• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Schnelle Hilfe bei Datenschutzproblemen
Start » Lexikon » Datengeheimnis

Wissenswertes

Lexikon

ABDEFHILMNPRSTVZ

Datengeheimnis

Die DSGVO oder das BDSG enthalten keine Legaldefinition für den Begriff des Datengeheimnisses. Im Grunde ist das Datengeheimnis aus dem Grundsatz von Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f) DSGVO abzuleiten. Demzufolge ist darunter zu verstehen, dass bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis).

Hieraus ergibt sich Folgendes:

  • Es erstreckt sich somit ein Datengeheimnis nicht lediglich nur auf Arbeitnehmerinnen/Arbeitnehmer des Verantwortlichen im arbeitsrechtlichen Sinne oder auf Beschäftigte gemäß § 28 Abs. 8 BDSG, sondern vielmehr auf alle diejenigen, welche regelmäßigen Umgang mit personenbezogenen Daten haben, unabhängig von ihrem arbeitsrechtlichen Status und dem Umfang ihrer Tätigkeit.
  • Es ist daher anzuraten, solche Personen auf ein Datengeheimnis zu unterwerfen, welches bei Beschäftigten nicht mit dem Ausscheiden aus dem Unternehmen endet.

Über die Pflicht zur Verschwiegenheit hinaus normiert Art. 5 Abs. 1 lit. f) DSGVO ein allgemeines Verbot der unbefugten Verarbeitung personenbezogener Daten, s.o. Aufgrund des präventiven Verbots mit Erlaubnisvorbehalt (Art. 5 Abs. 1 lit. a) DSGVO) ist jeder Umgang mit personenbezogenen Daten als unbefugt zu betrachten, sofern kein Erlaubnistatbestand hierzu das Verbot im konkreten Einzelfall durchbricht. Eine Verarbeitung personenbezogener Daten ohne einen einschlägigen und nachweisbaren Erlaubnistatbestand (oder über die im Rahmen des Erlaubnistatbestandes festgelegten Grenzen hinaus) stellt somit regelmäßig (auch) einen Bruch des Datengeheimnisses dar. Hieraus ergibt sich, dass die Frage, ob ein befugter oder ein unbefugter Zugriff vorliegt, nicht an der technischen Zugriffsberechtigung zu messen ist, sondern vielmehr daran, ob er im Rahmen der Erledigung einer dem Zugreifenden zugewiesenen Aufgabe erfolgte. Alle Zugriffe, welche außerhalb der Erledigung solcher Aufgabe vorgenommen werden, sind unbefugt, selbst wenn der den Zugriff vornehmende Beschäftigte über die erforderlichen Zugriffsberechtigungen verfügen sollte.

Aus dem genannten Grunde sollte angestrebt werden, die technischen und die rechtlichen Zugriffsberechtigungen so weit, wie möglich anzugleichen. Jedoch wird eine völlig identische Ausgestaltung zumeist nicht praktikabel sein, da kurzfristige und alltägliche Änderungen in den Aufgaben stets auch Anpassungen der jeweiligen Zugriffsrechte zur Folge hätten. Ferner könnte auf nicht planbare Abwesenheit, insbesondere Erkrankung einzelner Beschäftigter, nicht schnell und flexibel genug reagiert werden.

Zurück zur Übersicht