Merkblatt zur Verpflichtung auf die Vertraulichkeit und zur Verpflichtung auf das Telekommunikationsgeheimnis
Die vorliegende Auswahl gesetzlicher Vorschriften soll Ihnen einen Überblick über das datenschutzrechtliche Regelwerk verschaffen. Die Darstellung erfolgt exemplarisch und ist keineswegs vollständig. Weitere Informationen zu daten-schutzrechtlichen Fragestellungen erhalten Sie beim betrieblichen Daten-schutzbeauftragten.
Begrifflichkeiten
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen – gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Beispiele hierfür sind: Adresse, Telefonnummer, Geburtsdatum, Foto, Arbeitgeber, Gehalt, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten und Arbeitsergebnisse. Auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) können personenbezogene Daten sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem in-frage kommenden Benutzer).
„Besondere Kategorien personenbezogener Daten“ sind solche Daten aus denen sich die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit ergeben. Darüber hinaus zählen genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ebenfalls zu den besonderen Kategorien personenbezogener Daten.
Hier gelten besondere Vorschriften, da diese Daten besonders schutzwürdig sind! In der CDU werden vorwiegend diese besonders schützenswerten Daten (Mitgliedschaft in der CDU, politische Meinung) verarbeitet.
„Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Das Fernmeldegeheimnis schützt nicht nur Telefonate und Faxe, sondern auch moderne Kommunikationsformen wie E-Mail. Es wird daher auch Telekommunikationsgeheimnis genannt. Es handelt sich um ein Grundrecht (Art. 10 des Grundgesetzes – GG), das in § 88 des Telekommunikationsgesetzes (TKG) und § 206 des Strafgesetzbuches (StGB) genauer geregelt ist. §§ 91 ff. TKG regeln den Datenschutz bei Telekommunikation. In besonderen Fällen kann statt des TKG auch die Datenschutz-Grundverordnung (DS-GVO), ggf. auch das Bundesdatenschutzgesetz (BDSG), anwendbar sein.
Das Fernmeldegeheimnis schützt einerseits den Inhalt der Kommunikation: Was wurde bei dem Telefonat besprochen? Welche Daten wurden übertragen? Was steht in der E-Mail oder der Chat-Nachricht? Und auch: Was steht im Betreff der E-Mail?
Das Fernmeldegeheimnis schützt andererseits aber auch die „näheren Umstände der Telekommunikation“: Wer hat wann mit wem telefoniert oder gemailt? Welche WWW-Seiten wurden aufgerufen? Wer hat vergeblich versucht, eine Telefonverbindung aufzubauen?
Nicht nur wir als Unternehmen, sondern auch Sie persönlich müssen das Fernmeldegeheimnis einhalten. Diese Pflicht ergibt sich übrigens bereits aus dem Gesetz (§ 88 TKG, § 206 StGB). Ihre heutige förmliche Verpflichtung auf das Fernmeldegeheimnis dient nur dazu, Ihnen deutlich zu machen, wie wichtig diese Pflicht ist.
Bitte beachten Sie: Das Fernmeldegeheimnis gilt zeitlich unbefristet, und zwar selbst dann, wenn Sie nicht mehr für uns tätig sind (so ausdrücklich § 88 Abs. 1 S. 2 TKG; dies gilt aber auch für § 206 StGB). Es gilt gegenüber allen Personen, die nicht dienstlich für die jeweilige Sache zuständig sind – also auch gegenüber allen anderen Kollegen, Ihrer Familie und der Presse.
Ihre Pflicht zur Wahrung des Fernmeldegeheimnisses
Informationen, die dem Fernmeldegeheimnis unterliegen, müssen Sie absolut vertraulich behandeln. Sie dürfen also beispielsweise nicht Einzelverbindungsnachweise oder Logfiles über Telekommunikationsverbindungen aus-werten, E-Mail-Postfächer einsehen oder Ähnliches, außer dies ist ausnahmsweise gesetzlich erlaubt. Die wichtigste Erlaubnis enthält § 88 Abs. 3 S. 1 TKG: Wenn wir den Telekommunikationsdienst nur erbringen können bzw. unsere Telekommunikationssysteme nur schützen können, wenn wir von be-stimmten dem Fernmeldegeheimnis unterliegenden Informationen Kenntnis haben, ist uns die Kenntnisnahme erlaubt. §§ 96 und 97 TKG erlauben uns, Verbindungsdaten zu speichern und zu verwenden, soweit das für die Abrechnung erforderlich ist. Zur Störungs- und Betrugsbekämpfung erlaubt uns § 100 TKG in bestimmten Fällen, Verbindungsdaten zu nutzen. (In besonderen Fällen kann statt des TKG auch die DS-GVO, evtl. das BDSG, anwendbar sein.) Welche Daten im konkreten Fall wofür gespeichert und genutzt werden dürfen, erläutert Ihnen Ihr Vorgesetzter.
Beachten Sie bitte, dass diese Erlaubnisse nur soweit bestehen, wie die Kennt-nis, Speicherung oder Nutzung unbedingt für den jeweiligen Zweck erforderlich ist. Müssen Sie zur Behebung eines technischen Fehlers beispielsweise zwingend in eine Mailbox schauen, dürfen Sie dies nur insoweit, wie es sich nicht vermeiden lässt: Genügt es etwa, den Header einer E-Mail auszuwerten, dürfen Sie den Nachrichtentext selbst nicht lesen. Natürlich dürfen Sie Dinge, die dem Fernmeldegeheimnis unterliegen, auch dann nicht weitersagen, wenn Sie zur Administration ausnahmsweise legal davon Kenntnis erlangt haben – auch nicht Ihrem Vorgesetzten. Ausnahme: Wenn Sie zufällig davon erfahren, dass eine schwere, in § 138 StGB genannte Straftat geplant wird.
Auskunftsverlangen
Es kann sein, dass die Polizei oder andere Stellen auf Sie zukommen und bestimmte Informationen wünschen, etwa zu Nutzern oder Angaben, die dem Telekommunikationsgeheimnis unterliegen. Derartige Anfragen leiten Sie bitte sofort an [Ansprechpartner, Telefon, usw.] weiter. Sie selbst dürfen keine Auskünfte erteilen, wenn dies nicht ausdrücklich zu Ihrem Aufgabengebiet gehört.
Folgen von Verstößen
Verstoßen Sie gegen das Fernmeldegeheimnis, drohen Ihnen dafür unter Um-ständen bis zu fünf Jahre Haft. § 206 StGB stellt es (unter anderem) unter Strafe, Informationen weiterzugeben, die dem Fernmeldegeheimnis unterliegen. Ebenfalls ist es strafbar, anvertraute Sendungen (insbesondere E-Mails) unbefugt zu unterdrücken, etwa zu löschen oder über längere Zeit zurückzuhalten.
Bestimmte Verstöße gegen das TKG können zudem ein Bußgeld zur Folge haben, z. B. wenn unzulässig Daten erhoben oder nicht gelöscht werden (§ 149 TKG). Unter Umständen kommen weitere Bußgeld- und Straftatbestände in Betracht, etwa Verstöße gegen das Datenschutzrecht (Art. 83 DS-GVO, §§ 42, 43 BDSG), Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG), Ausspähen von Daten (§ 202 a StGB), Computerbetrug (§ 263 a StGB).
Schwere Schäden für die CDU kann es verursachen, wenn eine so genannte Datenpanne öffentlich bekannt wird. Kunden verlieren das Vertrauen und nutzen nicht mehr unsere Dienste, wenn sie nicht sicher sein können, dass ihre Daten bei uns in guten Händen sind. Hinzu kommt, dass wir nach der Datenpannen Verordnung verpflichtet sein können, eine Datenpanne allen Betroffenen mitzuteilen und ggf. zusätzlich die Öffentlichkeit informieren müssen. Bitte helfen Sie mit, dass das Telekommunikationsgeheimnis bei uns immer gewahrt bleibt.
Kommt es durch Verstöße gegen das Fernmeldegeheimnis zu Schäden, müssen wir und ggf. auch Sie persönlich Schadensersatz leisten. Ihnen persönlich drohen zudem arbeitsrechtliche Konsequenzen, wenn Sie gegen das Fernmeldegeheimnis verstoßen. Denkbar sind je nach Schwere Ihres Fehlverhaltens insbesondere eine Abmahnung, eine fristgerechte Kündigung oder sogar eine fristlose Kündigung ohne vorherige Verwarnung.
Rechtliche Grundlagen
Art. 5 Abs. 1 lit. a DS-GVO: Personenbezogene Daten müssen […] auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).
Art. 5 Abs. 1 lit. f DS-GVO: Personenbezogene Daten müssen […] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Art. 9 Abs. 1: Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder welt-anschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Art. 9 Abs. 2: d) Die Verarbeitung der in Art. 9 Abs. 1 genannten Daten er-folgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
Art. 29 DS-GVO: Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Art. 32 Abs. 2 DS-GVO: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Art. 33 Abs. 1 Satz 1 DS-GVO: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Art. 82 Abs. 1 DS-GVO: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Art. 83 Abs. 1 DS-GVO: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,
- einem Dritten übermittelt oder
- auf andere Art und Weise zugänglich macht
und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
- ohne hierzu berechtigt zu sein, verarbeitet oder
- durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn be-stimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt
- eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
- eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
- eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.
(3) Die Absätze 1 und 2 gelten auch für Personen, die
1.
- Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
- von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
- mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Um-stände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
Wer rechtswidrig Daten […] löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Dienstanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste ein-schließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang. […]
Stand: April 2018
Source: Frauen Union der CDU Deutschlands
Geschäftsführerin
Klingelhöferstraße 8
10785 Berlin