Eine allgemeine Vorschrift über die Verpflichtung auf das Datengeheimnis gibt es durch die Datenschutzgrundverordnung nicht. Dies mag überraschen, zählt sie doch nach wie vor zu den grundlegenden Einstellungsritualen für Beschäftigte. Doch wie verhält es sich, wenn neue Mitarbeitende sich weigern, ihre Unterschrift unter die Verpflichtungserklärung zu setzen?
Nur ein Sonderfall ist klar geregelt
Der Passus „Verpflichtung auf das Datengeheimnis“ taucht in der DSGVO lediglich an einer Stelle auf. So sieht die Datenschutzgrundverordnung nur für Beschäftigte von Auftragsverarbeitern eine ausdrückliche Verpflichtung auf die Wahrung des Datengeheimnisses vor (siehe Art. 28 Abs. 3 Nr. 2b DSGVO). Eine solche förmliche Verpflichtung ist für andere Beschäftigte nicht vorgesehen – was aber keineswegs bedeutet, dass die DSGVO das Datengeheimnis als unbedeutend einschätzt. Das Gegenteil ist der Fall!
Mögliche Zweifel ausschließen
Die DSGVO erachtet es als absolut selbstverständlich, dass das Datengeheimnis existiert und dass Beschäftigte es generell beachten müssen. So selbstverständlich, dass sie das Datengeheimnis nur für den Spezialfall „Beschäftigte von Auftragsverarbeitern“ explizit betont. Denn hierbei könnten Zweifel entstehen. Immerhin verarbeiten diese Beschäftigten Daten, die nicht die ihres Arbeitgebers sind, sondern vielmehr die seines Kunden. Die Mitarbeitenden des Auftragsverarbeiters stehen zu diesen Kunden in keinem eigenen Vertragsverhältnis.
Unabhängig davon: allgemeine Gültigkeit des Datengeheimnisses
Die Verpflichtung auf das Datengeheimnis bedeutet, dass ein Unternehmen seine datenschutzrechtliche „Rechenschaftspflicht“ erfüllen möchte. Diese Rechenschaftspflicht regelt Art. 5 Abs. 2 DSGVO. Demzufolge reicht es nicht aus, dass sich ein Unternehmen an die Vorgaben der DSGVO hält. Das Unternehmen muss außerdem jederzeit belegen können, dass es diese Vorgaben beachtet.
Schriftliche Dokumentation
Um die DSGVO einhalten zu können, muss ein Unternehmen seinen Mitarbeitern verdeutlichen, welche Pflichten sie im Rahmen des Datenschutzes haben. Dies geschieht durch Schulung, Information und Belehrung. Als Nachweis, dass diese Unterweisungen stattgefunden haben, müssen die Maßnahmen schriftlich dokumentiert sein. Sonst könnte ein Unternehmen vieles behaupten, ohne dass man die Behauptungen nachprüfen könnte.
Verpflichtung als Instrument der Dokumentation
Ein nützliches Tool zur Dokumentation ist die Verpflichtung von Beschäftigten auf das Datengeheimnis. Mit ihr gehen für die Beschäftigten keine Pflichten einher, die nicht ohnehin vorhanden wären. Insofern haben die Beschäftigten auch keinen sachlichen Grund, die Unterschrift unter eine solche Verpflichtung abzulehnen.
Keine Verpflichtung zur Unterschrift
Auf der anderen Seite können Beschäftigte – gerade deswegen – auch nicht zur Unterschrift gezwungen werden. Dafür gibt es schlichtweg keine Rechtsgrundlage. Kein Mitarbeitender muss durch seine Unterschrift die Beachtung von Pflichten bestätigen, wenn eine solche Bestätigung nicht gesetzlich angeordnet ist. Denn ein Unternehmen würde ja auch keine schriftliche Bestätigung von seinen Beschäftigten darüber verlangen, dass sie beispielsweise nichts vom Arbeitsplatz stehlen würden. Schließlich gilt – völlig unabhängig von einer solchen Unterschrift – das Verbot, Dinge zu stehlen.
Notiz „Unterschrift verweigert“ genügt
Folglich ist es naheliegend, wie sich ein Unternehmen verhalten sollte, wenn Beschäftigte die Datengeheimnis-Verpflichtung nicht unterschreiben: Es reicht aus, dass das Unternehmen die Weigerung in seinen Unterlagen vermerkt. Ein knapper Hinweis „Unterschrift verweigert“ genügt. Sicherheitshalber sollte die Notiz um ein Datum ergänzt sein und den Namen (oder das Namenskürzel) der Person enthalten, die die Verpflichtung vornehmen wollte.
Damit hat das Unternehmen seine Dokumentationspflicht erfüllt
Und der Beschäftigte hat nicht die Möglichkeit, sich darauf zu berufen, dass er seine Pflichten nicht gekannt hätte. Ein expliziter Hinweis an den Beschäftigten, dass die Verweigerung der Unterschrift an seinen Pflichten rein gar nichts ändert, kann hierbei Sinn machen.
„Beschäftigte“ ist dabei ein dehnbarer Begriff
In Unternehmen bilden die dauerhaft Beschäftigten in der Regel den Großteil der Personen, die auf das Datengeheimnis verpflichtet werden. Logischerweise müssen aber auch befristet Beschäftigte sowie Azubis, Praktikanten und Leiharbeiter die DSGVO-Vorgaben beachten. Besonders für diese Personengruppe ist das womöglich nicht so selbstverständlich wie für die Kernbelegschaft. Deshalb müssen auch diese Beschäftigten unbedingt zum Datengeheimnis verpflichtet werden.
