Verschwiegenheitspflicht

Datenschutzbeauftragter

erstellt am 19.03.19 von ts@vnr.de

Wenn Sie als Datenschutzbeauftragter erfolgreich sein wollen, dürfen Sie Ihr Datenschutzwissen nicht für sich behalten, sondern müssen es mit anderen teilen. Es gibt aber auch Informationen, die Sie nicht preisgeben dürfen. Denn auch das ist Teil Ihres Jobs: Ihre Pflicht zu schweigen.

Die Verschwiegenheitspflicht nach der DSGVO ist ein wichtiger Aspekt Ihres Jobs. Hier sind die zehn wichtigsten Fakten zu Ihrer Verschwiegenheitspflicht als Datenschutzbeauftragter.

Verschwiegenheit gehört zur Pflicht des Datenschutzbeauftragten

Grundsätzlich gilt für Sie als Datenschutzbeauftragten bei der Erfüllung Ihrer Aufgaben die Pflicht der Geheimhaltung und der Vertraulichkeit. Sie haben per Datenschutzgesetz eine Verschwiegenheitspflicht.

Der Gesetzgeber hat explizit die Pflicht zur Verschwiegenheit über die Identität der betroffenen Personen, die sich mit Fragen an den Datenschutzbeauftragten wenden, geregelt, sowie über die Umstände, die Rückschlüsse auf eine bestimmte Person ziehen lassen (vgl. § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz, BDSG). Was das genau in der Praxis für Sie bedeutet, erfahren Sie in der folgenden Zusammenfassung.

Verschwiegenheitspflicht als Datenschutzbeauftragter: Ein Beispiel aus der Praxis

Stellen Sie sich vor, ein Kollege aus der Marketing-Abteilung kommt auf Sie zu und erzählt Ihnen, dass er angewiesen wurde, einen E-Mail-Newsletter zu versenden. Das Problem: Die Empfänger haben sich nicht für den Newsletters registriert und in den Erhalt eingewilligt. Nun plagt den Kollegen ein ungutes Gefühl, da er gehört hat, dass mit der neuen Datenschutz-Grundverordnung (DSGVO) bei einem Verstoß hohe Bußgelder zu befürchten seien – und der von ihm durchgeführte Versand des E-Mail-Newsletters wohl „nicht ganz legal“ sei.

Zu allem Überfluss gab es sogar schon die ersten Rückmeldungen von Empfängern, die sich über den unerwünschten Erhalt des Newsletters beschwert hatten. Nun bittet dieser Kollege um Ihre Unterstützung, möchte aber, dass Sie seinen Namen aus dem Spiel lassen, da er Ärger mit seiner Vorgesetzten befürchtet.

Eine verzwickte Situation: Wie gehen Sie vor und wie berücksichtigen Sie gleichzeitig Ihre Verschwiegenheitspflicht gegenüber dem Arbeitnehmer, Ihrem Kollegen?

Eines gleich vorweg: Den Vorfall zu ignorieren und einfach abzuwarten, ist zwar eine Möglichkeit, doch wenn Sie Ihren Job als Datenschutzbeauftragter ernst nehmen und Ihr Unternehmen (und sich selbst) vor Schaden bewahren wollen, ist Ignoranz sicherlich keine Option. Vielmehr gilt es, schnell zu handeln, um Schlimmeres zu verhindern.

Da liegt es nahe, sofort auf die Vorgesetzte des Kollegen zuzugehen, um den Fall direkt mit ihr zu klären. Doch das ist auch keine gute Idee, denn genau in dieser Situation kommt Ihre Verschwiegenheitspflicht ins Spiel: Auch wenn Sie den Namen des Kollegen, der Ihnen den Datenschutzvorfall gemeldet hat, nicht nennen würden, besteht die Gefahr, dass allein durch die Informationen über den Versand des E-Mail-Newsletters Rückschlüsse auf eine bestimmte Person – nämlich den Kollegen, der sich an Sie gewendet hat – gezogen werden können.

Wie Sie Ihre Verschwiegenheitspflicht einhalten

Greifen Sie hier in die Trickkiste: Kündigen Sie z. B. die Prüfung des Internetangebots oder des Themas Werbeeinwilligung an. So können Sie der aktuellen Vorgehensweise auf den Grund gehen, ohne dass Sie Ihren Informanten verraten müssen und Ihre Verschwiegenheitspflicht als Datenschutzbeauftragter verletzen.

Lassen Sie sich im Rahmen Ihrer Prüfung beispielsweise erläutern, an welche Empfänger die letzten Newsletter geschickt wurden, und lassen Sie sich die entsprechenden Einwilligungen zeigen. Wahrscheinlich werden Sie schnell fündig und können der Vorgesetzten aufzeigen, wo Handlungsbedarf besteht. Erläutern Sie, wie die Sache in Zukunft umzusetzen ist. Machen Sie klar: Fehlt im konkreten Fall die Rechtsgrundlage, wie z. B. eine wirksame Einwilligung, sollte kein E-Mail-Newsletter an die betreffenden Personen versendet werden.

Trotz aller Vorsichtmaßnahmen kann es passieren, dass Sie mit Ihrer Prüfung das Misstrauen der verantwortlichen Vorgesetzten wecken und sie von Ihnen wissen will, wer Sie über den E-Mail-Newsletter-Versand informiert hat. Vielleicht versucht sie, Ihnen die Information zu entlocken, indem sie Ihnen versichert, dass dem betreffenden Mitarbeiter keine Nachteile oder negative Konsequenzen entstehen.

Doch: Lassen Sie sich auf gar keinen Fall darauf ein, den Namen des Mitarbeiters zu nennen. Auch wenn dem Mitarbeiter keine Nachteile zu drohen scheinen, sind Sie zur Verschwiegenheit verpflichtet. Ansonsten verstoßen Sie nicht nur gegen Vorschriften, sondern verlieren auch Ihre Glaubwürdigkeit und das Vertrauen der Mitarbeiter.

10 Fakten zur Verschwiegenheitspflicht als Datenschutzbeauftragter

Der beschriebene Praxisfall zeigt: Um nicht gegen Ihre Pflichten als Datenschutzbeauftragter zu verstoßen, müssen Sie diese kennen, und dazu gehört es auch zu wissen, was es mit der Pflicht zur Verschwiegenheit auf sich hat. Nutzen Sie folgende Zusammenfassung der zehn wichtigsten Fakten zur Verschwiegenheitspflicht, um nachzuvollziehen, was diese für Ihre Arbeit bedeutet.

Fakt 1: Die Verschwiegenheitspflicht ist in der DSGVO geregelt

Die Verschwiegenheitspflicht für den Datenschutzbeauftragten ist nichts Neues: Schon vor Anwendungsbeginn der DSGVO war diese Pflicht in § 4f Abs. 4 des alten BDSG geregelt. Seit Anwendung der DSGVO sind nun die entsprechenden Regelungen in Art. 38 Abs. 5 DSGVO bzw. § 38 Abs. 2 in Verbindung mit § 6 Abs. 5 Satz 2 BDSG zu finden.

Fakt 2: Der Inhalt der Regelung

Als Datenschutzbeauftragter bekommen Sie aufgrund Ihrer Tätigkeit Kenntnis von schutzwürdigen Informationen und haben Einblicke in Vorgänge, die vertraulich sein können. Zum Schutz des Betroffenen ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Darunter fallen auch alle Umstände, die Rückschlüsse auf die betroffene Person ziehen lassen (vgl. § 6 Abs. 5 Satz 2 neues BDSG, BDSG-neu). In bestimmten Fällen ergibt sich für den Datenschutzbeauftragten aus §§ 6 Abs. 6, 38 Abs. 2 BDSG-neu auch ein Zeugnisverweigerungsrecht.

Fakt 3: Der Zweck hat die Verschwiegenheitspflicht

Die Pflicht zur Geheimhaltung dient primär dem Schutz des Betroffenen. Die Regelung zur Verschwiegenheitspflicht stellt demnach zum einen sicher, dass Betroffene, aber auch „Informanten“ Kontakt zum Datenschutzbeauftragten aufnehmen und Datenschutzvorfälle melden können, ohne negative Konsequenzen befürchten zu müssen. Zum anderen dient sie der Unabhängigkeit des Datenschutzbeauftragten bei der Wahrnehmung seiner Kontrollpflichten innerhalb des Unternehmens.

Fakt 4: Gegenüber wem die Verschwiegenheitspflicht gilt

Die Verschwiegenheitspflicht gilt gegenüber dem Verantwortlichen, aber auch gegenüber der Personalvertretung und sonstigen Dritten sowie den Aufsichtsbehörden.

Fakt 5: Die Entbindung von der Verschwiegenheitspflicht

Von Ihrer Pflicht zur Verschwiegenheit können Sie nur dann eine Ausnahme machen, wenn Sie die betroffene Person von Ihrer Verschwiegenheitspflicht befreit. Das gilt auch, wenn die Offenlegung der Identität der betroffenen Person eine weitere Prüfung und Nachforschung in einem bestimmten Vorfall bzw. einer Beschwerde vereinfachen würden.

Auch hier gilt: Die Befreiung von der Verschwiegenheitspflicht muss schriftlich durch die betroffene Person erfolgen und sie muss sich auf einen konkreten Fall beziehen. Dazu ist im Vorfeld sicherzustellen, dass die betroffene Person über die Konsequenzen der Entbindung informiert wurde.

Fakt 6: Diese Konsequenzen drohen, wenn Sie Ihre Verschwiegenheitspflicht nicht einhalten

Keine Zweifel: Auch wenn in den Regelungen zum Datenschutz keine Sanktion oder kein Bußgeld im Falle eines Verstoßes gegen die Verschwiegenheitspflicht geregelt ist. Als Datenschutzbeauftragter könnten Sie trotzdem Probleme bekommen, wenn Sie die Verschwiegenheitspflicht nicht ernst nehmen. Beschwert sich beispielsweise die betroffene Person bei der Aufsichtsbehörde, könnte man dort an Ihrer Eignung bzw. Ihrer Zuverlässigkeit zweifeln. In letzter Konsequenz könnte dies zu Ihrer Abberufung als Datenschutzbeauftragter führen. Um dem zu entgehen, hilft nur eines: Kommen Sie Ihrer gesetzlichen Verschwiegenheitspflicht nach.

Hinzu kommt: Nicht nur Personengruppen wie Anwälte, Ärzte oder Mitarbeiter von Kranken- und Lebensversicherungen können sich strafbar machen, wenn sie unbefugt ein zum persönlichen Lebensbereich einer anderen Person gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbaren. Gemäß § 203 Abs. 4 Strafgesetzbuch droht einem Datenschutzbeauftragten ebenso Strafe, wenn er als Anghöriger einer bestimmten Berufsgruppe (z. B. Rechtsanwalt, Arzt) tätig ist, im Rahmen seiner Tätigkeit von Geheimnissen Dritter Kenntnis erlangt und diese Informationen unbefugt offenbart. Hier kann eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe drohen.

Fakt 7: Das gilt gegenüber dem Betriebsrat

Unter Umständen landet eine Beschwerde gleichzeitig auch beim Betriebsrat. Vielleicht will dieser zu einem konkreten Fall Genaueres wissen. Hier sollten Sie Vorsicht walten lassen. Auch wenn der Betriebsrat einer spezifischen Geheimhaltungspflicht aus § 79 Betriebsverfassungsgesetz unterliegt, heißt das nicht, dass Sie damit zur Auskunft bzw. zur Offenbarung von Details berechtigt sind. Das gilt umso mehr, als die Geheimhaltungspflicht im Wesentlichen nur Betriebs- und Geschäftsgeheimnisse erfasst, wenn sie vom Arbeitgeber ausdrücklich als geheimhaltungsbedürftig bezeichnet wurden.

Fakt 8: Ihre Berichterstattung hat Grenzen

Als Datenschutzbeauftragter gehört es zu Ihren Aufgaben, die Unternehmensleitung zu beraten und die Verantwortlichen im Unternehmen zu unterrichten (vgl. Art. 39 DSGVO), um gemeinsam geeignete Maßnahmen festzulegen, die die Einhaltung der Datenschutzvorschriften gewährleisten. Allerdings bedeutet dies nicht, dass der Datenschutzbeauftragte im Rahmen seiner Berichterstattung Informationen preisgeben darf, durch die die Identität einer betroffenen Person bekannt werden könnte. Über solche Informationen ist Stillschweigen zu bewahren und auch der Verantwortliche kann Sie nicht zur Herausgabe dieser Informationen verpflichten.

Fakt 9: Über diese Informationen müssen Sie schweigen

Grundsätzlich gilt: Über alle Informationen, die dem Datenschutzbeauftragten von der betroffenen Person oder einem Informanten anvertraut werden und die Rückschlüsse auf eine bestimmte Person zulassen, ist Stillschweigen zu bewahren.

Fakt 10: Kontaktaufnahme ermöglichen

Betroffene Personen haben gemäß Art. 38 Abs. 4 DSGVO das Recht, den Datenschutzbeauftragten zu kontaktieren und zurate zu ziehen. Zu diesem Zweck müssen Unternehmen die Kontaktdaten des Datenschutzbeauftragten zugänglich machen und unter anderem auf der Internetseite des Unternehmens veröffentlichen.

Tipp für die Praxis: Sensibilisieren Sie Ihre Mitarbeiter für die Verschwiegenheitspflicht

Der Wechsel zur DSGVO hat manchem Datenschutzbeauftragten auch zusätzliche Unterstützung gebracht, beispielsweise durch Mitarbeiter in Voll- oder Teilzeit. Nutzen Sie die zuvor dargestellten Punkte, um beispielsweise Ihre Mitarbeiter in einem Gespräch mit den Besonderheiten der Verschwiegenheitspflicht vertraut zu machen. Denn Vorsicht ist besser als Nachsicht: Ein Verstoß gegen die Verschwiegenheitspflicht durch Mitarbeiter kann auch auf Sie zurückfallen. Den Ärger können Sie sich sparen. Sensibilisieren Sie schnellstmöglich Ihre Mitarbeiter und Kollegen für die Verschwiegenheitspflicht nach der DSGVO.