
Vertraulichkeitsverpflichtung: Muster & Praxistipps
Eine Vertraulichkeitsverpflichtung ist die formelle Erklärung, mit der Beschäftigte und externe Kräfte schriftlich auf den vertraulichen Umgang mit personenbezogenen Daten und Geschäftsgeheimnissen verpflichtet werden. Das alte Datengeheimnis nach § 5 BDSG a.F. ist mit der DSGVO ersatzlos weggefallen. Die Pflicht zur Vertraulichkeit besteht trotzdem fort. Sie ergibt sich heute aus Art. 5 Abs. 1 lit. f DSGVO (Grundsatz der Integrität und Vertraulichkeit), Art. 29 DSGVO und Art. 32 Abs. 4 DSGVO sowie aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wer keine dokumentierte Verpflichtung vorweisen kann, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.
Das Wichtigste zur Vertraulichkeitsverpflichtung
- Eine Vertraulichkeitsverpflichtung ist nach der DSGVO weiterhin verpflichtend, obwohl das alte Datengeheimnis nach § 5 BDSG a.F. ersatzlos weggefallen ist.
- Ohne dokumentierte Verpflichtung drohen erhebliche aufsichtsrechtliche Risiken; die genauen Sanktionsrahmen zeigt der Abschnitt zu den Sanktionen.
- Die Verpflichtung muss alle Personen erfassen, die personenbezogene Daten verarbeiten. Das schließt Zeitarbeitskräfte, Praktikanten, Freelancer und externe Dienstleister ein.
- Eine rechtssichere Verpflichtungserklärung deckt Rechtsgrundlagen, Umfang der Vertraulichkeitspflicht, Sanktionen und die Fortgeltung nach Vertragsende ab.
- Die Verpflichtung lässt sich digital einholen und sollte durch regelmäßige Sensibilisierungsmaßnahmen begleitet werden.
Warum die Verpflichtung zur Vertraulichkeit nach der DSGVO unverzichtbar bleibt
Drei DSGVO-Vorschriften greifen hier ineinander. Art. 5 Abs. 1 lit. f DSGVO definiert Integrität und Vertraulichkeit als Schutzziel. Art. 32 Abs. 4 DSGVO konkretisiert dies als organisatorische Pflicht gegenüber Beschäftigten, und Art. 29 DSGVO bindet alle weisungsgebundenen Personen mit Datenzugang ein. Diese drei Vorschriften ersetzen § 5 BDSG a.F. materiell und gehen in der Reichweite weiter, weil sie auch Personen mit tatsächlichem Zugriff auf personenbezogene Daten erfassen.
Für Unternehmen ist vor allem der Nachweis entscheidend. Die Aufsichtsbehörden erwarten eine substanzielle Unterrichtung und Verpflichtung von Beschäftigten, also nicht nur eine Unterschrift, sondern auch eine nachvollziehbare Belehrung über Pflichten, typische Risiken und zulässige Verarbeitungen. Fehlt diese Dokumentation, fehlt bei Prüfungen ein zentrales Organisations- und Nachweisdokument.
Abgrenzung zum NDA und zum Geschäftsgeheimnisgesetz
Die Vertraulichkeitsverpflichtung wird in der Praxis häufig mit einem NDA oder mit Schutzmaßnahmen nach dem Geschäftsgeheimnisgesetz verwechselt. Inhaltlich überschneiden sich die Instrumente zwar, rechtlich verfolgen sie aber unterschiedliche Zwecke. Für eine saubere Vertragsgestaltung ist es sinnvoll, die Funktionen klar zu trennen und die passende Regelung dem jeweiligen Schutzgut zuzuordnen.
Gerade im Personalbereich, in der IT oder in der Produktentwicklung entstehen sonst schnell Mischdokumente, die zwar vieles ansprechen, aber Pflichten und Rechtsgrundlagen unscharf lassen. Eine klare Abgrenzung erleichtert die Schulung, verbessert die Dokumentation und senkt das Risiko, dass einzelne Schutzpflichten in der Praxis übersehen werden.
| Kriterium | Datenschutzrechtliche Vertraulichkeitsverpflichtung | NDA / GeschGehG |
|---|---|---|
| Rechtsgrundlage | Art. 5 Abs. 1 lit. f, Art. 29, Art. 32 Abs. 4 DSGVO | Vertraglich als NDA sowie flankierend nach dem Geschäftsgeheimnisgesetz (GeschGehG) |
| Schutzgegenstand | Personenbezogene Daten und datenschutzbezogene Verarbeitungsvorgänge | Geschäftliche Informationen, Know-how, Entwicklungsdaten, Kalkulationen und sonstige Geschäftsgeheimnisse |
| Betroffene Personen | Beschäftigte und sonstige Personen mit Datenzugang | Vertragspartner, Beschäftigte, Berater oder Projektbeteiligte mit Zugang zu geheimhaltungsbedürftigen Informationen |
| Typische Form | Belehrung plus dokumentierte Verpflichtungserklärung | Vertragliche Verschwiegenheitsklausel oder gesondertes NDA |
Ein NDA ist damit kein Ersatz für die datenschutzrechtliche Vertraulichkeitsverpflichtung. Umgekehrt schützt eine DSGVO-Verpflichtung nicht automatisch Geschäftsgeheimnisse im Sinne des GeschGehG. In der Praxis empfiehlt sich häufig ein Dokument mit getrennten Abschnitten: ein Abschnitt für personenbezogene Daten, ein weiterer für geschäftliche Geheimnisse.
Welche Personen müssen verpflichtet werden?
Die Vertraulichkeitsverpflichtung erfasst deutlich mehr als nur klassische Sachbearbeiter in HR oder Buchhaltung. IT-Administratoren, Empfangskräfte, Auszubildende, Werkstudenten und Geschäftsführer sind gleichermaßen einzubeziehen, sobald ein Zugriff auf personenbezogene Daten möglich ist. Der richtige Zeitpunkt liegt vor dem ersten Datenzugriff, idealerweise am ersten Arbeitstag im Rahmen des Onboardings.
In vielen Unternehmen wird der tatsächliche Datenzugang unterschätzt. Reinigungskräfte betreten unverschlossene Büros, Hausmeister verfügen über Generalschlüssel zu Serverräumen, und Werkstudenten arbeiten mit Kunden- oder Bewerberdaten. Ein praktikabler Grundsatz lautet daher: Wer einen Systemzugang, einen Schlüssel oder eine Zugangskarte erhält, wird vor Aushändigung verpflichtet und kurz geschult.
Für die Praxis ist außerdem wichtig, zwischen verschiedenen Personengruppen sauber zu unterscheiden. Nicht jede externe Kraft ist datenschutzrechtlich gleich einzuordnen. Gerade bei Auftragsverarbeitern und Leiharbeitnehmern gelten unterschiedliche rechtliche Anforderungen, die in der Vertraulichkeitsverpflichtung und in den begleitenden Verträgen sauber abgebildet werden sollten.
Freelancer und Subunternehmer: Pflichten nach Art. 28 DSGVO
Freelancer und Subunternehmer fallen häufig unter die Auftragsverarbeitung nach Art. 28 DSGVO, wenn sie personenbezogene Daten weisungsgebunden im Auftrag eines Unternehmens verarbeiten. Art. 28 Abs. 3 lit. b DSGVO verlangt ausdrücklich, dass der Auftragsverarbeiter die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet hat. Der Auftraggeber sollte sich diese Verpflichtung nicht nur zusichern lassen, sondern im AV-Vertrag auch die Schulung, Dokumentation und Kontrollrechte angemessen regeln.
Besonders relevant ist das bei externen HR-Dienstleistern, IT-Support, Lohnabrechnung oder Cloud-basierten Backoffice-Leistungen. Die Vertraulichkeitsverpflichtung sollte dort nicht abstrakt bleiben, sondern typische Verarbeitungssituationen benennen, etwa Zugriff auf Bewerbungsunterlagen, Personaldaten oder Support-Tickets mit sensiblen Inhalten.
Leiharbeitnehmer: Verpflichtungspflicht und Verantwortlichkeit richtig einordnen
Bei Leiharbeitnehmern sind Verleiher und Entleiher datenschutzrechtlich in der Regel getrennte eigene Verantwortliche oder gemeinsam Verantwortliche nach Art. 26 DSGVO, je nach konkreter Verarbeitungssituation. Das Arbeitnehmerüberlassungsgesetz regelt die arbeitsrechtliche Beziehung, die datenschutzrechtliche Verantwortlichkeit ergibt sich dagegen aus der DSGVO. Gerade deshalb darf die Verpflichtung zur Vertraulichkeit nicht pauschal nur einer Seite zugeschrieben werden.
Für die Praxis bedeutet das: Der Entleiher muss sicherstellen, dass Leiharbeitnehmer vor dem ersten tatsächlichen Zugriff auf personenbezogene Daten belehrt und in die betrieblichen Datenschutzvorgaben eingebunden werden. Parallel sollte der Verleiher für die eigenen Verarbeitungsvorgänge, etwa im Bewerbungs- und Überlassungsprozess, ebenfalls tragfähige Datenschutzmaßnahmen dokumentieren. Professionelle Personaldienstleister wie Starke Jobs verankern die datenschutzkonforme Verpflichtung deshalb als festen Bestandteil des Onboardings.

Quelle: Pixabay
Aufbau einer rechtssicheren Verpflichtungserklärung
Eine belastbare Vertraulichkeitsverpflichtung besteht nicht nur aus einer Unterschrift unter einem kurzen Standardsatz. Sie sollte so aufgebaut sein, dass Beschäftigte die Pflichten verstehen und Unternehmen den Inhalt später auch nachweisen können. Entscheidend ist eine Verbindung aus verständlicher Belehrung, konkretem Tätigkeitsbezug und sauberer Dokumentation.
Je konkreter das Dokument auf Branche, Rolle und Datenzugriffe zugeschnitten ist, desto höher ist sein praktischer Wert. Eine pauschale Übernahme fremder Muster ohne Anpassung an die eigene Organisation schafft dagegen schnell Lücken, etwa wenn Spezialnormen oder typische Risikoquellen im Arbeitsalltag gar nicht erwähnt werden.
- Rechtsgrundlagen-Verweis: Art. 5 Abs. 1 lit. f DSGVO, Art. 29 DSGVO und Art. 32 Abs. 4 DSGVO; bei Berufsgeheimnisträgern ergänzt um Spezialnormen wie § 203 StGB oder § 57 StBerG.
- Umfang der Vertraulichkeitspflicht: Beschreibung der betroffenen Datenkategorien und der typischen Verarbeitungssituationen im konkreten Tätigkeitsbereich.
- Hinweis auf Weisungsbindung: Verarbeitung personenbezogener Daten nur im Rahmen zulässiger interner Vorgaben und erteilter Weisungen.
- Sanktionshinweis: Kurzer Verweis auf mögliche arbeits-, zivil- und strafrechtliche Folgen bei Verstößen.
- Fortgeltungsklausel: Klarstellung, dass die Verpflichtung auch nach Beendigung des Beschäftigungsverhältnisses fortbesteht.
- Branchenspezifische Ergänzungen: Zum Beispiel zum Sozialgeheimnis nach § 35 SGB I oder zum Fernmeldegeheimnis, wenn dies für die Tätigkeit relevant ist.
- Dokumentation: Ort, Datum, Unterschrift oder elektronische Bestätigung sowie Nachweis der Aushändigung oder Schulung.
Bewährt hat sich eine zweistufige Struktur. Die erste Seite enthält eine verständliche Belehrung mit Beispielen aus dem Arbeitsalltag, etwa keine Bewerbungsunterlagen am Drucker liegen zu lassen oder Personalakten nicht unverschlüsselt zu versenden. Die zweite Seite dokumentiert die eigentliche Verpflichtungserklärung mit Rechtsgrundlagen, Sanktionshinweisen und Bestätigung.
Wenn etwa das Sozialgeheimnis nach § 35 SGB I oder das Fernmeldegeheimnis einschlägig ist und im Dokument fehlt, entstehen gefährliche Lücken. Die Vertraulichkeitsverpflichtung sollte daher immer mit Blick auf konkrete Tätigkeiten, Datenarten und branchenspezifische Vorgaben geprüft werden.
Form der Vertraulichkeitsverpflichtung und richtiger Zeitpunkt im Onboarding
Die DSGVO schreibt keine bestimmte Form ausdrücklich vor. In der Praxis führt die Nachweispflicht aber dazu, dass eine schriftliche oder elektronisch dokumentierte Vertraulichkeitsverpflichtung faktisch unverzichtbar ist. Unternehmen sollten deshalb nicht nur auf den Inhalt achten, sondern auch auf eine belastbare Dokumentation im Personal- oder Compliance-Prozess.
Ebenso wichtig ist der richtige Zeitpunkt. Die Verpflichtung sollte vor dem ersten Zugriff auf personenbezogene Daten eingeholt werden und als fester Schritt im Onboarding hinterlegt sein. So lässt sich vermeiden, dass Beschäftigte bereits mit Daten arbeiten, bevor sie über Pflichten, Verbote und Meldewege informiert wurden.
Formerfordernis: Warum Schriftlichkeit faktisch Pflicht ist
Mündliche Belehrungen sind rechtlich nicht ausgeschlossen, in der Praxis aber kaum beweissicher. Wenn bei einer Prüfung weder eine unterschriebene Erklärung noch eine belastbare elektronische Bestätigung vorliegt, fehlt ein zentrales Nachweisdokument. Alt-Verpflichtungen nach § 5 BDSG a.F. sollten zudem inhaltlich überprüft und aktualisiert werden, weil sie die heutige DSGVO-Systematik oft nicht vollständig abbilden.
Sinnvoll ist eine standardisierte Ablage mit Versionsstand, Datum der Belehrung und Zuordnung zur konkreten Rolle. So lässt sich später nachvollziehen, welche Fassung der Vertraulichkeitsverpflichtung für welche Person galt und ob ergänzende Schulungen erfolgt sind.
Zeitpunkt: Verpflichtung vor dem ersten Datenzugriff
Der beste Zeitpunkt liegt vor oder spätestens am ersten Arbeitstag, bevor Zugänge, Schlüssel oder Geräte ausgehändigt werden. Ein automatisierter HR-Workflow kann sicherstellen, dass Systemfreigaben erst nach dokumentierter Vertraulichkeitsverpflichtung und kurzer Erstunterweisung erteilt werden. Das ist besonders relevant in Bereichen mit hohem Wechsel, etwa in Produktion, Logistik, Pflege, Kundenservice oder Zeitarbeit.
Auch bei internen Rollenwechseln sollte der Zeitpunkt neu bewertet werden. Wer von der Produktion in die Personalabteilung, in die IT oder in den Einkauf wechselt, erhält oft Zugriff auf andere Datenkategorien und braucht deshalb eine angepasste Belehrung.
Digitale Einholung per E-Learning und elektronischer Signatur
Die qualifizierte elektronische Signatur nach eIDAS-Verordnung bietet die höchste Beweiskraft. Auch eine fortgeschrittene elektronische Signatur kann datenschutzrechtlich ausreichend sein, wenn Identität, Integrität und Dokumentation des Vorgangs zuverlässig gesichert sind.
Ein praxistauglicher Prozess umfasst drei Schritte: zuerst ein kompaktes E-Learning-Modul von 15 bis 20 Minuten, dann eine kurze Wissensabfrage mit dokumentiertem Ergebnis und anschließend die elektronische Bestätigung der Vertraulichkeitsverpflichtung. Unternehmen wie Starke Jobs können Datenschutzsensibilisierung auf diese Weise als festen Bestandteil des Onboardings verankern.
Vertraulichkeitsverpflichtung im Homeoffice: Klauseln und konkrete Pflichten
Die Vertraulichkeitsverpflichtung endet nicht an der Bürotür. Gerade im Homeoffice steigt das Risiko, dass Familienmitglieder, Besucher oder Mitbewohner unbeabsichtigt Einsicht in personenbezogene Daten nehmen. Deshalb sollte die Verpflichtung ausdrücklich um Regeln für mobiles Arbeiten ergänzt werden.
Eine gute Homeoffice-Klausel bleibt nicht abstrakt, sondern benennt konkrete Verhaltenspflichten. Dazu gehören das Sperren von Bildschirmen, die geschützte Aufbewahrung von Unterlagen, die Trennung beruflicher und privater Geräte sowie klare Vorgaben für Ausdrucke, Telefonate und Videokonferenzen.
Konkret bedeutet das: Bildschirme sind bei jeder Unterbrechung zu sperren, Papierunterlagen verschlossen aufzubewahren, und eine Verarbeitung auf privaten Geräten darf nur mit ausdrücklicher Genehmigung erfolgen. Wer BYOD zulässt, braucht eine separate Nutzungsrichtlinie mit Vorgaben zu Festplattenverschlüsselung, VPN und Zugriffsschutz.
Die Klausel sollte außerdem regeln, dass Telefonate und Videokonferenzen mit personenbezogenem Inhalt nur in geschlossenen Räumen geführt werden dürfen. Ausgedruckte Dokumente mit personenbezogenen Daten müssen ins Büro zurückgebracht und dort datenschutzkonform vernichtet werden. Im Homeoffice steht in der Regel kein Aktenvernichter mit ausreichender Sicherheitsstufe zur Verfügung; erforderlich ist mindestens P-3, für sensible Personaldaten empfohlen P-4 nach DIN 66399.

Quelle: Pixabay
Vertraulichkeitsverpflichtung und KI-Nutzung am Arbeitsplatz
Die Nutzung von KI-Tools verändert den Arbeitsalltag schnell und oft ohne klare interne Leitplanken. Beschäftigte kopieren personenbezogene Daten in Prompts, ohne zu erkennen, dass diese an externe Anbieter übermittelt, gespeichert oder für Trainingszwecke verarbeitet werden können. Die Vertraulichkeitsverpflichtung sollte dieses Risiko deshalb ausdrücklich erfassen.
Besonders wirksam sind klare Verbote und konkrete Beispiele. Eine Ergänzungsklausel sollte das Einfügen personenbezogener Daten in nicht freigegebene KI-Tools untersagen und mit einer Positivliste genehmigter Anwendungen kombiniert werden. Dadurch wird für Beschäftigte sofort erkennbar, welche Tools zulässig sind und welche nicht.
Besonders heikel ist die Nutzung von KI-Assistenten zur Auswertung von Bewerbungsunterlagen oder Mitarbeiterbeurteilungen. Hier werden regelmäßig besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet. Die Eingabe in cloudbasierte KI-Dienste ohne Datenschutz-Folgenabschätzung ist unzulässig.
Die Ergänzungsklausel sollte außerdem typische Fehlanwendungen ausdrücklich benennen, etwa: „Es ist untersagt, Inhalte aus Personalakten, Bewerbungen, ärztlichen Attesten oder Abmahnungen in externe KI-Anwendungen einzugeben.“ Ergänzend sinnvoll sind Freigabeprozesse, technische Sperren und kurze Schulungshinweise im Rahmen der Vertraulichkeitsverpflichtung.
Sonderfälle: Unterschriftsverweigerung, Versetzung und Betriebsübergang
Im Alltag entstehen regelmäßig Konstellationen, in denen eine Standard-Vertraulichkeitsverpflichtung allein nicht ausreicht. Gerade bei verweigerter Unterschrift, bei Tätigkeitswechseln oder bei einem Betriebsübergang kommt es darauf an, Dokumentation, Timing und Verantwortlichkeiten sauber zu regeln. Wer diese Fälle vorab strukturiert, vermeidet spätere Lücken im Nachweis.
Deshalb sollte jede Organisation festlegen, wie in diesen Sonderfällen vorzugehen ist, wer zuständig ist und welche Unterlagen in der Personalakte oder im Datenschutzmanagementsystem abgelegt werden. Das schafft Rechtssicherheit und verhindert, dass sensible Situationen improvisiert gelöst werden.
Wenn Beschäftigte die Unterschrift verweigern oder sich der Aufgabenbereich ändert
Die Pflicht zur Verschwiegenheit besteht bereits aus dem Arbeitsvertrag, aus § 241 Abs. 2 BGB und aus der DSGVO. Eine verweigerte Unterschrift hebt diese Pflichten nicht auf. Aus Nachweisgründen sollte in solchen Fällen mindestens ein Aktenvermerk mit Datum, Anlass, übergebenem Dokument und möglichst einem Zeugen erstellt werden. Je nach Situation kommen arbeitsrechtliche Maßnahmen in Betracht, wenn Beschäftigte eine notwendige Mitwirkung ohne nachvollziehbaren Grund verweigern.
Ändert sich der Aufgabenbereich, reicht die ursprüngliche Vertraulichkeitsverpflichtung oft nicht mehr aus. Das gilt etwa beim Wechsel in die Personalabteilung, in die IT-Administration, in den Empfang eines medizinischen Bereichs oder in Funktionen mit Zugriff auf Gesundheitsdaten, Bewerbungsunterlagen oder Leistungsdaten. In solchen Fällen sollte eine ergänzende Belehrung erfolgen, die den erweiterten Datenzugriff konkret beschreibt und gesondert dokumentiert wird.
Betriebsübergang nach § 613a BGB: Fortgeltung und Neueinholung
Bestehende Vertraulichkeitsverpflichtungen wirken bei einem Betriebsübergang grundsätzlich fort. Dennoch ist eine neue oder aktualisierte Belehrung in vielen Fällen sinnvoll, weil sich Verantwortliche, Systeme, Zuständigkeiten und konkrete Datenverarbeitungen ändern können. Der Erwerber sollte deshalb frühzeitig prüfen, welche Alt-Dokumentationen vorhanden sind und ob sie inhaltlich noch zur neuen Organisationsstruktur passen.
Praktisch empfiehlt sich eine Neueinholung kurz nach dem Übergang oder im Zuge der Integration in neue Prozesse. Dabei sollte auch berücksichtigt werden, welche Informationen Beschäftigte nach § 613a Abs. 5 BGB erhalten haben und welche Datenschutzrollen künftig gelten. Für den Erwerber ist eine saubere Dokumentation besonders wichtig, weil die Vertraulichkeitsverpflichtung in der neuen Umgebung nicht nur formal fortbestehen, sondern auch praktisch verständlich und nachweisbar sein muss.

Quelle: Pixabay
Sanktionen bei Verstößen: Bußgelder, Kündigung und Strafrecht
Verstöße gegen die Vertraulichkeitsverpflichtung können auf mehreren Ebenen Folgen haben. Für Unternehmen stehen aufsichtsrechtliche Maßnahmen und Bußgelder im Raum, wenn organisatorische Vorgaben fehlen oder nicht dokumentiert sind. Für Beschäftigte können arbeitsrechtliche, zivilrechtliche und in gravierenden Fällen auch strafrechtliche Folgen relevant werden.
Die konkrete Bewertung hängt immer vom Einzelfall ab: Wurde eine Pflicht nur fahrlässig verletzt, wurden Daten vorsätzlich weitergegeben oder fehlte es bereits an einer ordnungsgemäßen Organisation im Unternehmen? Gerade deshalb ist eine dokumentierte Vertraulichkeitsverpflichtung nicht nur Formalität, sondern ein zentraler Baustein der Compliance.
| Verstoß | Rechtsgrundlage | Mögliche Sanktion |
|---|---|---|
| Fehlende Verpflichtung im Unternehmen | Art. 5 Abs. 2, Art. 32 DSGVO | Bußgeld bis 10 Mio. € / 2 % Jahresumsatz |
| Unbefugte Weitergabe von Daten | Art. 83 DSGVO, § 42 BDSG | Geldbuße bis 20 Mio. € / 4 %, Freiheitsstrafe bis 3 Jahre |
| Verstoß durch Beschäftigte | Arbeitsvertrag, § 241 Abs. 2 BGB | Abmahnung, Kündigung, Schadensersatz |
| Fehlende AV-Verpflichtung | Art. 28 Abs. 3 lit. b DSGVO | Bußgeld, Untersagung der Verarbeitung |
Checkliste: Vertraulichkeitsverpflichtung rechtssicher umsetzen
Für die praktische Umsetzung kommt es weniger auf komplizierte Formulierungen als auf einen sauberen Prozess an. Die folgende Checkliste bündelt die wichtigsten Schritte, damit die Vertraulichkeitsverpflichtung nicht nur erstellt, sondern auch wirksam eingeführt, dokumentiert und regelmäßig aktualisiert wird.
Besonders wichtig ist das Zusammenspiel von HR, Fachbereich, IT und Datenschutzkoordination. Nur wenn Zuständigkeiten klar verteilt sind, wird aus der Vertraulichkeitsverpflichtung ein belastbarer Bestandteil des Onboardings und der laufenden Organisation.
- Personenkreis erfassen. Alle Personen mit Datenzugang systematisch identifizieren, einschließlich Reinigungskräfte, Hausmeister und kurzfristige Aushilfen.
- Vertraulichkeitsvereinbarung aktualisieren. Bestehende Vorlagen auf Aktualität prüfen und an Branche, Rolle und Datenzugriffe anpassen.
- Zeitpunkt im Onboarding verankern. Die Vertraulichkeitsverpflichtung als festen Schritt in der Onboarding-Checkliste hinterlegen, gekoppelt an die Vergabe von Systemzugängen.
- Homeoffice- und KI-Klauseln integrieren. Ergänzungen für mobile Arbeit, BYOD und KI-Tools aufnehmen.
- Regelmäßige Sensibilisierung etablieren. Mindestens jährliche Auffrischung mit dokumentierter Teilnahme und Wissensabfrage einplanen.
- Externe Kräfte absichern. Bestätigung des Auftragsverarbeiters oder Personaldienstleisters über die erfolgte Verpflichtung einholen.
- Revisionssicher archivieren. Unterzeichnete Erklärungen in der Personalakte aufbewahren, mindestens für die Dauer des Beschäftigungsverhältnisses plus drei Jahre Regelverjährungsfrist nach §§ 195, 199 BGB.
Häufig gestellte Fragen
Wie unterscheidet sich eine Vertraulichkeitsverpflichtung von einer Geheimhaltungsvereinbarung (NDA)?
Die Vertraulichkeitsverpflichtung ist eine einseitige Erklärung im Beschäftigungskontext. Ein NDA ist ein zweiseitiger Vertrag zwischen gleichrangigen Parteien mit gegenseitigen Geheimhaltungspflichten.
Muss die Vertraulichkeitsverpflichtung bei jeder Änderung der Datenverarbeitung erneut eingeholt werden?
Bei kleinen Änderungen nicht zwingend. Kommen aber neue Verarbeitungszwecke, neue Systeme oder zusätzliche sensible Datenkategorien hinzu, ist eine Aktualisierung regelmäßig sinnvoll.
Welche Konsequenzen drohen Beschäftigten persönlich bei einem Verstoß gegen die Vertraulichkeitsverpflichtung?
Je nach Schwere des Verstoßes kommen arbeitsrechtliche Maßnahmen und persönliche Haftungsrisiken in Betracht. Bei vorsätzlichem Datenmissbrauch kann außerdem § 42 BDSG einschlägig sein.
Wie lange sollte eine Vertraulichkeitsverpflichtung nach dem Ausscheiden aus dem Unternehmen gelten?
Für personenbezogene Daten gilt die Pflicht grundsätzlich zeitlich unbegrenzt fort. Für Geschäftsgeheimnisse werden häufig ergänzende Fortgeltungsregelungen von drei bis fünf Jahren vereinbart.
Kann eine Vertraulichkeitsverpflichtung auch mündlich wirksam sein?
Rechtlich ist das nicht ausgeschlossen, praktisch aber kaum belastbar. Ohne schriftliche oder elektronische Dokumentation fehlt regelmäßig der notwendige Nachweis.


