VERPFLICHTUNG AUF DAS DATENGEHEIMNIS: Was Unternehmen, Vereine und kirchliche Einrichtungen jetzt beachten müssen
05.02.2020
geändert am 29.07.2025
Wer mit personenbezogenen Daten arbeitet, übernimmt Verantwortung. Diese Verantwortung beginnt nicht erst beim Datenschutzvorfall, sondern schon viel früher: Haben Sie alle Personen, die mit Daten arbeiten, wirksam und dokumentiert zur Vertraulichkeit verpflichtet?
In diesem Beitrag erfahren Sie:
Wann eine Verpflichtung auf das Datengeheimnis notwendig ist
Was bei DSGVO und KDG unterschiedlich geregelt ist
Welche rechtssicheren Mustervorlagen Sie nutzen können
Wie Sie typische Fehler vermeiden und Risiken minimieren
1 WARUM IST DIE VERPFLICHTUNG AUF DAS DATENGEHEIMNIS SO WICHTIG?
Die DSGVO schreibt keine wörtliche Verpflichtungserklärung vor, verlangt aber nachweislich, dass jede Person, die personenbezogene Daten verarbeitet:
nur auf dokumentierte Weisung des Verantwortlichen handelt (Art. 29 DSGVO)
geeignete Maßnahmen zum Schutz der Vertraulichkeit trifft (Art. 32 Abs. 4 DSGVO)
der Verantwortliche diese Maßnahmen nachweisen kann (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht)
Das bedeutet: Eine schriftliche Verpflichtung ist zwar nicht explizit gefordert, aber rechtlich geboten, um Ihrer Rechenschaftspflicht nachzukommen – und im Fall einer Prüfung auf der sicheren Seite zu stehen.
Wichtig: Der häufig zitierte § 53 BDSG ist seit der DSGVO nur noch für Strafverfolgungsbehörden relevant – für private Unternehmen, Vereine oder kirchliche Einrichtungen gilt er nicht mehr.
2 WER MUSS VERPFLICHTET WERDEN – UND WANN?
Alle Personen, die Zugriff auf personenbezogene Daten haben, sollten vor Beginn ihrer Tätigkeit zur Vertraulichkeit verpflichtet werden. Dazu zählen insbesondere:
Mitarbeitende in HR, IT, Vertrieb, Kundenservice
Praktikant:innen, Werkstudierende, externe Dienstleister
Ehrenamtlich Engagierte – z. B. Vereinsvorstände, Helfer:innen, Gremienmitglieder
Vorstände, Aufsichtsgremien, Verwaltungsräte
Unser Tipp: Die Verpflichtung sollte direkt am ersten Tag erfolgen – und digital oder physisch dokumentiert werden.
3 WAS GEHÖRT IN EINE RECHTSSICHERE VERPFLICHTUNGSERKLÄRUNG?
Damit Ihre Verpflichtungserklärung DSGVO- bzw. KDG-konform ist, sollten folgende Inhalte enthalten sein:
Pflichtbestandteil | Erläuterung |
Rechtsbezug | DSGVO (Art. 29, 32 Abs. 4) oder KDG (§ 5) klar benennen |
Begriffsklärung | Was sind personenbezogene Daten? Mit Beispielen |
Dauer der Verpflichtung | Gilt auch nach Ende der Tätigkeit fort |
Rechtsfolgen | Hinweise auf arbeits-, straf- oder zivilrechtliche Konsequenzen |
Informationspflicht | Verweis auf interne Datenschutzrichtlinie / Datenschutzinformation |
Nachweisbarkeit | Ort, Datum, Unterschrift – und zentrale Ablage z. B. durch HR oder Datenschutz |
4 BESONDERHEIT FÜR KIRCHLICHE EINRICHTUNGEN: DAS KDG
In kirchlichen Einrichtungen (z. B. Pfarreien, Caritas, Ordenseinrichtungen) gilt das Kirchliche Datenschutzgesetz (KDG). Dieses enthält deutlich strengere Vorgaben:
§ 5 KDG verpflichtet schriftlich zur Vertraulichkeit.
Laut KDG-DVO (§ 2 Abs. 5) ist die Verpflichtung dokumentationspflichtig – Sie müssen sie gegenüber der Aufsichtsbehörde belegen können.
Es wird nicht unterschieden zwischen Haupt- und Ehrenamt – alle mit Datenzugriff müssen verpflichtet werden.
5 TYPISCHE FEHLER UND WIE SIE DIESE VERMEIDEN
Viele Organisationen machen bei der Verpflichtung auf das Datengeheimnis folgende Fehler:
Fehler | Risiko |
Keine schriftliche Verpflichtung | Keine Nachweisbarkeit – Bußgeldrisiko |
Veraltete Vorlagen mit § 5 BDSG-alt | Rechtlich ungültig |
Nur Rundmails oder allgemeine Infos | Keine rechtsverbindliche Zustimmung |
Keine Verpflichtung bei Ehrenamtlichen | Compliance-Lücke v.a. nach KDG |
Mit einer aktuellen, dokumentierten Verpflichtung stellen Sie sicher, dass Ihre Organisation im Falle einer Prüfung oder eines Datenschutzvorfalls nachweislich vorbereitet ist.
Ihre nächsten Schritte
Überprüfen Sie Ihre aktuellen Verpflichtungsvorlagen
Verpflichten Sie alle Datenverarbeiter:innen schriftlich – auch Ehrenamtliche
Dokumentieren Sie die Verpflichtungen revisionssicher
Fordern Sie unsere geprüften Vorlagen an oder lassen Sie Ihre bestehenden prüfen
Binden Sie die Verpflichtung in Ihre Onboarding-Prozesse ein
FAZIT:
Vertraulichkeit ist kein Nice-to-have, sondern Pflicht
Eine schriftliche Verpflichtung auf das Datengeheimnis gehört zur datenschutzrechtlichen Basis. Sie schützt nicht nur personenbezogene Daten, sondern auch Ihre Organisation vor rechtlichen und finanziellen Risiken.
EXTRA-TIPP
➡️ Jetzt zum Newsletter anmelden und kostenlose Vorlagen: „Verpflichtung zur Einhaltung des Datengeheimnisses für Beschäftigte DSGVO bzw. KDG“ erhalten.
JETZT HANDELN – WIR UNTERSTÜTZEN SIE!
DSGVO- und KDG-Check Ihrer Vorlagen gefällig?
Bedarf an rechtskonformer Umsetzung in Ihrem Unternehmen bzw. ihrer Organisation?
Unsicherheit bei Ehrenamtlichen oder Gremienmitgliedern?
Jetzt Beratungstermin buchen:
Termin vereinbaren
Oder per Mail: info@datafreshup.de
