Datengeheimnis, § 5 KDG

Was bedeutet die „Verpflichtung auf das Datengeheimnis“?

Nach § 5 KDG beinhaltet der Begriff „Datengeheimnis“ gegenüber den bei der Datenverarbeitung beschäftigten Personen das ausdrückliche Verbot, personenbezogene Daten unbefugt zu verarbeiten. Jede Person hat ein Recht auf informationelle Selbstbestimmung, d. h. das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

Das bedeutet, die Verarbeitung darf nur dann vorgenommen werden, wenn das KDG oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder die betroffene Person eingewilligt hat (§ 8 KDG).

Es geht also bei der Verpflichtung auf das Datengeheimnis nicht nur um die Wahrung eines Geheimnisses, sondern weit darüber hinaus, nämlich um die Verpflichtung jedes einzelnen Beschäftigten auf die Beachtung des gesetzlichen Verbots unbefugter Datenverarbeitung.

Zu was soll verpflichtet werden?

Die Verpflichtung der Beschäftigten auf die Einhaltung der datenschutzrechtlichen Bestimmungen folgt aus der Verantwortung des Verantwortlichen für die Einhaltung der datenschutzrechtlichen Grundsätze bei der Verarbeitung personenbezogener Daten. Der Verantwortliche muss dies nachweisen können (§ 7 Abs. 2 KDG). Vergleichbares gilt für den Auftragsverarbeiter (§ 29 Abs.1, Abs. 4 lit. b) KDG).

Wer ist zu verpflichten?

Jeder Verantwortliche muss die bei der Datenverarbeitung beschäftigten Personen auf das im oben genannten Sinn zu verstehende Datengeheimnis verpflichten. Der Kreis der auf das Datengeheimnis zu verpflichtenden Personen ist aufgrund der Bedeutung dieser Vorschrift weit auszulegen. Ergänzend zum regulären Mitarbeiterstamm sind auch Auszubildende, Praktikanten, freie Mitarbeiter, Leiharbeiter, das Reinigungspersonal und ehrenamtliche Helfer mit einzubeziehen.

Wann muss die Verpflichtung erfolgen?

Das Gesetz verlangt, dass die Verpflichtung auf das Datengeheimnis bei der Aufnahme der Tätigkeit erfolgt. Es reicht nicht aus, einen entsprechenden Passus in den Arbeitsvertrag aufzunehmen. Vielmehr ist die Verpflichtung auf das Datengeheimnis bei der Aufnahme der Tätigkeit in jedem Fall gesondert vorzunehmen. Unproblematisch ist das bei Neueinstellungen ab dem 24. Mai 2018. Hier sollte mit Beginn der Tätigkeit (erster Arbeitstag) eine solche Verpflichtung unterzeichnet werden. Die bereits nach § 4 KDO auf das Datengeheimnis verpflichteten Personen sollten über die neuen gesetzlichen Grundlagen in entsprechender Form informiert werden. Eine erneute schriftliche Erklärung ist nicht zwingend erforderlich. Ein Nachweis über die Information der Bestandsmitarbeiter zum neuen kirchlichen Datenschutzgesetz sollte dokumentiert werden.

Wie muss eine Verpflichtung erfolgen?

Zuständig für die Verpflichtung ist der Verantwortliche oder eine von ihm beauftragte Person.

Die Verpflichtung enthält die Aufforderung, das Verbot unbefugter Datenverarbeitung zu beachten. Zur Verpflichtung gehört auch eine Belehrung über die sich aus dem Datengeheimnis ergebenden Pflichten. Der neue Mitarbeiter muss darüber informiert werden, was er in datenschutzrechtlicher Hinsicht bei seiner täglichen Arbeit beachten muss. Das setzt zumindest voraus, dass das KDG und die Texte der übrigen für die Tätigkeit des neuen Mitarbeiters erforderlichen Datenschutzvorschriften zur Einsichtnahme bereit stehen und gegebenenfalls auch für kurze Zeit ausgeliehen werden dürfen. Die Möglichkeit, neue Mitarbeiter durch den betrieblichen Datenschutzbeauftragten (§ 38 S. 3 lit. c) KDG) mit den Vorschriften des kirchlichen Datenschutzgesetzes sowie andere Vorschriften über den Datenschutz vertraut zu machen, sollte genutzt werden.

Aus Nachweisgründen ist es wichtig, die Verpflichtung auf das Datengeheimnis von dem zu Verpflichteten schriftlich bestätigen zu lassen.

 

Unsere Muster zu Verpflichtungserklärungen:

Bei den auf dieser Seite bereitgestellten Formularen handelt es sich um ausfüllbare PDF- Dateien.

Falls Ihr Web-Browser diese Funktion nicht unterstützt, bitten wir Sie die Datei entweder über den Internetexplorer zu öffnen (hier wird die Funktion meist unterstützt) oder die Datei abzuspeichern und mit einem PDF-Reader zu öffnen.

Bitte beachten Sie (gilt für die Verpflichtungserklärung von haupt- und nebenamtlichen sowie für ehrenamtliche Mitarbeitende):

Für die "spezifisch geltenden Bestimmungen" (Nr. 2) gibt es keine von unserer Seite erstellten verschiedenen Versionen. Ob bzw. welche spezifischen Bestimmungen es für die jeweilige Tätigkeit gibt, ist von den Verantwortlichen vor Ort zu prüfen.

Hierunter können zum Beispiel spezielle Regelungen des Sozialdatenschutzes oder Dienstanweisungen, wie etwa eine Postordnung o. Ä. fallen oder das Beicht- und Seelsorgegeheimnis nach dem CIC.

Sollte es keine spezifischen Bestimmungen geben, können Sie die Lücke freilassen.

Verpflichtungserklärung zum Datengeheimnis gemäß § 5 KDG (hauptamtliche Mitarbeitende, Kurie)

Verpflichtungserklärung zum Datengeheimnis gemäß § 5 KDG (haupt- und nebenamtliche Mitarbeitende)

Verpflichtungserklärung zum Datengeheimnis gemäß § 5 KDG (ehrenamtliche Mitarbeitende)

 

=> Formulierungshilfe der Konferenz der Datenschutzbeauftragten zur Verpflichtungserklärung zum Datengeheimnis gemäß § 5 KDG

 

Erlasse des Generalvikars zur Verpflichtungserklärung gemäß § 5 KDG:

Erlass des Generalvikars zu § 5 KDG betreffend die Mitarbeitenden der Kurie

Erlass des Generalvikars zu § 5 KDG betreffend die haupt- und nebenamtlichen sowie die ehrenamtlichen Mitarbeitenden kirchlicher Stellen