeschlossen, dass der gesamte Arbeitsvertrag bei der Aufsichtsbehörde vorgelegt werden muss, wenn es eine Überprüfung erfordert.

Die Verschwiegenheitserklärung sollte in schriftlicher Form gestaltet werden. Somit erfüllt der Arbeitgeber die Dokumentations- Nachweispflicht und setzt die Erklärung damit EU-DSGVO konform um. Es ist hierbei gleichgültig, ob die Verschwiegenheitserklärung in schriftlicher oder in einer elektronischen Form festgehalten wird. Eine Kopie der Erklärung wird dem Arbeitnehmer ausgehändigt und das vom Arbeitnehmer unterschriebene Exemplar wird zur Sicherung der Personalakte hinzugefügt. Somit ist eine größtmögliche Transparenz gewährleistet.

Wer ist zum Unterzeichnen der DSGVO-Verschwiegenheitserklärung verpflichtet?

Bei der Unterzeichnung einer DSGVO-Verschwiegenheitserklärung muss immer eine lückenlose Datensicherheit innerhalb des Unternehmens gewährleistet sein. Aus diesem Grund ist es zwingend erforderlich, dass alle involvierten Personen die Verschwiegenheitserklärung unterzeichnen. Dies gilt für alle Personengruppen, die mit personenbezogenen Daten in Berührung kommen – also diese im Tagesgeschäft erheben, speichern oder in den Tagesabläufen weiterverarbeiten. Auch bei Personengruppen, welche als Aushilfe, Praktikant oder Freelancer etc. auftreten, muss die DSGVO-Verschwiegenheitserklärung unterzeichnet werden. Grundsätzlich geraten in Unternehmen die meisten Mitarbeitergruppen mit personenbezogenen Daten und Informationen in Berührung. Aus diesem Grund werden fast alle Mitarbeiter eine DSGVO-Verschwiegenheitserklärung unterzeichnen müssen. Auch bei Personengruppen, welche scheinbar noch nicht mit den sicherheitsrelevanten Daten in Berührung kommen, ist eine Verschwiegenheitserklärung sinnvoll, da sich im Tagesgeschäft Arbeitsabläufe verschieben können und nach der Unterzeichnung auch dieser Fall datenschutzkonform abgedeckt ist.


Über den Autor

Weitere Artikel

5 Schritte zur Datenschutzkonformität

5 Schritte, wie man zur perfekten Datenschutzkonformität gelangt

In der digitalen Welt sind Datenschutz und DSGVO-Compliance für Start-ups von höchster Bedeutung. Unsere Webseite bietet eine umfassende Einführung in die DSGVO und unterstützt dich dabei, von Anfang an datenschutzkonform zu agieren, um kostspielige Anpassungen und Bußgelder zu vermeiden. Wir erklären, wann ein Datenschutzbeauftragter notwendig ist und ob interne oder externe Experten die bessere Wahl sind. Zusätzlich erfährst du, wie du bei Kaltakquise und Newsletter-Marketing die Zustimmung der Kunden dokumentierst. Die korrekte Verarbeitung und Weitergabe von personenbezogenen Daten, insbesondere Mitarbeiter- und Bewerberdaten, wird erläutert. Zudem zeigen wir, wie du eine datenschutzkonforme Online-Präsenz gestaltest, inklusive Datenschutzerklärung, Cookie-Banner und Impressum. Nutze unsere Ressourcen, um ein starkes Datenschutzfundament zu legen und langfristigen Erfolg zu sichern.

Mehr erfahren
What are security controls in companies?

Was sind Sicherheitskontrollen in Unternehmen?

Sicherheitskontrollen sind wichtig, um unsere Organisation vor möglichen Gefahren zu schützen. Es gibt zwei Haupttypen: Vorbeugende, die darauf abzielen, Vorfälle zu verhindern, bevor sie passieren, und Aufdeckende, die Vorfälle nach ihrem Eintreten aufspüren. Vorbeugende Kontrollen umfassen administrative, technische und physische Maßnahmen wie Richtlinien, Firewalls und Überwachung. Aufdeckende Kontrollen nutzen Prüfpfade, Eindringungserkennungssysteme und Virenscanner. Beide Arten sind entscheidend für den Schutz von Vermögenswerten und Mitarbeitern.

Mehr erfahren
Technical and organizational measures (TOMs)

Technische und Organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOMs) sind entscheidende Leitlinien der DSGVO zum Schutz personenbezogener Daten. Sie umfassen digitale Aspekte wie Benutzerkonten, Backups und Firewalls und sollten von der Datensammlung an dokumentiert werden, um den branchenspezifischen Anforderungen gerecht zu werden. TOMs umfassen technische und organisatorische Maßnahmen, einschließlich Zugangskontrolle und Datenverschlüsselung, die auf spezifische Kontrollkategorien zugeschnitten sind. Artikel 32 (1) der DSGVO schreibt vor, Technologie und Risiken zu berücksichtigen, um Datenresilienz und -sicherheit zu gewährleisten. Die Priorisierung von TOMs trägt dazu bei, personenbezogene Daten zu schützen und die Einhaltung der DSGVO-Vorschriften im Falle von Verstößen nachzuweisen.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen