Beschäftigter lehnt Verpflichtung auf das Datengeheimnis ab: Was tun?

Gemäß Art. 5 Abs. 2 DS-GVO muss der für die Verarbeitung Verantwortliche die Einhaltung der im Absatz 1 des Artikels festgelegten Grundsätze der Verarbeitung personenbezogener Daten nachweisen können. Hieraus folgt eine umfassende Rechenschaftspflicht (engl.: „Accountability“) mit zahlreichen Dokumentations- und Nachweispflichten.

Präzisiert werden die Anforderungen an die Nachweispflicht in Art. 24 Abs. 1 DS-GVO. Hier wird festgelegt, dass der Verantwortliche den Nachweis zu erbringen hat, dass er Maßnahmen getroffen hat, die sicherstellen, dass die Verarbeitung gemäß der DS-GVO erfolgt.

Vor Geltung der DS-GVO sah der nationale Gesetzgeber eine sog. „Verpflichtung auf das Datengeheimnis“ vor. § 5 BDSG a.F. lautete: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten (vgl. GDD-Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit) . Zwar sieht die DS-GVO nur für die Beschäftigten von Auftragsverarbeitern ausdrücklich vor, dass diese auf das Datengeheimnis zu verpflichten sind (Art. 28 Abs. 3 Nr. 2b DS-GVO), doch trifft diese Pflicht nach Auffassung der Aufsichtsbehörden (vgl. Kurzpapier 19 der DSK) auch Verantwortliche, mithin auch Arbeitgeber:innen und Beschäftigte.

Im Rahmen der Dokumentations- und Nachweispflichten des Art. 5 Abs. 2 DS-GVO ist die Verpflichtung der zur Verarbeitung befugten Personen auch weiterhin als probates Mittel anzusehen, um die Einhaltung datenschutzrechtlicher Vorschriften von vornherein zu gewährleisten.

Die Verpflichtung von Beschäftigten zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, die erforderlich sind, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 2 lit. b DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann.

Kernelement der Maßnahme ist, dass die Beschäftigten auf die Einhaltung betrieblicher Weisungen verpflichtet werden. Die Form der jeweiligen Weisung ist dabei nachrangig. Im Kurzpapier 19 der DSK heisst es:
” Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden. “

Was ist jedoch die Konsequenz für den Verantwortlichen, wenn sich ein Beschäftigter partout weigert, eine solche Verpflichtung zu unterzeichnen?

Das Bayerische Landesamt für Datenschutzaufsicht gibt zu dieser Frage in seinem 11. Tätigkeitsbericht für das Berichtsjahr 2021 eine klare Antwort (Ziffer 11.3):
” […] Auch wenn eine bestimmte Form der Verpflichtung nicht vorgesehen ist, sollten die Arbeitgeber:innen doch, um ihrer Nachweispflicht gemäß Art. 5 Abs. 2 DS-GVO gegenüber unserer Behörde nachkommen zu können, eine schriftliche oder elektronische Verpflichtungserklärung einholen und hierzu ein entsprechendes Formular verwenden.

Die datenschutzrechtlichen Pflichten müssen Mitarbeiter:innen einhalten, unabhängig davon, ob diese die Verpflichtung unterschreiben oder nicht. Liegt ein Weigerungsfall vor, reicht es üblicherweise zur Erfüllung der Nachweispflicht aus, wenn der Arbeitgeber den Mitarbeiter auf seine Pflichten hingewiesen hat und darüber, sowie über den Umstand der Weigerung, einen Vermerk erstellt. “

(Foto: michalchm89 – stock.adobe.com)