Abschied von der Verpflichtung auf das Datengeheimnis?

Dr. Eugen Ehmann

ist Regierungsvizepräsident von Mittelfranken, Mitherausgeber des Ehmann/Selmayr, DS-GVO und Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

ZD 2017, 453   Auch bei Rechtsänderungen sind es oft die kleinen Dinge, die sich erheblich auswirken. Und nicht selten werden sie kaum beachtet, jedenfalls zunächst nicht. Ein aktuelles Beispiel hierfür bildet die Verpflichtung auf das Datengeheimnis, eherner Bestand des deutschen Datenschutzrechts seit dem BDSG 1977 und seither im Kern unverändert. Sie wird ab dem 25.5.2018 als verpflichtende normative Vorgabe der Vergangenheit angehören.

Zu den wenigen, die das bisher thematisiert haben, zählt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Auf Seite 94 seines Tätigkeitsberichts 2015/2016 findet man die nüchterne Feststellung: "Eine dem § 5 BDSG vergleichbare Regelung ist in der DS-GVO nicht direkt enthalten." Diese Aussage bezieht sich auf den § 5 BDSG insgesamt, der - so kurz er rein äußerlich ausgefallen ist - aus mehreren Regelungen rund um das Datengeheimnis besteht. Für die Praxis steht zunächst die förmliche Verpflichtung auf das Datengeheimnis, bisher geregelt in § 5 Satz 2 BDSG, im Mittelpunkt des Interesses.

Dass jedenfalls sie ab Geltung der DS-GVO keinen Bestand mehr haben kann, hatten schon 2016 Kühling/Martini et al. in ihrer Ausarbeitung "Die Datenschutz-Grundverordnung und das nationale Recht" konstatiert, die Streichung der Regelung empfohlen und dies damit begründet, es sei "keine Öffnungsklausel ersichtlich, auf deren Grundlage eine solche Pflicht des Verantwortlichen und Auftragsverarbeiters erlassen werden könnte" (s. dort S. 336). So kam es denn auch. Das BDSG 2018, das ab 25.5.2018 an die Stelle des jetzt noch geltenden BDSG treten wird, enthält keine vergleichbare Regelung mehr. Das nehmen bisher nur wenige zur Kenntnis, obwohl sich der Wegfall der Regelung im Unternehmensalltag durchaus auswirkt.

Vordergründig geht es zunächst darum, seit Jahrzehnten gewohnte Abläufe anzupassen, etwa bei der Einstellung von Arbeitnehmern. Häufig wird ihnen vor Arbeitsantritt ein Formular "Verpflichtung auf das Datengeheimnis" zur Unterschrift vorgelegt, das anschließend zum Personalakt genommen wird. Dieses Formular kann künftig entfallen. Dem dürfte kaum jemand nachtrauern, war doch der inhaltliche Ertrag einer so lieblos abgehakten Formalität - sehr freundlich ausgedrückt - überschaubar.

Anders sieht es aus, wenn es bisher üblich war, die Verpflichtung z.B. nach einer kurzen Erläuterung über Sinn und Zweck des Datengeheimnisses per Handschlag vorzunehmen. Dass ein solches Ritual keine Wunder wirkt und schon gar nicht eine Datenschutzschulung ersetzt, liegt auf der Hand. Gleichwohl sollte man es nicht so spöttisch abtun, wie der Verfasser dies vereinzelt erleben konnte. Gerade bei der digital geprägten jungen Generation beeindrucken solche ungewohnten und fast schon als feierlich empfundenen Handlungen. Über sie wird im Bekanntenkreis gesprochen, sie regen zum Nachdenken an und legen nahe, dass es beim Datenschutz um etwas Besonderes geht. Wem das alles gleichwohl zu antiquiert erschien, der konnte - was allerdings mancher Aufsichtsbehörde gar nicht gefallen wollte - die Verpflichtung auch online vornehmen, vielleicht kombiniert mit dem Durcharbeiten einer geeigneten Online-Schulung, bei der die "erfolgreiche Verpflichtung" als eine Art Belohnung am Ende stand, wenn einige Kontrollfragen richtig beantwortet waren.

Gleich wie - gesetzlich vorgeschrieben ist eine förmliche Verpflichtung auf das Datengeheimnis ab 25.5.2018 nicht mehr. Besteht Grund dazu, ihr nachzutrauern? Dies ginge zu weit. Etwas, das in den anderen Mitgliedstaaten der EU so nicht bekannt war, konnte eben in den künftigen europäischen Rechtsrahmen nicht übernommen werden. Umso mehr gilt es, vor einem Fehlschluss zu warnen, der angesichts des Wegfalls der Verpflichtung nahe liegt. Weggefallen ist nur die Verpflichtung auf das Datengeheimnis, nicht dagegen das Datengeheimnis selbst! Zwar gibt es diesen Begriff in der DS-GVO nicht, sehr wohl aber die Sache.

Selbstverständlich bleibt es auch unter Geltung der DS-GVO dabei, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (so die Definition des Datengeheimnisses im bisherigen § 5 Satz 1 BDSG). Als normative Anknüpfungspunkte in der DS-GVO lassen sich insoweit insbesondere Art. 32 Abs. 4 DS-GVO und Art. 29 DS-GVO nennen. Art. 32 Abs. 4 DS-GVO erlegt dem Verantwortlichen und dem Auftragsverarbeiter die Pflicht auf, durch geeignete Schritte sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese Daten nur auf Anweisung des Verantwortlichen verarbeiten. Art. 29 DS-GVO verfügt, dass Personen, die dem Verantwortlichen oder Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen.Eine förmliche Verpflichtung "unterstellter Personen" auf diese Grundsätze kennt die DS-GVO nicht. Allerdings: Art. 24 DS-GVO, die Regelung über die "Verantwortung des für die Verarbeitung Verantwortlichen", verlangt vom Verantwortlichen, "den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt." Diese Nachweispflicht bezieht sich auch darauf, dass "unterstellte Personen" sich an die Vorgaben der DS-GVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt werden kann.

Vor diesem Hintergrund erscheint es durchaus denkbar, dass der Verpflichtung auf das Datengeheimnis eher eine neue Blüte als das Ende beschieden sein wird. Denn eine nahe liegende organisatorische Maßnahme im beschriebenen Sinn besteht darin, den "unterstellten Personen" zunächst einmal überhaupt klarzumachen, dass sie Pflichten haben, die bisher mit dem Stichwort "Datengeheimnis" umschrieben wurden. Mit anderen Worten: Es ergibt durchaus auch künftig Sinn, ihnen das bei der Arbeitsaufnahme einzuschärfen, unterstrichen durch eine nicht übertriebene, aber Bewusstsein weckende Förmlichkeit.

Das BayLDA empfiehlt sogar, nicht nur unter dem noch geltenden § 5 BDSG, sondern auch künftig die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Der Sinn dieser Maßnahme liegt auf der Hand: Die Aufmerksamkeitsspanne hinsichtlich der Vorgaben des Datenschutzes endet im Arbeitsalltag irgendwann. Ein Anstoß zur erneuten Bewusstseinsbildung ist dann sinnvoll.

Entscheidend ist in diesem Zusammenhang nicht, weiterhin alles "so zu machen wie bisher". Völlig zutreffend nennt das Landesamt daher die Verpflichtung auf das Datengeheimnis nur als ein Beispiel für Maßnahmen der Bewusstseinsbildung. Alternativ daneben stehen andere Sensibilisierungsmaßnahmen. Wichtig ist nicht die inhaltlich sinnentleerte Fortführung einer lange gewohnten Formalie, sondern die Sensibilisierung als Ergebnis. Schulungsmaßnahmen in Form klassischer Fortbildungen sind dafür ebenso geeignet wie Online-Schulungen. In der Vergangenheit galt der Grundsatz: Weder kann eine Schulung die förmliche Verpflichtung ersetzen, noch umgekehrt. Da es die förmliche Verpflichtung künftig nicht mehr gibt, spielt dieser Aspekt keine Rolle mehr. Wer es für richtig hält, kann noch so etwas wie eine Verpflichtung freiwillig vorsehen, er muss es aber nicht mehr.

Bei der Gestaltung von Arbeitsverträgen wäre es auch weiterhin möglich, eine Pflicht zur Beachtung des Datengeheimnisses festzulegen und dabei auch diesen Begriff zu verwenden. Allerdings kann dabei ab 25.5.2018 der Inhalt dieser Verpflichtung nicht mehr durch eine schlichte Verweisung auf eine gesetzliche Regelung über das Datengeheimnis umschrieben werden, weil eine solche Regelung dann nicht mehr existiert. Vielmehr muss im Vertrag selbst dargestellt werden, was zu beachten ist. Allgemeine Sätze wie "Der Arbeitnehmer ist verpflichtet, alle Bestimmungen des Datenschutzrechts zu beachten." geraten dabei rasch in Konflikt mit dem AGB-rechtlichen Bestimmtheitsgebot. Es ist auch bei Arbeitsverträgen zu beachten, da sie bei der Verwendung von Vertragsmustern regelmäßig als AGB anzusehen sind (s. § 310 Abs. 4 Satz 2 BGB).

Insofern stellt sich die Frage, ob sich der Formulierungsaufwand für eine solche Klausel lohnt. Zweifel daran sind erlaubt. Analysiert man, wie der bisherige § 5 BDSG in der arbeitsrechtlichen Rechtsprechung berücksichtigt wurde, fällt Folgendes auf: Die Regelung wird zwar relativ häufig zitiert, wenn es um Datenschutzverstöße geht. Konkrete Rechtsfolgen, etwa die Bejahung eines Kündigungsgrunds, ziehen die Gerichte aus ihrer Verletzung allerdings durchweg nicht. Vielmehr hat das Zitieren der Regelung eher die Funktion, die Schwere eines unabhängig von ihr bejahten Datenschutzverstoßes ergänzend zu unterstreichen.

Unter diesem Aspekt bringt es aus der Sicht eines Arbeitgebers mehr, dem Arbeitnehmer z.B. durch eine geeignete Schulung klarzumachen, was seine Pflichten auf dem Gebiet des Datenschutzes sind, als mit einer Klausel im Arbeitsvertrag zu arbeiten. Umfang und Inhalt dieser Schulung sollten dokumentiert sein. Begeht der Arbeitnehmer später einen Verstoß, wird der Arbeitnehmer mit dem Argument, er habe seine konkreten Pflichten weder gekannt noch kennen können, nicht weit kommen.

Anknüpfungspunkt für arbeitsrechtliche Konsequenzen ist stets der konkrete Verstoß, nicht die Verletzung des abstrakten Datengeheimnisses. So haben es die Gerichte schon bisher gehandhabt. Ein Beispiel hierfür bildet das Urteil des LAG Rheinland-Pfalz v. 1.6.2016 - 4 Sa 130/14. Ein angestellter Außendienstmitarbeiter hatte auf Zahlung von Provisionen geklagt, die ihm seines Erachtens auf der Basis seines Arbeitsvertrags zustanden. Als Beweismittel hatte er Unterlagen vorgelegt, die nicht nur Daten zu solchen Verträgen mit Kunden enthielten, aus denen sich überhaupt eine Provision ergeben konnte. Vielmehr enthielten die Unterlagen auch offen lesbare, teils sehr sensible Daten zu Verträgen, bei denen eine Provision von vornherein nicht in Betracht kam. Dieses Vorgehen führte dazu, dass alle Prozessbeteiligten vertrauliche Daten zur Kenntnis erhielten, die zur Durchführung des Verfahrens nicht erforderlich waren. Das veranlasste den Arbeitgeber zur Kündigung. Zwar stellte das Gericht fest, der Außendienstmitarbeiter habe gegen das Datengeheimnis gem. § 5 BDSG verstoßen. Überlegungen zur möglichen Rechtfertigung einer Kündigung knüpfte es jedoch nicht an diese gesetzliche Bestimmung an, sondern an die Verletzung der vertraglichen Nebenpflicht, personenbezogene Daten von Kunden vertraulich zu halten.

Im Hinblick auf Sanktionen in Form von Bußgeldern ändert der Wegfall von § 5 BDSG i.E. nichts. Verletzungen der Vorschrift waren als solche nicht bußgeldbewehrt. Wohl aber erfüllten manche Verhaltensweisen, die auch diese Bestimmung verletzten, aus anderen Gründen Bußgeldtatbestände. Ein Beispiel hierfür bildet die unbefugte Übermittlung von Daten. Sie verletzte zwar § 5 BDSG, konnte aber nicht unter diesem Aspekt mit einem Bußgeld sanktioniert werden, weil für die unbefugte Übermittlung als eine Variante der unbefugten Verarbeitung von Daten im bisherigen BDSG der eigene Bußgeldtatbestand des § 43 Abs. 2 Nr. 1 BDSG enthalten war.

Künftig gestaltet sich dies entsprechend. Eine unbefugte Übermittlung stellt eine nicht von Art. 6 DS-GVO gedeckte Verarbeitung dar. Dies verwirklicht den Bußgeldtatbestand des Art. 83 Abs. 4 lit. a DS-GVO. Eine Sanktion bleibt also möglich, ohne dass das Fehlen einer Regelung zum Datengeheimnis zu einer Lücke führen würde.

Wegen der vielen Facetten rund um das, was bisher in § 5 BDSG unter dem Stichwort "Datengeheimnis" geregelt wurde, genügt es für die Praxis nicht, schlicht den künftigen Wegfall dieser Vorschrift festzustellen. Auch dieser Wegfall bedarf vielmehr der sachgerechten Umsetzung. Dieser Punkt sollte deshalb in der To-Do-Liste für die Vorbereitung auf die DS-GVO auf keinen Fall fehlen.