Die DSGVO schreibt die Verpflichtung auf das Datengeheimnis nicht explizit vor. Dies überrascht viele, da diese Praxis nach wie vor ein fester Bestandteil des Einstellungsprozesses ist. Doch was passiert, wenn neue Mitarbeitende die Unterzeichnung der Verpflichtungserklärung verweigern?
Die DSGVO regelt nur einen speziellen Fall ausdrücklich
Wer in der DSGVO nach dem Stichwort „Verpflichtung auf das Datengeheimnis“ sucht, muss genau hinschauen. Es wird nur an einer Stelle erwähnt: Für Beschäftigte von Auftragsverarbeitern sieht die DSGVO eine ausdrückliche Verpflichtung zur Wahrung des Datengeheimnisses vor (siehe Art. 28 Abs. 3 Nr. 2b DSGVO). Für andere Beschäftigte ist eine solche förmliche Verpflichtung nicht vorgesehen. Dies bedeutet jedoch nicht, dass die DSGVO das Datengeheimnis gering schätzt – im Gegenteil.
Diese Regelung soll denkbare Zweifel ausschließen
Für die DSGVO ist es selbstverständlich, dass es ein Datengeheimnis gibt und dass Beschäftigte es generell beachten müssen. Dies wird so selbstverständlich angesehen, dass es nur für den Spezialfall der „Beschäftigten von Auftragsverarbeitern“ ausdrücklich hervorgehoben wird. Hier könnten Zweifel entstehen, da diese Beschäftigten Daten verarbeiten, die nicht ihrem Arbeitgeber gehören, sondern den Kunden des Arbeitgebers. Zwischen diesen Kunden und den Mitarbeitern des Auftragsverarbeiters besteht kein eigenes vertragliches Verhältnis.
Das Datengeheimnis gilt allgemein unabhängig davon
Die Verpflichtung auf das Datengeheimnis dient dazu, dass ein Unternehmen seine datenschutzrechtliche „Rechenschaftspflicht“ erfüllen kann. Diese Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO festgelegt und besagt: Es reicht nicht aus, dass ein Unternehmen die Vorgaben der DSGVO einhält. Das Unternehmen muss jederzeit nachweisen können, dass dies tatsächlich der Fall ist.
„Wer schreibt, der bleibt“
Zur Einhaltung der DSGVO gehört, dass ein Unternehmen seinen Mitarbeitern verdeutlicht, welche Pflichten sie im Datenschutz haben. Dies erfordert Schulung, Information und Belehrung. Diese Schulungen und Informationen müssen schriftlich dokumentiert sein. Andernfalls könnte ein Unternehmen vieles behaupten, ohne dass es nachprüfbar wäre.
Die Verpflichtung ist ein Instrument der Dokumentation
Ein bewährtes Instrument der Dokumentation ist die Verpflichtung von Beschäftigten auf das Datengeheimnis. Diese Verpflichtung schafft keine neuen Pflichten für die Beschäftigten, die nicht ohnehin bestehen würden. Daher gibt es keinen sachlichen Grund für die Beschäftigten, die Unterschrift unter eine solche Verpflichtung zu verweigern.
Beschäftigte sind zur Unterschrift nicht verpflichtet
Beschäftigte können nicht zur Unterschrift gezwungen werden, da es dafür keine Rechtsgrundlage gibt. Niemand muss durch seine Unterschrift die Beachtung von Pflichten bestätigen, wenn eine solche Bestätigung nirgends gesetzlich vorgeschrieben ist. Ähnlich würde niemand von Beschäftigten eine schriftliche Bestätigung verlangen, dass sie nichts am Arbeitsplatz stehlen werden. Das Verbot zu stehlen gilt unabhängig von einer solchen Unterschrift.
Ein Vermerk über die Verweigerung genügt
Wenn ein Beschäftigter die Verpflichtung auf das Datengeheimnis nicht unterschreiben möchte, genügt es, dass das Unternehmen die Weigerung in seinen Unterlagen vermerkt. Eine kurze Notiz „Unterschrift verweigert“, versehen mit Datum und dem Namen oder Namenskürzel der Person, die die Verpflichtung vornehmen wollte, reicht aus.
Der Vermerk dient der Dokumentation
Durch diesen Vermerk erfüllt das Unternehmen seine Dokumentationspflicht. Der Beschäftigte kann sich später nicht darauf berufen, er habe seine Pflichten nicht gekannt. Ein ausdrücklicher Hinweis an den Beschäftigten, dass die Verweigerung der Unterschrift nichts an seinen Pflichten ändert, kann sinnvoll sein.
Der Begriff „Beschäftigte“ ist weit gefasst
Neben den dauerhaften Beschäftigten müssen auch befristet Beschäftigte, Azubis, Praktikanten und Leiharbeiter die Vorgaben der DSGVO beachten. Für diese Gruppen ist das möglicherweise nicht so selbstverständlich wie für die Kernbelegschaft. Daher müssen auch sie unbedingt auf das Datengeheimnis verpflichtet werden.