Liebe/-r Experte/-in,
unser Arbeitgeber möchte, daß alle Angestellten eine Verpflichtungserklärung zum §5 BDSG unterzeichnen. Also auch Vertrieb, die Leute aus der Technik, Logistik. Wir sind ein Betrieb mit 16 Mitarbeitern.
M.E. sollte so eine Erklärung nur von Leuten unterzeichnet werden müssen, die personenbezogene Daten einpflegen oder darauf zugreifen können: Personalabteilung, Geschäftsführung, IT-Administrator, Buchhaltung meinetwegen. Hab ich recht?
Vielen Dank für eine baldige Antwort.
Viele Grüße
Ulrike
Hallo Frau Wagner,
wie Anwälte (ich bin keiner!) machnmal so sagen:„ein Blick ins Gesetz erleichtert die Rechtsfindung“.
in §5 (http://www.gesetze-im-internet.de/bdsg_1990/__5.html) heisst es dazu „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, …“
UND WEITER: „DIESE Personen sind, … auf das Datengeheimnis zu verpflichten.“
Damit ist ziemlich deutlich, dass nur solche Personen auf das Datengeheimnis verpflichtet werden müssen, die mitd der Verarbeitung personenbezogener Daten beschäftigt sind. Insofern haen Sie mindestens zum Teil Recht.
Es gibt aber auch hier ein ABER:
1.) wer gilt als damit „beschäftigt“: dies ist prinzipiell weit auszulegen, d.h. nicht, wer beschäftigt sich tatsächlich mit personenbezogenen Daten, sondern, wer hat im Rahmen seiner Aufgaben potenziell Zugang zu solchen Daten. Das erweitert den Kreis beträchtlich! Den gemeint sind mit dem Datenschutzgesetzt sind alle Formen der Verarbeitung: wenn Sie also an einen Computer herankommen auf dem personenbezogene Daten gespeichert sind, sind sie dabei. Gleiches gilt, wenn Sie Netz-Zugriff darauf haben, wenn Sie an Akten kommen (könnten), etc.
2.) Was sind personenbezogene Daten? Dazu zählt ALLES, was einer natürlichen Person zuzuordnen ist oder potenziell zuordnenbar wäre. Schon die Adresse, das Geburtsdateum etc. sind personenbezogene Daten. Gerade in der Logistik haben Sie sicher mit Adressen zu tun, egal ob von Privat-Kunden, gewerblichen Kunden oder Lieferanten.
Aus diesem Grunde empfehlen viele Datenschutzbeauftragte, die ganze Belegschaft zu verpflichten. Es gibt wenige Möglichkeiten, bei denen es ausgeschlossen ist mit personenbezogenen Daten in Kontakt zu kommen: die Geburtstagsliste der Kollegen, ein Bauarbeiter, der auf einem Plan Namen und Adresse des Bauherren sieht. Fast alle Beschäftigten haben Zugang. Also sind auch alle zu verpflichten.
Anders herum gefragt: wo haben Sie das Problem mit der Verpflichtung. Sie unterschreiben prinzipiell ein Gesetz zur Kentnis genommen zu haben. Viele Gesetze gelten, ohne dass Sie bestätigt haben, dass Sie darauf hingewiesen wurden, wie z.B. das Strafgesetzbuch. Und dennoch schlagen wir uns (normalerweise) nicht tot.
Die Verpflichtungserklärung (Muster HIER:https://www.datenschutzzentrum.de/wirtschaft/verpfld…) ist nichts weiter als das Anerkenntnis, dass man personenbezogene Daten, mit denen man beruflich in Berührung kommt, nicht weitererzählt, verkauft oder sonstwie nutzt. Das ist alles - eigentlich ganz unproblematisch.
Beste Grüße,
Ralf Becker
^
Hallo Herr Becker,
vielen, vielen Dank für diese umfassende Antwort. Ganz toll!
Auf die Seite des Justizministeriums sind wir auch schon gegangen und soweit ist ja alles klar. Aber was ist denn nun mit der Geburtstagsliste, oder dem Wissen um die private Telefonnummer eines Kollegen. Darf ich meinen Kollegen überhaupt abholen von zu Hause, wenn sein Auto streikt? Oder darf ich ihn nur nicht nach seiner Adresse fragen? 
Oder: ich darf seine Adresse nicht weitersagen. Stimmts?
Wie ist es mit wirklich schützenswerten Daten, wie Verträge, Gehälter, wenn’s denn tatsächlich wo gespeichert ist Krankheitsangaben? Diese Dinge sollten nur befugten Personen zugänglich sein. Wenn diese aber aus Mangel an Sorgfalt frei zugänglich waren, kann der Betroffene ja klagen oder sich beschweren. Wo und geht das auch im Nachhinein? Muß z.B. die Geschäftsleitung, die die nötige Sorgfalt nicht walten ließ, jetzt nachweisen,
- daß für Datenschutz gesorgt wird
- daß auch die Mitarbeiter die Erklärung unterzeichnet haben, die tatsächlich zugriffsermächtigt sind?
Auf Wikipedia steht aber übrigens auch, daß „juristische Personen“ vom Datenschutz ausgenommen sind. D.h. Daten die die Kunden (alles Firmen, GmbHs, AGs, etc.) betreffen fallen nicht unter den Datenschutz. Ich denke, das stimmt auch, denn beim Justizministerium heißt es ja auch, daß es um natürliche Personen geht.
Viele Grüße
Ulrike Wagner
Hallo Frau Wagner,
zum ersten Absatz: Sie dürfen fast ALLES, sofern der Kollege einwilligt. Wenn er Sie bittet, dass Sie ihn abholen, ist die Einwilligung hier sicher unproblematisch (aber ggf. ein Versicherungsproblem: müssten Sie ihm Scherzensgeld zahlen, wenn Sie einen Unfall bauen, bei dem er sich verletzt?).
Bei der Geburtstagsliste ist das schon schwieriger: stellen Sie sich vor, der Chef veröffentlich so eine Liste, wohlmöglich mit Geburtsjahr und alle bekommen mit wie gut Sie sich gehalten haben oder aber dass sie noch gar nicht so viel Erfahrung haben können wie Sie immer vorgeben (nur als Beispiele). Das möchten Sie wohlmöglich gar nicht und es besteht auch keine betriebliche Veranlassung zur Veröffentlichung Ihres Geburtsjahres. Aber natürlich geht das, wenn Sie zustimmen. So ist es überall: mit Einwilligung des Betroffenen dürfen Sie das. Bedacht werden muss aber auch, dass der Betroffene seine EInwilligung zurückziehen kann. Beipiel: Alle Beschäftigten geben die Einwilligung zur Speicherung ihrer personenbezogener Daten in einem IT-System. Zieht nun ein Beschäftigter seine Einwilligung zurück, so muss für diesen Mitarbeiter ein anderes Verfahren gefunden werden, was mitunter aufwändig sein kann.
Zum zweiten Absatz: Wenn Sie feststellen, dass personenbezogene Daten, insbesondere besonders schützenswerte Daten wie Krankheitsangaben oder beriebsärztliche Zeugnisse mehr oder weniger „frei herumliegen“, dann sollten Sie auf diesen Mißstand hinweisen: entweder bei Ihrem Vorgesetzten oder dem Datenschutzbeauftragten, der verpflichtet ist über die Quelle zu schweigen. Eine Beschwerde im Nachhinein macht eigentlich nur Sinn, wenn ein Schaden entstanden ist.
Die Geschäftsführung ist grundsätzlich gem. dem Bundesdatenschutzgesetz verpflichtet, nicht nur die Regeln des Datenschutzes zu beachten, sondern auch für Datensicherheit zu sorgen, d.h. z.B. dass niemand unbefugt da herankommt oder auch dass Daten verloren gehen. Dazu gibt es sogar in der Anlage zum Gesetz einen Katalog an Anforderungen.
Veröffentlichungspflichtig sind die getroffenen Maßnahmen zum Datenschutz bzw. zur Datensicherheit aber nicht. Das wäre im Falle der Computersicherheit ggf. auch kontraproduktiv: Hacker könnten sich ja dann genau informieren, wie sie am besten einbrechen könnten.
Zum letzten Absatz: Das ist richtig, denn Datenschutz ist ein Recht, dass sich aus dem Grundrecht der informationellen Selbstbestimmung ableitet. Dies ist aus dem sog. Volkszählungsurteil hervorgegangen. So können nur Personen ein Recht auf informationelle Selbstbestimmung haben. Das heisst aber nicht, dass Daten von GmbHs und AG nicht z.B. als Betriebsgeheimnisse geschützt wären - nur eben nicht aufgrund des Datenschutzgesetzes.
Viele Grüße,
Ralf Becker
Hallo Herr Becker,
vielen Dank auch dafür. Sie haben sich ja richtig reingehängt:smile: Super.
Beste Grüße
Ulrike Wagner