Neue Mitarbeiterin oder neuer Mitarbeiter? Was ist datenschutzrechtlich zu „regeln“ (mit Muster)?

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter in einem Unternehmen beschäftigt wird, dann gibt es einiges zu regeln.

Die Kollegin muss in der Personalabteilung „aufgenommen“ werden. Dafür gibt es in der Regel ein sog. Stammdatenblatt, das alle Angaben enthält, die man zur Berechnung und Auszahlung von Lohn oder Gehalt sowie der Bezahlung von Lohnsteuer, sonstigen Abgaben und auch den Krankenkassenbeitragen etc. benötigt.

Außerdem muss der neue Kollege natürlich auch das Unternehmen und vor allem die Abläufe im Unternehmen kennenlernen und in seinen Arbeitsplatz eingewiesen werden. Das ist alles andere als trivial. Ein gutes „Onboarding“ ist hier hilfreich.

Unabhängig davon gibt es auch noch jede Menge weiterer Dinge zu regeln, die dann auch weiter Bezug zum „Datenschutz“ haben können. So erhält die Kollegin in der Regel eine E-Mail-Adresse und auch Berechtigungen für IT-Systeme. Das beinhaltet den Zugang zu internen Inhalten, die z.B. wie im Fall von Windows in der Regel über das „Active Directory“ geregelt werden.

Aber was muss ich nun nach der Datenschutz-Grundverordnung (DSGVO) mit der neuen Kollegin bzw. dem neuen Kollegen „regeln“?

In den Köpfen vieler Mitarbeiterinnen schwirrt da noch dieser Gedanke:

Es muss eine Verpflichtung auf das „Datengeheimnis“ erfolgen.

Das war früher – in „Vor-DSGVO-Zeiten“ – richtig. Mit der DSGVO gibt es das Datengeheimnis nicht mehr. Daher sollte ich Beschäftigte auch nicht mehr auf ein nicht relevantes Datengeheimnis verpflichten.

Aber…es gibt doch noch ein Datengeheimnis…schließlich steht das ja auch in § 53 BDSG – und zwar dem „neuen“ BDSG. Nun…das ist richtig. Allerdings gelten alle Vorschriften ab dem § 45 BDSG (und damit auch § 53 BDSG) nur „für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Das ergibt sich ausdrücklich aus § 45 BDSG.

Und damit bleibt es dabei: Es gibt grundsätzlich kein Datengeheimnis in Unternehmen mehr, auf das verpflichtet werden könnte.

Die DSGVO enthält zwar keine Regelungen zu einem „Datengeheimnis“. Sie setzt aber an mehreren Stellen voraus, dass Unternehmen (und öffentliche Stellen) ihre Beschäftigten auf die Vertraulichkeit verpflichten.

Eine ganz konkrete Regelung existiert z.B. für Auftragsverarbeiter in Art. 28 Abs. 3 lit. b) DSGVO. Danach muss ein Auftragsverarbeiter gewährleisten, dass „sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Für Verantwortliche, die nicht Auftragsverarbeiter sind, gibt es eine solche unmittelbare Regelung nicht. Jedenfalls nicht direkt. Denn so lässt sich aus der Mutter-„Compliance“-Norm der DSGVO (Art. 24 Abs. 1 DSGVO) in Verbindung mit den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO durchaus ableiten, dass Verantwortliche ihre Beschäftigten auf den vertraulichen Umgang zu verpflichten haben.

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche technische und organisatorische Maßnahmen um, die sicherzustellen und den Nachweis dafür erbringen können, dass die Verarbeitung im Unternehmen gemäß der DSGVO erfolgt.

Hieraus wird man neben einer Einarbeitung in die Datenverarbeitungsvorgänge im Unternehmen auch eine schriftliche Verpflichtung der Beschäftigten auf die Vertraulichkeit ableiten können. Selbst wenn man diese nicht für zwingend erachten würde, macht eine Verpflichtung in jedem Fall Sinn.

Wie kann nun so eine Verpflichtung aussehen?

Da hat das Unternehmen ziemlich freie Hand. In Deutschland macht es jedoch Sinn neben den Regelungen zur DSGVO auch das BDSG und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) anzusprechen. Das kann z.B. ungefähr so erfolgen.

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

Dann sollten die wesentlichen Strafvorschriften gerne (auszugsweise) abgedruckt werden.

Und natürlich sollte das Ganze vom Beschäftigten unterschrieben werden und im Unternehmen aufbewahrt werden (z.B. in der Personalakte).

Datenschutz-Coaching-Mitglieder können hier ein Muster einer Vertraulichkeitsverpflichtung für Beschätigte als Word-Dokument herunterladen: