Verpflichtung auf die Vertraulichkeit
Das bisherige Datenschutzrecht sah in § 5 BDSG a.F. eine sog. „Verpflichtung auf das Datengeheimnis“ vor. Eine vergleichbar klare und eindeutige Regelung ist in der DS-GVO nicht mehr enthalten. Insoweit stellt sich datenverarbeitenden Unternehmen die Frage, ob die klassische Verpflichtung auf das Datengeheimnis weiterhin eine Zukunft hat und als “Verpflichtung auf die Vertraulichkeit” fortlebt.
Die GDD hatte sich bereits in ihrer Praxishilfe DS-GVO XI – Verpflichtung auf die Vertraulichkeit, dahingehend positioniert, dass eine Verpflichtung auf die Vertraulichkeit auch unter dem Regime der DS-GVO ein probates Mittel sein wird, um unmissverständlich auf die Bedeutung und den Umfang datenschutzrechtlicher Regeln hinzuweisen und Mitarbeitern etwaige Risiken von Gesetzesverstößen vor Augen zu führen.
Auch das BayLDA vertritt die Ansicht, dass eine Belehrung und Verpflichtung der beschäftigten Personen zur Beachtung der datenschutzrechtlichen Anforderungen auch unter Geltung der DS-GVO als organisatorische Maßnahme geboten bleibt, um die Einhaltung des Datenschutzes so weit wie möglich sicherzustellen. Auf Grund der vielen Nachfragen nach einer Hilfestellung habe man das nun einen Mustertext mit Erläuterungen für eine solche Belehrung und Verpflichtung von Beschäftigten veröffentlicht, so das BayLDA.
Das entsprechende Dokument ist für Interessierte ebenfalls auf der BayLDA-Homepage bei den Informationsblättern in der Infothek zu finden (www.lda.bayern.de/de/infoblaetter.html).
Das Kurzpapier Nr. 19 der Datenschutz-Konferenz (DSK) „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO“ geht ebenfalls auf diese Thematik ein. Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu „verpflichten“ sind, trifft inhaltlich diese „verpflichtende Unterrichtung“ auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen), ist nicht verbindlich geregelt. Es wird empfohlen, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Ein Muster für eine solche Verpflichtung enthält das Kurzpapier ebenfalls als Anlage.
Das könnte Sie auch interessieren
-
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren -
Schadensersatz ist kein Reflex aus Verstoß gegen DS-GVO
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 1. Urteil des Gerichtshofs in der Rechtssache C-300/21 | Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) Dieses Urteil des Gerichtshofs befasst sich mit dem Schadenersatzanspruch gemäß der DS-GVO. Es wird betont, dass dieser Anspruch
Mehr erfahren
