Vertraulichkeitsverpflichtung
Eine Vertraulichkeitsverpflichtung ist eine dokumentierte Verpflichtung von Mitarbeitenden und anderen Personen, die mit personenbezogenen Daten umgehen, diese vertraulich zu behandeln und nicht unbefugt zu verarbeiten oder offenzulegen.
Ausführliche Erklärung
Die Vertraulichkeitsverpflichtung ist ein zentrales Instrument zur Einhaltung der Datenschutz-Grundverordnung (DSGVO). Sie ersetzt das frühere "Datengeheimnis" aus dem alten Bundesdatenschutzgesetz und basiert auf den Anforderungen der DSGVO zur Sicherstellung der Vertraulichkeit personenbezogener Daten nach Art. 5 Abs. 1 lit. f sowie Art. 32 Abs. 4 DSGVO. Für Auftragsverarbeiter besteht nach Art. 28 Abs. 3 lit. b DSGVO eine ausdrückliche Pflicht, nur Personen einzusetzen, die zur Vertraulichkeit verpflichtet wurden, sofern sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Die Verpflichtung muss dokumentiert erfolgen, um den Nachweis- und Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO gerecht zu werden. Sie richtet sich an alle Personen, die im Unternehmen Zugang zu personenbezogenen Daten haben – neben festangestellten Mitarbeitenden also auch Auszubildende, Praktikanten, freie Mitarbeitende, Leiharbeitende oder Reinigungspersonal. Die Verpflichtung sollte idealerweise zu Beginn der Tätigkeit schriftlich oder elektronisch erfolgen und durch Unterschrift bestätigt werden.
Inhaltlich umfasst die Vertraulichkeitsverpflichtung typischerweise die Belehrung über das Verbot der unbefugten Datenverarbeitung, die Bindung an Weisungen des Verantwortlichen, Hinweise auf mögliche strafrechtliche Konsequenzen nach Art. 83 DSGVO sowie arbeitsrechtliche Folgen wie Abmahnung oder Kündigung. Wichtig ist, dass die Verpflichtung auch nach Beendigung des Beschäftigungsverhältnisses fortbesteht.
Für KMU ist die Vertraulichkeitsverpflichtung nicht nur eine formale Pflicht, sondern ein wichtiges Risikomanagement-Instrument. Sie schafft Bewusstsein bei den Mitarbeitenden, dokumentiert die Sensibilisierung und kann im Schadensfall nachweisen, dass das Unternehmen seine organisatorischen Sorgfaltspflichten erfüllt hat. Verstöße gegen die Vertraulichkeit können sowohl das Unternehmen als auch die betroffenen Personen haftbar machen und zu erheblichen Bußgeldern führen.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 12 Mitarbeitenden in Linz verpflichtet alle neuen Angestellten bereits am ersten Arbeitstag schriftlich zur Vertraulichkeit. Die Verpflichtungserklärung wird unterzeichnet, zur Personalakte genommen und gilt auch für die zwei Auszubildenden sowie die externe Reinigungskraft, die Zugang zu den Büroräumen hat. Als ein langjähriger Mitarbeiter die Kanzlei verlässt, wird ihm im Austrittsgespräch die fortbestehende Vertraulichkeitspflicht noch einmal ausdrücklich in Erinnerung gerufen.