Zum Hauptinhalt springen
Datenschutz / DSGVO

Datengeheimnis

Das Datengeheimnis verpflichtet die mit der Verarbeitung personenbezogener Daten betrauten Beschäftigten zur Vertraulichkeit, sodass sie diese Daten nicht unbefugt verarbeiten oder offenbaren dürfen.

Das Datengeheimnis bezeichnet die Verpflichtung der bei einem Verantwortlichen oder Auftragsverarbeiter beschäftigten Personen, personenbezogene Daten ausschließlich auf Weisung und im Rahmen ihrer Aufgaben zu verarbeiten und über alle ihnen zur Kenntnis gelangten Daten Stillschweigen zu bewahren. Es handelt sich um eine personenbezogene Vertraulichkeitspflicht, die unabhängig von den technischen und organisatorischen Schutzmaßnahmen sicherstellt, dass das menschliche Glied in der Verarbeitungskette nicht zur Schwachstelle wird.

Anders als unter dem früheren Bundesdatenschutzgesetz, das in § 5 BDSG-alt ein ausdrückliches "Datengeheimnis" kannte, ergibt sich die Pflicht heute aus Art. 29 und Art. 32 Abs. 4 DSGVO sowie aus § 53 BDSG: Beschäftigte dürfen personenbezogene Daten nur nach Weisung des Verantwortlichen verarbeiten, und der Verantwortliche muss durch geeignete Maßnahmen gewährleisten, dass ihm unterstellte Personen die Daten nicht unbefugt verarbeiten. In der Praxis wird dies regelmäßig durch eine schriftliche Verpflichtungserklärung auf die Vertraulichkeit umgesetzt, die idealerweise vor Aufnahme der Tätigkeit unterzeichnet und mit einer Belehrung verbunden wird.

Die Verpflichtung wirkt über das Beschäftigungsverhältnis hinaus fort und entfaltet auch nach dessen Ende Bindungswirkung. Sie ist Bestandteil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss nachweisen können, dass seine Beschäftigten verpflichtet wurden. Verstöße können arbeitsrechtliche Konsequenzen, Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO und in besonders schweren Fällen strafrechtliche Folgen nach § 42 BDSG nach sich ziehen. Das Datengeheimnis ist damit ein zentraler Baustein zur Wahrung von Integrität und Vertraulichkeit der Verarbeitung.

Rechtliche Grundlage

Art. 29, Art. 32 Abs. 4 DSGVO; § 53 BDSG (früher § 5 BDSG a.F.)

Praxisbeispiel

Eine neue Mitarbeiterin tritt in die Personalabteilung eines mittelständischen Unternehmens ein und erhält Zugriff auf Bewerbungsunterlagen, Gehaltsdaten und Gesundheitsbescheinigungen. Vor ihrem ersten Arbeitstag legt der Datenschutzkoordinator ihr eine Verpflichtungserklärung auf die Vertraulichkeit zur Unterschrift vor, erläutert anhand konkreter Beispiele, welche Auskünfte sie nicht an Kollegen oder Dritte weitergeben darf, und dokumentiert die Belehrung im Verarbeitungsverzeichnis. Als später ein Abteilungsleiter informell nach dem Gehalt eines Kollegen fragt, verweist sie auf ihre Verpflichtung und meldet die Anfrage dem Datenschutzbeauftragten.

Häufige Fragen

Der ausdrückliche § 5 BDSG-alt ist mit Wirksamwerden der DSGVO entfallen. Die inhaltliche Pflicht besteht jedoch fort und ergibt sich nun aus Art. 29 und Art. 32 Abs. 4 DSGVO sowie aus § 53 BDSG. Eine Verpflichtung der Beschäftigten auf Vertraulichkeit bleibt daher erforderlich.
Die DSGVO schreibt keine bestimmte Form vor, doch aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO folgt, dass der Verantwortliche die Verpflichtung nachweisen können muss. In der Praxis wird daher eine schriftliche oder dokumentierte Verpflichtungserklärung dringend empfohlen, idealerweise mit Belehrung vor Tätigkeitsbeginn.
Die Pflicht zur Vertraulichkeit wirkt über das Ende des Beschäftigungsverhältnisses hinaus fort. Auch nach Ausscheiden dürfen ehemalige Beschäftigte die ihnen bekannt gewordenen personenbezogenen Daten nicht offenbaren oder nutzen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Technische und organisatorische Maßnahmen (TOMs) Integrität und Vertraulichkeit Rechenschaftspflicht (Accountability) Auftragsverarbeitung (AVV) Beschäftigtendatenschutz
Zurück zum Glossar