Verpflichtung auf das Datengeheimnis unter der DSGVO

Die Datenschutzgrundverordnung (DSGVO), die am 25.05.2018 weitestgehend das bisherige Bundesdatenschutzgesetz ablösen wird, kennt keine Vorschrift, die die den Verantwortlichen (unter dem BDSG: “verantwortliche Stelle“) ausdrücklich verpflichtet, seine Mitarbeiter auf das Datengeheimnis zu verpflichten, wie dies aktuell § 5 BDSG vorsieht.

Dennoch rate ich dazu, auch unter Geltung der Datenschutzgrundverordnung eine solche Verpflichtung vorzunehmen.

Der Grund liegt in Art. 24 DSGVO:

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

Der Verantwortliche muss also organisatorische Maßnahmen umsetzen, damit die Datenverarbeitung gemäß der Datenschutzgrundverordnung erfolgt.

Dazu gehört meines Erachtens auch eine entsprechende Belehrung, die früher über § 5 BDSG erfolgte.

Empfehlung: Verpflichten Sie auch Ihre Mitarbeiter unter der DSGVO auf das Datengeheimnis. Verwenden Sie jetzt schon Verpflichtungserklärungen, welche sowohl die Vorschriften des BDSG also auch der DSGVO zitieren. Ab dem 25.05.2018 fallen die alten Vorschriften des BDSG dann weg.

Und achten Sie darauf, dass die Strafvorschriften in Zukunft in § 42 BDSG n.F. und die Bußgeldvorschriften in § 43 BDSG n.F. geregelt sind, nicht mehr wie bisher in § 44 (Strafvorschriften) und § 43 (Bußgeldvorschriften).

Bundeskanzlerin kritisiert Grundsatz der Datensparsamkeit

§ 3a BDSG beinhaltet des Grundsatz der Datensparsamkeit. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Auch die am 25.05.2018 das BDSG ersetzende und in der gesamten Europäischen Union geltende Datenschutzgrundverordnung (DSGVO) sieht dieses Prinzip in Art. 5 Abs. 1 lit. c DSGVO vor. Dort heißt das Prinzip “Datenminimierung”.

Mitglieder der Bundesregierung haben dieses Prinzip in letzter Zeit des Öfteren als nicht mehr zeitgemäß bezeichnet. Nun hat auch die Bundeskanzlerin den Grundsatz der Datensparsamkeit beim IT-Gipfel in Saarbrücken in Frage gestellt. Das Prinzip der Datensparsamkeit könne heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte, so Merkel. Die Politik dürfe die Regeln des Datenschutzes “nicht so restriktiv machen, dass das Big-Data-Management dann doch nicht möglich wird”.

In einem hat die Bundeskanzlerin recht: Big Data ist mit der Sammlung unzähliger Daten, bei denen man bei der Erhebung noch gar nicht weiß, für was man die Daten benutzt, ist mit dem sehr restriktiven deutschen und bald auch vollständig harmonisierten europäischen Datenschutzrecht nur schwer absolut rechtskonform zu realisieren. Allerdings ist gerade die unbeschränkte Datensammlung und die Verknüpfung von Daten besonders gefährlich für das Allgemeine Persönlichkeitsrecht, da der Betroffene oft nicht abschätzen kann, welche Daten erhoben werden und wie sie verknüpft werden. Gerade die Verknüpfung von vermeintlich “harmlosen” Daten kann dazu führen, dass die Daten hochsensibel werden und umfassende Rückschlüsse auf das Leben der Betroffenen zulassen. Der Grundsatz der Datensparsamkeit (BDSG) bzw. das Prinzip der Datenminimierung (DSGVO) sollte daher unbedingt erhalten bleiben.