VERPFLICHTUNG AUF DAS DATENGEHEIMNIS: Was Unternehmen, Vereine und kirchliche Einrichtungen jetzt beachten müssen

05.02.2020

Illustration eines Geschäftsmanns mit orangefarbener Krawatte, der mit einem Stift auf einem gelb-orangefarbenen Dokument unterschreibt – Symbol für Vertragsunterzeichnung und rechtliche Verpflichtung, im Kontext Datenschutz und Datengeheimnis.

geändert am 29.07.2025

Wer mit personenbezogenen Daten arbeitet, übernimmt Verantwortung. Diese Verantwortung beginnt nicht erst beim Datenschutzvorfall, sondern schon viel früher: Haben Sie alle Personen, die mit Daten arbeiten, wirksam und dokumentiert zur Vertraulichkeit verpflichtet?


In diesem Beitrag erfahren Sie:

  •  Wann eine Verpflichtung auf das Datengeheimnis notwendig ist

  •  Was bei DSGVO und KDG unterschiedlich geregelt ist

  •  Welche rechtssicheren Mustervorlagen Sie nutzen können

  •  Wie Sie typische Fehler vermeiden und Risiken minimieren

1        WARUM IST DIE VERPFLICHTUNG AUF DAS DATENGEHEIMNIS SO WICHTIG?

Die DSGVO schreibt keine wörtliche Verpflichtungserklärung vor, verlangt aber nachweislich, dass jede Person, die personenbezogene Daten verarbeitet:

  • nur auf dokumentierte Weisung des Verantwortlichen handelt (Art. 29 DSGVO)

  • geeignete Maßnahmen zum Schutz der Vertraulichkeit trifft (Art. 32 Abs. 4 DSGVO)

  • der Verantwortliche diese Maßnahmen nachweisen kann (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht)

 Das bedeutet: Eine schriftliche Verpflichtung ist zwar nicht explizit gefordert, aber rechtlich geboten, um Ihrer Rechenschaftspflicht nachzukommen – und im Fall einer Prüfung auf der sicheren Seite zu stehen.


Wichtig: Der häufig zitierte § 53 BDSG ist seit der DSGVO nur noch für Strafverfolgungsbehörden relevant – für private Unternehmen, Vereine oder kirchliche Einrichtungen gilt er nicht mehr.

2       WER MUSS VERPFLICHTET WERDEN – UND WANN?


Alle Personen, die Zugriff auf personenbezogene Daten haben, sollten vor Beginn ihrer Tätigkeit zur Vertraulichkeit verpflichtet werden. Dazu zählen insbesondere:

  • Mitarbeitende in HR, IT, Vertrieb, Kundenservice

  • Praktikant:innen, Werkstudierende, externe Dienstleister

  • Ehrenamtlich Engagierte – z. B. Vereinsvorstände, Helfer:innen, Gremienmitglieder

  • Vorstände, Aufsichtsgremien, Verwaltungsräte

Unser Tipp: Die Verpflichtung sollte direkt am ersten Tag erfolgen – und digital oder physisch dokumentiert werden.

3       WAS GEHÖRT IN EINE RECHTSSICHERE VERPFLICHTUNGSERKLÄRUNG?

Damit Ihre Verpflichtungserklärung DSGVO- bzw. KDG-konform ist, sollten folgende Inhalte enthalten sein:

Pflichtbestandteil

Erläuterung

Rechtsbezug

DSGVO (Art. 29, 32 Abs. 4) oder KDG (§ 5) klar benennen

Begriffsklärung

Was sind personenbezogene Daten? Mit Beispielen

Dauer der Verpflichtung

Gilt auch nach Ende der Tätigkeit fort

Rechtsfolgen

Hinweise auf arbeits-, straf- oder zivilrechtliche Konsequenzen

Informationspflicht

Verweis auf interne Datenschutzrichtlinie / Datenschutzinformation

Nachweisbarkeit

Ort, Datum, Unterschrift – und zentrale Ablage z. B. durch HR oder Datenschutz

 

4      BESONDERHEIT FÜR KIRCHLICHE EINRICHTUNGEN: DAS KDG


In kirchlichen Einrichtungen (z. B. Pfarreien, Caritas, Ordenseinrichtungen) gilt das Kirchliche Datenschutzgesetz (KDG). Dieses enthält deutlich strengere Vorgaben:

  • § 5 KDG verpflichtet schriftlich zur Vertraulichkeit.

  • Laut KDG-DVO (§ 2 Abs. 5) ist die Verpflichtung dokumentationspflichtig – Sie müssen sie gegenüber der Aufsichtsbehörde belegen können.

  • Es wird nicht unterschieden zwischen Haupt- und Ehrenamt – alle mit Datenzugriff müssen verpflichtet werden.

5       TYPISCHE FEHLER UND WIE SIE DIESE VERMEIDEN

Viele Organisationen machen bei der Verpflichtung auf das Datengeheimnis folgende Fehler:

Fehler

Risiko

Keine schriftliche Verpflichtung

Keine Nachweisbarkeit – Bußgeldrisiko

Veraltete Vorlagen mit § 5 BDSG-alt

Rechtlich ungültig

Nur Rundmails oder allgemeine Infos

Keine rechtsverbindliche Zustimmung

Keine Verpflichtung bei Ehrenamtlichen

Compliance-Lücke v.a. nach KDG


Mit einer aktuellen, dokumentierten Verpflichtung stellen Sie sicher, dass Ihre Organisation im Falle einer Prüfung oder eines Datenschutzvorfalls nachweislich vorbereitet ist

Ihre nächsten Schritte

  1.  Überprüfen Sie Ihre aktuellen Verpflichtungsvorlagen

  2.  Verpflichten Sie alle Datenverarbeiter:innen schriftlich – auch Ehrenamtliche

  3.  Dokumentieren Sie die Verpflichtungen revisionssicher

  4.  Fordern Sie unsere geprüften Vorlagen an oder lassen Sie Ihre bestehenden prüfen

  5.  Binden Sie die Verpflichtung in Ihre Onboarding-Prozesse ein

FAZIT:

Vertraulichkeit ist kein Nice-to-have, sondern Pflicht
Eine schriftliche Verpflichtung auf das Datengeheimnis gehört zur datenschutzrechtlichen Basis. Sie schützt nicht nur personenbezogene Daten, sondern auch Ihre Organisation vor rechtlichen und finanziellen Risiken.

EXTRA-TIPP

➡️ Jetzt zum Newsletter anmelden und kostenlose Vorlagen: „Verpflichtung zur Einhaltung des Datengeheimnisses für Beschäftigte DSGVO bzw. KDG“ erhalten.


JETZT HANDELN – WIR UNTERSTÜTZEN SIE!

 DSGVO- und KDG-Check Ihrer Vorlagen gefällig?
 Bedarf an rechtskonformer Umsetzung in Ihrem Unternehmen bzw. ihrer Organisation?
Unsicherheit bei Ehrenamtlichen oder Gremienmitgliedern?

Jetzt Beratungstermin buchen:
Termin vereinbaren
 Oder per Mail: info@datafreshup.de