Technik kann vieles! Das Verhalten der Mitarbeiter ist dennoch entscheidend – Verpflichtung auf das Datengeheimnis und Datenschutzbelehrung
Zwar dürfte es mittlerweile bekannt sein, dass die Mitarbeiter einer verantwortlichen Stelle über alle personenbezogenen Daten, die ihnen während ihrer Tätigkeit zur Kenntnis gelangen, Stillschweigen bewahren müssen und diese Daten auch nicht an Unberechtigte weiterleiten dürfen. Auf diese Verschwiegenheitspflicht weist das so genannte Datengeheimnis in § 5 Satz 1 BDSG hin: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).“
Alle Personen die bei nicht-öffentlichen Stellen beschäftigt und mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut werden, sind deshalb bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis (§ 5 Satz 2 BDSG) sowie auf die Einhaltung des Fernmeldegeheimnisses nach § 88 TKG zu verpflichten. In der Praxis hat sich für diese Verpflichtung rinr kurze Unterweisung durch die personalverantwortliche Führungskraft bewährt.
Die Mitarbeiter von öffentlichen Stellen müssen meist nicht formell auf das Datengeheimnis verpflichtet werden, da sie bereits aufgrund von dienst- und arbeitsrechtlichen Vorschriften zur Verschwiegenheit verpflichtet sind.
Bei öffentlichen Stellen erfolgt statt der Verpflichtung nur eine Belehrung zur Einhaltung des Datengeheimnisses. Manche Landesdatenschutzgesetze sehen aber trotzdem die förmliche Verpflichtung auf das Datengeheimnis vor.
Auch hier hilft der „Datenschutz Assistent®“, die Einhaltung der gesetzlichen Vorschrift zu prüfen und somit sicherzustellen.
Bild: Auszug aus der Checkliste Org-Maßnahmen / Themengebiet Sensibilisierung und Schulung der Mitarbeiter im „Datenschutz Assistent®“ .
Die förmliche Verpflichtung sollte Folgendes beinhalten:
- Eine eingehende Unterrichtung über die einschlägigen Vorschriften des Bundesdatenschutzgesetzes sowie
- die Erklärung der besonderen Anforderungen an die Datensicherheit und den Datenschutz bei der Ausübung der Tätigkeit.
Auch hierzu verfügt der „Datenschutz Assistent®“ über entsprechende Hilfen und Vorlagen.
Bild: Auszug aus den Musterformularen im „Datenschutz Assistent®“.
Die Verpflichtung sollte eine Belehrung enthalten, dass es untersagt ist, geschützte personenbezogene Daten zu einem anderen als dem zur rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu erheben, zu verarbeiten oder zu nutzen.
Außerdem ist darauf hinzuweisen, dass den bei der verantwortlichen Stelle erlassenen Datenschutz- und Datensicherheitsanweisungen uneingeschränkt Folge zu leisten und eine Weitergabe personenbezogener Daten an unbefugte Dritte unzulässig ist. Schließlich ist anzusprechen, dass alle Unterlagen mit personenbezogenen Daten so zu verwahren sind, dass diese vor dem Zugriff Unbefugter geschützt sind.
Die Verpflichtung zur Wahrung des Datengeheimnisses bezieht sich auf alle zu natürlichen Personen gehörenden Angaben, auch über deren persönliche und sachliche Verhältnisse; sie gilt ohne Rücksicht darauf, ob die personenbezogenen Daten in automatisierten oder in herkömmlichen, manuellen Verfahren verarbeitet werden. Die Verpflichtung auf das Datengeheimnis besteht auch nach Beendigung der Tätigkeit bei der verantwortlichen Stelle fort.
Die Verpflichtung sollte auch auf die Folgen von Verstößen gegen das Datengeheimnis eingehen: Verstöße gegen das Datengeheimnis können sowohl arbeitsrechtlich als auch nach § 44 i. V. m. § 43 Abs. 2 BDSG sowie anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden. Sie können sogar Anlass einer außerordentlichen Kündigung sein.
Weiter ist zu empfehlen, dass bei dieser Verpflichtung dem Verpflichteten weitergehende Informationen und Richtlinien zum Datenschutz und zur Datensicherheit ausgehändigt werden.
In diesen Unterlagen sollte insbesondere auf folgende Datenschutzanforderungen ausführlich eingegangen werden:
- Sichere Aufbewahrung aller Unterlagen mit personenbezogenen Daten
- Sicherung der IT-Endgeräte gegen die Nutzung durch Unbefugte
- Datenschutzgerechte Entsorgung nicht mehr benötigter Unterlagen mit personenbezogenen Daten
- Keine Zweckentfremdung der dienstlichen Hard- und Software
- Einhaltung der Verarbeitungsregeln von personenbezogenen Daten
- Nutzung von Internet, E-Mail und sozialer Netzwerke.
- Handhabung von Benutzungsdaten für Revisionszwecke der verantwortlichen Stelle.
Links: