Wenn Mitarbeiter sich weigern, eine Verpflichtung auf Vertraulichkeit bzw. eine Verschwiegenheitserklärung zu unterschreiben, kann dies äußerst unangenehm für Arbeitgeber werden. Daran ändert auch eine derzeit oft zitierte Stellungnahme einer Datenschutzbehörde nichts.
Die Pflicht zur Verpflichtung
Im altehrwürdigen Bundesdatenschutzgesetz fand sich in § 5 BDSG a.F. noch das Datengeheimnis. In der Datenschutz-Grundverordnung (DSGVO) gibt es dieses Geheimnis begrifflich nicht mehr und eine Aussage über die Verpflichtung zur Vertraulichkeit findet sich ausdrücklich nur noch in Art. 28 DSGVO in Bezug auf Auftragsverarbeitungs-Verhältnisse.
Es ist aber völlig unstreitig, dass eine Verpflichtung und entsprechende Schulung bzw. Sensibilisierung von Mitarbeitern hinsichtlich ihrer Datenschutzpflichten und damit auch zur notwendigen Vertraulichkeit zu den wesentlichen technischen und organisatorischen Maßnahmen (TOM) gehören. Nachdem Verantwortliche solche Maßnahmen auch nachweisen können müssen, hat sich an der Praxis, Mitarbeiter entsprechend schriftlich zu verpflichten, nicht viel geändert.
Tipp: Nutzen Sie unsere kostenlose Vorlage für die Verpflichtung von Mitarbeitern auf Vertraulichkeit.
Merkwürdige Ansicht des BayLDA
Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in seinem kürzlich erschienenen 11. Tätigkeitsbericht eine bemerkenswerte Aussage dazu getroffen, die mittlerweile auch in Fachkreisen leider wenig reflektiert wiederholt wird.
Kernaussage des BayLDA im Kapitel 11.3 des Berichts ist, dass es unerheblich sein soll, wenn sich Mitarbeiter weigern, die Verpflichtung zur Vertraulichkeit zu unterschreiben. Es wäre vielmehr ausreichend, wenn der entsprechende Prozess nachgewiesen werden könnte. Soweit der Arbeitgeber Mitarbeiter auf ihre Pflichten hinweist und gegebenenfalls den Umstand der Weigerung vermerkt, wären die Pflichten demnach erfüllt.
Delegation muss sorgfältig erfolgen
Wie aber bitte schön ist es mit der Haftung von Verantwortlichen in Bezug auf ihr Auswahlverschulden? Die ganz allgemein bestehende Sorgfaltspflicht erfordert es, bei der Übertragung jeglicher Aufgabe darauf zu achten, dass der Beauftragte sowohl fachlich als auch persönlich entsprechend geeignet ist (siehe dazu auch unser Ratgeber über Verantwortung, Haftung und Delegierbarkeit beim Datenschutz).
Wie soll in diesem Zusammenhang damit umgegangen werden, wenn sich ein Mitarbeiter explizit weigert, einfachste und grundlegende Anforderungen im Datenschutz zu erfüllen? Der Nachweis, eine geeignete Person eingesetzt zu haben, würde wohl kaum gelingen. Im Gegenteil: Der vorsätzliche Verstoß gegen das Gebot, nur persönlich geeignete Personen einzusetzen, wäre nach Ansicht der Behörde ja sogar auch noch zu dokumentieren.
Dies passt hinten und vorne nicht zusammen und stellt aus unserer Sicht ein massives Haftungsrisiko dar!
Arbeitgeber sollten vielmehr kritisch überlegen, wie mit Mitarbeitern umgegangen werden muss, die sich ausdrücklich weigern, das Unternehmen bei der Erfüllung der eigenen Compliance- Verpflichtungen zu unterstützen und damit mindestens gegen eine arbeitsvertragliche Nebenpflicht verstoßen. Nach unserer Ansicht kann und muss dies die vorhersehbaren arbeitsrechtlichen Konsequenzen haben. Zumindest darüber, ob der sich verweigernde Mitarbeiter ohne Änderungen im Aufgabenbereich einfach weiterbeschäftigt werden darf, muss nachgedacht werden.
Auffallend ist, dass im Kontext Datenschutz offenbar von einzelnen Verantwortlichen auch in diesem Fall wieder ein ganz anderer Maßstab angelegt wird als er sonst völlig selbstverständlich wäre. Würde ein Mitarbeiter beispielsweise nicht zusagen wollen, die Finger aus der Kasse zu lassen oder Umweltschutzvorgaben zu beachten, wäre doch wahrscheinlich im Zweifel niemand auf die Idee gekommen, dafür bei der Aufsicht nachzufragen.
Fazit: Im Zweifel haftet der Arbeitgeber
Wenn sich ein Mitarbeiter ausdrücklich weigert, datenschutzrechtlich notwendige Maßnahmen mitzutragen, muss das für jeden Arbeitgeber ein deutliches Alarmzeichen sein. Nicht zu reagieren, erzeugt fast vorhersehbar ein Haftungsrisiko.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!