Häufig werden Unternehmer, die IT Verträge mit Kunden abschließen, einen Hinweis auf § 5 Bundesdatenschutzgesetz (BDSG) oder auf das Datengeheimnis nach § 5 BDSG lesen, insbesondere dann, wenn solche Verträge zum Beispiel im Rahmen der Wartung Zugriff auf die Daten der Kunden erlauben. Diese Klauseln kommen dabei nicht nur in IT Verträgen vor, sondern in vielen Verträgen, bei denen eine Vertragspartei von der anderen Partei personenbezogene Daten erhält oder diese im Auftrag dieser Partei verarbeitet. Die anwaltliche Erfahrung zeigt aber, dass diese Regelungen entweder einfach überlesen oder – trotz „guter Vorsätze“ bei Vertragsabschluss – nicht umgesetzt werden.
Gesetzliche Verpflichtung
Das ist ein Fehler, denn schon § 5 BDSG gibt zwingend vor, dass bei der Datenverarbeitung beschäftigte Personen, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Sie sind also darüber zu belehren, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). § 5 BDSG lautet wie folgt:
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
Vertrag und Auftragsdatenverarbeitung
Daneben kann auch ein Verstoß gegen den Vertrag vorliegen, denn häufig enthalten entsprechende Verträge Klauseln, die eine Zusicherung des Unternehmens z.B. als Auftragnehmer oder Anbieter von Software-Wartung enthalten, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet sind.
Insbesondere wenn neben allgemeinen vertraglichen Vereinbarungen auch eine Vereinbarung über die Verarbeitung von Daten im Auftrag (Auftragsdatenverarbeitung im Sinne von § 11 BDSG = ADV) besteht, liegt dann sicherlich ein Verstoß gegen diese Vereinbarung vor, da solche Verträge fast immer eine solche ausdrückliche Klausel beinhalten oder jedenfalls im Rahmen der technischen und organisatorischen Maßnahmen eine Verpflichtung auf das Datengeheimnis erforderlich machen.
Die Umsetzung
Selbst wenn Unternehmen daran denken, ihre Mitarbeiter auf das Datengeheimnis zu verpflichten, wird dies oft nur im Rahmen des Arbeitsvertrages vorgenommen, ohne aber den Mitarbeiter wirklich über Inhalt, Ausmaß und Folgen des Verstoßes zu belehren. Daneben hat die Einbeziehung in den Arbeitsvertrag den Nachteil, dass – muss das Unternehmen im Rahmen eines Auftrages die Verpflichtungserklärungen vorlegen – dies nur durch Vorlage des jeweiligen Arbeitsvertrages erfolgen kann. Der Rat ist daher, die Belehrung in einem gesonderten Formblatt vorzunehmen und diesem eine entsprechende Belehrung beizufügen und zumindest den Mitarbeiter im Gespräch auf Bedeutung und Umfang des Datengeheimnisses hinzuweisen. Auch ist zu regeln, dass die Verpflichtung auf das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses oder der sonstigen Rechtbeziehung zum Mitarbeiter (gilt auch für freie Mitarbeiter) fortgilt.
Eigentlich ein geringer Aufwand, aber häufig unterschätzt. Nutzen Sie daher die anwaltliche Beratung, um hier einen einfachen aber effizienten Prozess aufzusetzen, der Ihnen zu diesem Thema Rechtssicherheit gibt.