Zurück zur Übersicht

Mitgliederservice Gastbeitrag: Verpflichtung der Mitarbeitenden und Ehrenamtlichen auf den Datenschutz und die Wahrung des Datengeheimnisses etc.

Zieldefinition

Um die Einhaltung des Datenschutzes gewährleisten zu können, müssen die Mitarbeitenden der Organisation umfangreich über Inhalte, Zwecke und Regeln des Datenschutzes informiert und belehrt werden. Zudem muss die Durchführung und der Inhalt der Information dokumentiert und bestätigt werden.

Die schriftliche Verpflichtung der Beschäftigten zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen und Grundsätze stellt hierbei ein erstes zentrales Nachweisdokument dar, das zum Aufbau eines Datenschutzmanagementsystems (DSMS) gehört.

Der Begriff „Mitarbeitende“ ist in diesem Fall sehr weit auszulegen und erfasst neben regulär Beschäftigten auch Auszubildende, Praktikanten, Leih-/Zeitarbeitende und neben ehrenamtlich Tätigen auch alle weiteren Personen, die mit den Daten der Organisation auf Weisung dieser umgehen.

Da Datenschutz von Anfang an zu erfolgen hat, muss die Verpflichtung vor Aufnahme der Tätigkeit, spätestens aber am ersten Arbeitstag erfolgen.

Die genauen Inhalte der Verpflichtungserklärung und der zugehörigen Belehrung ergeben sich zum einen aus den rechtlichen Vorgaben des Datenschutzes und zum anderen aus dem allgemeinen Tätigkeitsfeld / der Branche bzw. den zugrundeliegenden Rechtsnormen sowie ggf. aus dem speziellen Aufgabenbereich, in dem die Mitarbeitenden tätig werden sollen. Denn es ist absolut sinnvoll, die Standard-Verpflichtung mit anderen, zusätzlich erforderlichen Geheimhaltungsvereinbarungen (z.B. Betriebs-, Berufs-/Amts-, Telekommunikations-, Brief-, Steuergeheimnis etc.) zu kombinieren.

Damit der Inhalt der Verpflichtung in den Köpfen der Mitarbeitenden präsent bleibt, sollten diese in bestimmten Zeitabständen im Rahmen von Schulungen oder Rundschreiben etc. daran erinnert werden. Zusätzliche generelle und individuelle Anlässe zur Überprüfung bzw. Erneuerung der Verpflichtung/en ergeben sich aus Gesetzesänderungen oder einem Arbeitsplatzwechsel innerhalb der Organisation.

 

Empfehlungen zur Umsetzung

Im ersten Schritt muss eine Vorlage für eine solche Erklärung erstellt werden (s.u. den LINK zu Mustervorlagen im FA Datenschutzportal).

Verpflichtend ist die Verpflichtung auf die Einhaltung der Grundsätze des Datenschutzes. Optional und empfehlenswert ist die Verpflichtung auf alle weiteren relevanten Vorschriften, insbesondere:

  • auf §4 GeschGehG (Geschäftsgeheimnisse)
  • auf interne Arbeitsanweisungen zur Nutzung der ITK-Einrichtungen (IT-Sicherheit)
  • soweit zutreffend auf §35 SGB I (Sozialgeheimnis, immer für Personalabteilung)
  • soweit zutreffend auf §3 TTDSG (Fernmeldegeheimnis gemäß dem seit 01.12.2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz - TTDSG , Immer für Mitarbeitende IT / Technik

Die Verpflichtung auf die Einhaltung der internen Arbeitsanweisungen zur Sicherheit stellt auch einen wichtigen Nachweis der technisch organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung dar.

Aus gesprochenem Recht zur Wirksamkeit und Verbindlichkeit dieser Verpflichtung ergibt sich, dass man die relevanten Auszüge aus den Gesetzen als Anhang an die Verpflichtung anfügt.

Im zweiten Schritt muss ein Prozess eingeführt werden, der sicherstellt, dass diese Verpflichtungen durchgeführt werden und nachweisbar sind. Im Regelfall wird die Vorlage durch die Personalabteilung dem/der „Mitarbeitenden“ (zur Auslegung des Begriffs s.o.) vorgelegt, von diesem unterschrieben und zur Personalakte genommen werden.

 

Zuständigkeiten

Für die Umsetzung ist die Personalabteilung verantwortlich.

 

Erforderliche Nachweise

  • Erforderliche Regelungsdokumente – interne Vorgaben
    • Vorlage zur Verpflichtung
    • Kurze Prozessbeschreibung
    • Arbeitsanweisung Personalabteilung
  • Nachweise zur Umsetzung
    • Unterschriebene Verpflichtungserklärungen

Das bedeutet auch, dass in der Regel Mitarbeitende und ehrenamtlich tätige Personen, die personenbezogene Daten erhalten (z.B. Trainer/-innen, Schiedsrichter/-innen, Zeitnehmer/-innen, ...) ebenfalls auf die Einhaltung des Datenschutzes schriftlich zu verpflichten sind.

Prüfen Sie, ob diese Prozesse bei Ihnen wirksam umgesetzt werden.

Das ist sicherlich eine Herausforderung, aber ggf. hilft es, wenn dieses Verpflichtungsformulare direkt mit bei der Anmeldung z.B. für ein Zeitnehmer/-innen-, Trainer/-innen-Seminar oder ähnliches verteilt und eingesammelt werden.

 

Mustervorlagen im Datenschutzportal (DSP) der Führungs-Akademie (FA)

Im FA Datenschutzportal sind entsprechende Mustervorlagen für Mitarbeiter/-innen / Vorstandsmitglieder und Ehrenamtliche zu finden. (Anfragen an Toni Niewerth, niewerth@fuehrungs-akademie.de.