|

Verpflichtung zur Vertraulichkeit (DSGVO) für Beschäftigte (Muster)

Datenschutz, Muster

Früher – also vor der DSGVO – gab es mal die „Verpflichtung auf das Datengeheimnis“. Die gibt es nicht mehr bzw. sie gibt es nur noch, wenn du in einer der für Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung zuständigen Behörden arbeitest; denn nur dann gilt das jetzt in § 53 BDSG noch erwähnte Datengeheimnis.

Bei der Gelegenheit kann ich auf den beliebten Podcast-Beitrag „Nach 44 ist Schluss“ von mir hinweisen, der noch einmal erläutert, warum alles, was in den §§ 45 ff. BDSG steht, in den meisten Fällen für dich nicht relevant ist.

Heute ist es jedoch – auch wenn sich dies nicht mehr so offensichtlich aus der DSGVO ergibt – erforderlich, dass Beschäftigte im Umgang mit personenbezogenen Daten zur Vertraulichkeit verpflichtet werden.

Wie setze ich das um?

Wenn Beschäftigte in deiner Organisation (öffentliche Stelle oder Unternehmen) Umgang mit personenbezogenen Daten haben, sollten diese eine Verpflichtung zur Vertraulichkeit unterzeichnen.

Dazu kannst du dich z.B. an diesem Muster orientieren. Du kannst das Muster mit deinem Briefkopf versehen und verwenden. In dem Muster ist die „Sie“-Form verwendet. Du kannst das natürlich gerne in eine „Du“-Form ändern.

Es gelten die Nutzungsrechte für Musterdokumente.

Muster

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben der DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro bzw. bis zu 4% des Jahresumsatzes möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Name der/des Beschäftigten: [hier den Namen einfügen]

Hiermit verpflichte ich mich zur Einhaltung der vorgenannten Regelungen zur Vertraulichkeit.

============================
Ort, Datum

============================
Unterschrift der/des Beschäftigten

Anlagen:

Auszug aus dem Bundesdatenschutzgesetz (BDSG):

§ 42 BDSG Strafvorschriften

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,

  1. einem Dritten übermittelt oder
  2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder

durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

(3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.

(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

§ 43 BDSG Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder
  2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt. Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

Auszug aus dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG):

§ 23 Verletzung von Geschäftsgeheimnissen

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen,

  1. entgegen § 4 Absatz 1 Nummer 1 ein Geschäftsgeheimnis erlangt,
  2. entgegen § 4 Absatz 2 Nummer 1 Buchstabe a ein Geschäftsgeheimnis nutzt oder offenlegt oder
  3. entgegen § 4 Absatz 2 Nummer 3 als eine bei einem Unternehmen beschäftigte Person ein Geschäftsgeheimnis, das ihr im Rahmen des Beschäftigungsverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Beschäftigungsverhältnisses offenlegt.

(2) Ebenso wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen, ein Geschäftsgeheimnis nutzt oder offenlegt, das er durch eine fremde Handlung nach Absatz 1 Nummer 2 oder Nummer 3 erlangt hat.

(3) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs oder aus Eigennutz entgegen § 4 Absatz 2 Nummer 2 oder Nummer 3 ein Geschäftsgeheimnis, das eine ihm im geschäftlichen Verkehr anvertraute geheime Vorlage oder Vorschrift technischer Art ist, nutzt oder offenlegt.

(4) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer

  1. in den Fällen des Absatzes 1 oder des Absatzes 2 gewerbsmäßig handelt,
  2. in den Fällen des Absatzes 1 Nummer 2 oder Nummer 3 oder des Absatzes 2 bei der Offenlegung weiß, dass das Geschäftsgeheimnis im Ausland genutzt werden soll, oder
  3. in den Fällen des Absatzes 1 Nummer 2 oder des Absatzes 2 das Geschäftsgeheimnis im Ausland nutzt.

(5) Der Versuch ist strafbar.

(6) Beihilfehandlungen einer in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Person sind nicht rechtswidrig, wenn sie sich auf die Entgegennahme, Auswertung oder Veröffentlichung des Geschäftsgeheimnisses beschränken.

Eine Markdown-Version (Markdown? Was ist das?) kannst du hier herunterladen: Vertraulichkeitsverpflichtung Datenschutz (.txt)

Datenschutz-Coaching-Mitglieder finden hier ein Word-Dokument des Musters.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.