Verschwiegenheitserklärung – Vorlage für Mitarbeiter (DSGVO, §§42, 43 BDSG)
Wer in einem Unternehmen arbeitet, hat täglich Zugang zu sensiblen Daten: Kundenkontakte, Personalakten, Kalkulationen, Kennzahlen, Verträge, Quellcode, technisches Know-how. Diese Informationen sind das wirtschaftliche Rückgrat des Arbeitgebers – und gleichzeitig durch DSGVO, BDSG, GeschGehG und arbeitsvertragliche Treuepflichten geschützt. Eine ausdrückliche Verschwiegenheitserklärung dokumentiert die Verpflichtung jedes Mitarbeiters auf das Datengeheimnis und die Vertraulichkeit, klärt über Folgen einer Zuwiderhandlung auf (zivilrechtliche Schadensersatzpflicht, arbeitsrechtliche Sanktionen, Geld- bis Freiheitsstrafe nach §§42, 43 BDSG und Art. 83 DSGVO) und stellt klar, dass die Vertraulichkeit auch nach Beendigung des Arbeitsverhältnisses fortbesteht. Diese Vorlage deckt alle Pflichtbestandteile DSGVO-konform ab.
Rechtsgrundlage: DSGVO, §§42/43 BDSG und §§17, 23 GeschGehG
Die Verschwiegenheitsverpflichtung von Mitarbeitern ergibt sich aus mehreren Quellen. Datenschutzrechtlich aus Art. 5 Abs. 1 lit. f DSGVO („Integrität und Vertraulichkeit“) und Art. 32 DSGVO – der Verantwortliche muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die zugriffsberechtigten Personen vertraulich mit personenbezogenen Daten umgehen. Daraus folgt: Jeder Mitarbeiter mit Datenzugang ist nachweislich auf die Vertraulichkeit zu verpflichten. Strafrechtlich flankiert §42 BDSG die Pflicht (Geldstrafe oder Freiheitsstrafe bis zu 3 Jahre bei vorsätzlicher unbefugter Übermittlung oder Zugänglichmachung von personenbezogenen Daten zu Bereicherungs- oder Schädigungsabsicht). Ergänzend schützt das Geschäftsgeheimnisgesetz (GeschGehG, §§17, 23) Betriebs- und Geschäftsgeheimnisse – mit deutlich höheren Strafen bei vorsätzlichem Verrat. Arbeitsrechtlich folgt die Verschwiegenheit aus der allgemeinen Treuepflicht (§241 Abs. 2 BGB) – wird sie verletzt, drohen Abmahnung, ordentliche oder fristlose Kündigung und Schadensersatz.
Pflichtbestandteile einer wirksamen Verschwiegenheitserklärung
Damit die Erklärung im Streit Bestand hat – sowohl arbeitsrechtlich als auch als Compliance-Nachweis gegenüber Aufsichtsbehörden – gehören diese Bestandteile zwingend hinein:
- Vertragsparteien: Arbeitgeber (Firma, Anschrift, Handelsregister) und Arbeitnehmer (Name, Anschrift, ggf. Personalnummer)
- Definition der vertraulichen Informationen: personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, Betriebs- und Geschäftsgeheimnisse nach §2 GeschGehG, technisches Know-how, Kunden- und Lieferantenlisten
- Bezug auf Art. 5 Abs. 1 lit. f DSGVO („Integrität und Vertraulichkeit“) und Art. 32 DSGVO
- Verpflichtung: keine unbefugte Erhebung, Nutzung, Weitergabe oder Verarbeitung – Verarbeitung nur auf Weisung des Arbeitgebers
- Aufklärung über Folgen einer Zuwiderhandlung: Bußgelder bis 20 Mio. € (Art. 83 DSGVO), Geld-/Freiheitsstrafe nach §§42, 43 BDSG, §§17, 23 GeschGehG
- Arbeitsrechtliche Folgen: Abmahnung, ordentliche oder fristlose Kündigung, Schadensersatz
- Hinweis auf persönliche Haftung des Mitarbeiters (auch mit Privatvermögen)
- Klarstellung: Verschwiegenheitspflicht gilt auch nach Beendigung des Arbeitsverhältnisses (nachvertraglich)
- Verhältnis zu bestehenden Geheimhaltungsklauseln in Tarif- oder Arbeitsvertrag (kumulativ, nicht ersetzend)
- Ort, Datum, Unterschrift Mitarbeiter und Arbeitgeber
Folgen einer Zuwiderhandlung: Was wirklich drohen kann
Verstöße gegen die Verschwiegenheit haben drei Ebenen. Datenschutzrechtlich kann die Aufsichtsbehörde gegen den Arbeitgeber Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO) – der Arbeitgeber kann diese Schäden im Innenverhältnis vom Mitarbeiter zurückfordern, soweit es die arbeitsrechtliche Haftungsbeschränkung (innerbetrieblicher Schadensausgleich) zulässt. Strafrechtlich riskiert der Mitarbeiter persönlich Geld- oder Freiheitsstrafe bis 3 Jahre (§42 BDSG) bzw. bis 5 Jahre (§23 GeschGehG bei Geheimnisverrat zu Bereicherungs- oder Schädigungszwecken). Arbeitsrechtlich drohen Abmahnung, ordentliche oder fristlose Kündigung und Schadensersatz – bei groben Verstößen ist auch die Kündigung im Probezeitende vor Ablauf der Wartezeit (§1 KSchG) ohne Sozialauswahl möglich. Wichtig: Diese Folgen müssen in der Erklärung ausdrücklich kommuniziert werden – nur dann kann sich der Arbeitgeber später nicht auf Unkenntnis berufen.
Nachvertragliche Geltung – das oft Vergessene
Die Verschwiegenheitspflicht endet nicht mit dem Tag, an dem das Arbeitsverhältnis ausläuft. Personenbezogene Daten, technisches Know-how und Geschäftsgeheimnisse bleiben auch danach geschützt – schon aus dem GeschGehG, der DSGVO und der nachvertraglichen Treuepflicht. Damit das später eindeutig durchsetzbar ist, gehört in jede Verschwiegenheitserklärung ein expliziter Satz wie: „Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung meiner Tätigkeit fort.“ Ohne diese Klarstellung wird im Streitfall oft argumentiert, die Pflicht sei „nur für die Dauer des Arbeitsverhältnisses“ gemeint – ein Streit, den man sich mit einem Satz sparen kann. Bei Schlüsselpositionen mit Zugang zu besonders sensiblem Know-how empfiehlt sich zusätzlich ein nachvertragliches Wettbewerbsverbot mit Karenzentschädigung (§§74 ff. HGB).
Digital einholen, revisionssicher archivieren
Klassisch wird die Verschwiegenheitserklärung beim Onboarding als Papier verteilt, unterschrieben zurückgegeben (manchmal), in der Personalakte abgelegt (irgendwo). Im Audit oder Streit ist sie dann schwer auffindbar, die Version vielleicht veraltet, die Aufklärung nicht mehr nachweisbar. ProtocolHero erstellt die Erklärung aus den Stammdaten von Arbeitgeber und Mitarbeiter, dokumentiert die DSGVO-Aufklärung mit Versionsnummer, holt die Touch-Unterschrift im Onboarding-Termin ein und legt das fertige PDF mit Zeitstempel, Geräte-ID und Audit-Trail in der digitalen Personalakte ab. Bei Änderungen der Rechtslage (z. B. neue Rechtsprechung oder erweiterter Datenzugriff) wird eine neue Version automatisch nachgepflegt – der Compliance-Nachweis ist in Sekunden auffindbar.
Häufige Fragen
Ist eine Verschwiegenheitserklärung gesetzlich vorgeschrieben?
Eine ausdrücklich benannte Pflicht zum schriftlichen Formular gibt es nicht – aber Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen zur Vertraulichkeit, und Aufsichtsbehörden sehen die nachweisliche Verpflichtung jedes datenzugriffsberechtigten Mitarbeiters als Mindeststandard. Ohne dokumentierte Verschwiegenheitserklärung ist die DSGVO-Compliance nicht nachweisbar – im Bußgeldverfahren wird das regelmäßig als organisatorischer Verstoß gewertet. Praktisch: jeder Mitarbeiter mit Datenzugang sollte vor Aufnahme der Tätigkeit unterschreiben.
Welche Strafen drohen dem Mitarbeiter persönlich?
§42 BDSG sieht bei vorsätzlicher unbefugter Übermittlung oder Zugänglichmachung personenbezogener Daten Geldstrafe oder Freiheitsstrafe bis zu 3 Jahren vor (mit Bereicherungs- oder Schädigungsabsicht). §23 GeschGehG ahndet den Verrat von Geschäftsgeheimnissen mit bis zu 3 Jahren, in schweren Fällen (gewerbsmäßig, Bandenbegehung, Auslandsverwertung) mit bis zu 5 Jahren Freiheitsstrafe. Zusätzlich kann der Arbeitgeber Schadensersatz fordern – im Rahmen der innerbetrieblichen Haftungsbeschränkung bei grober Fahrlässigkeit oder Vorsatz auch in voller Höhe.
Gilt die Verschwiegenheit auch nach Beendigung des Arbeitsverhältnisses?
Ja – aus mehreren Gründen: DSGVO und BDSG schützen personenbezogene Daten unabhängig vom Bestand des Arbeitsverhältnisses, das GeschGehG schützt Geschäftsgeheimnisse zeitlich unbegrenzt (solange sie geheim bleiben), und die nachvertragliche Treuepflicht (§241 Abs. 2 BGB) wirkt weiter. Ein ausdrücklicher Satz in der Erklärung macht das nur klarer und beweissicherer. Für aktive Wettbewerbshandlungen (Nutzung der Geheimnisse beim neuen Arbeitgeber) braucht es zusätzlich ein nachvertragliches Wettbewerbsverbot mit Karenzentschädigung (§§74 ff. HGB).
Reicht die Verschwiegenheitsklausel im Arbeitsvertrag?
Sie ist ein guter Anfang – aber selten ausreichend. Standardklauseln im Arbeitsvertrag sind oft allgemein gehalten und decken die DSGVO-spezifischen Pflichten nicht im Detail ab. Eine separate Verschwiegenheitserklärung mit Verweis auf Art. 5/32 DSGVO, §§42/43 BDSG und §§17/23 GeschGehG ist deutlich präziser, dokumentiert die Aufklärung über die konkreten Folgen und ist für Compliance-Audits viel einfacher vorzulegen als ein 15-seitiger Arbeitsvertrag. Beide gelten kumulativ – die separate Erklärung schließt die Arbeitsvertragsklausel nicht aus.
Wer muss alles unterschreiben – auch Praktikanten und Werkstudenten?
Jede Person mit Zugang zu personenbezogenen Daten oder Geschäftsgeheimnissen – unabhängig von der Vertragsform. Das umfasst Mitarbeiter, Auszubildende, Praktikanten, Werkstudenten, freie Mitarbeiter und Leiharbeitnehmer. Bei externen Dienstleistern (IT, Reinigung, Beratung) muss die Verschwiegenheit zusätzlich im Dienstleistungsvertrag oder als separate NDA fixiert werden – Leiharbeitnehmer werden zudem über den Leiharbeitsvertrag erfasst, eine direkte Verpflichtung gegenüber dem Entleiher ist trotzdem ratsam.
Wie oft muss die Verschwiegenheitserklärung erneuert werden?
Eine Pflicht zur regelmäßigen Erneuerung gibt es nicht – sie gilt fort, bis sie ausdrücklich aufgehoben wird. Sinnvoll ist eine Aktualisierung bei wesentlichen Änderungen: neue Datenkategorien (z. B. Einführung Health-Daten), neue Rechtsgrundlagen, geänderte Datenschutzaufsicht. Jährliche Compliance-Reminder mit erneuter Bestätigung sind Best Practice in regulierten Branchen (Finanzdienstleistung, Gesundheitswesen) und schaffen ein Bewusstsein für die fortbestehende Pflicht.
Was ProtocolHero zusätzlich für dich übernimmt
Eine Vorlage allein ist erst der Anfang – ProtocolHero macht aus jedem Protokoll einen durchgängigen digitalen Workflow mit KI-Unterstützung, Workflow-Freigaben und revisionssicherem Archiv.
HERO Assistant – KI-Chat für Dokumentenerstellung
Der HERO Assistant ist der eingebaute KI-Chat von ProtocolHero. Du kannst per Spracheingabe ein komplettes Protokoll anlegen lassen ("Erstelle mir einen neuen Protokoll für Kunde Müller, Baustelle Elbstraße"), oder ein bestehendes PDF / Foto / Word-Dokument hochladen – die KI liest die Struktur aus und baut eine wiederverwendbare Vorlage daraus.
Auto-Fill aus Sprache, Foto und Datei
Beim Ausfüllen kannst du das Protokoll per Sprachsteuerung diktieren – die KI ordnet die Inhalte automatisch den richtigen Feldern zu. Oder du lädst Fotos, Scans, Verträge, Datenblätter oder Ausweise hoch (z. B. Arbeitsvertrag + Personalausweis beim Personalfragebogen, Typenschild beim Wartungsprotokoll, Lieferschein beim Bautagesbericht): Der HERO Assistant extrahiert die Daten und befüllt das Formular vor – du prüfst und unterschreibst.
Foto- und Video-Upload direkt im Dokument
Zu jedem Bauteil, Messpunkt oder Schadensbild kannst du Fotos und Videos direkt aus der App anhängen. Videos sind besonders nützlich, wenn ein Schadensbild dynamisch ist (laufendes Wasser, tropfende Leitung, ungewöhnliche Geräusche an einer Anlage) – ein einzelnes Standbild würde den Befund nicht ausreichend dokumentieren.
Kommentare als Aufgaben – intern und mit dem Kunden
Jede Position im Protokoll kann kommentiert und als Aufgabe an einen Kollegen, an dich selbst oder direkt an den Kunden zugewiesen werden ("bitte fehlendes Datenblatt nachreichen", "Mangel bis 15.06. beheben"). Kommentare können wahlweise rein intern bleiben oder im freigegebenen Kundenlink mitgeteilt werden.
Workflow: Bearbeiter zuweisen, Prüfer freigeben
Dokumente lassen sich an Kollegen weiterleiten ("zur Vervollständigung an den Monteur", "zur Endkontrolle an den Meister") und können einen festen Prüfer haben, der die letzte fachliche Freigabe erteilt, bevor das Protokoll unterschrieben oder an den Kunden geht.
Activity-Log für lückenlose Nachvollziehbarkeit
Jedes Protokoll hat einen vollständigen Aktivitäts-Verlauf: Wer hat wann was geändert, kommentiert, hochgeladen, freigegeben, unterschrieben. Das Log ist auf Wunsch auch im Kunden-Freigabelink sichtbar – ideal für Auditoren, Versicherer und Kunden, die die Entstehung des Dokuments nachvollziehen wollen.
Eindeutige Protocol-ID je Dokument
Jedes Protokoll bekommt automatisch eine eindeutige Protocol-ID, mit der es sich zweifelsfrei referenzieren, verlinken und im Audit-Trail wiederfinden lässt.
Automatische Berichts-Nummerierung
In KürzeFortlaufende, lückenlose Berichts-Nummern (z. B. Protokoll-2026-001, 002, 003 …) je Dokumenttyp und Kunde – ohne manuelles Vergeben, ohne Dubletten.
Web-Formular & Inbox
In KürzeVorlagen lassen sich als öffentliches Web-Formular auf der eigenen Website einbinden – ein ausgefülltes Protokoll (z. B. Anfrage, Schadensmeldung, Auftragsbestätigung) landet automatisch in deiner ProtocolHero-Inbox zur Weiterbearbeitung.
QR-Code-Etiketten für Anlagen und Bauteile
In KürzeQR-Code-Etiketten pro Anlage / Bauteil / Abschottung, die beim Scannen direkt das hinterlegte Protokoll, die Historie und alle Wartungs- bzw. Prüfdokumente öffnen.
