Gem. § 53 BDSG sind Personen, die mit der Datenverarbeitung personenbezogener Daten befasst sind, auf das Datengeheimnis zu verpflichten, bevor sie mit ihrer Tätigkeit anfangen. Die Mitarbeiter dürfen Daten nicht unbefugt verarbeiten. Diese Regelung hat der nationale Gesetzgeber gewählt, dies hilft aber nur bedingt weiter, da die DSGVO keine eindeutige Regelung für die Verpflichtung auf die Vertraulichkeit der Verarbeitung besitzt:
Der Begriff des Datengeheimnisses wird in der DSGVO nicht genutzt, vielmehr entspricht die "Vertraulichkeit der Verarbeitung" der Gesetzeslage. Personenbezogene Daten dürfen nur auf rechtmäßige Weise verarbeitet werden (Art. 5 DSGVO). Bei der Verarbeitung ist ein angemessenes Schutzniveau anzuwenden. Umgesetzt wird das Schutzniveau gemäß Art. 32 Abs. 4 und Art. 29 DSGVO dadurch, dass die Mitarbeiter die personenbezogenen Daten nur auf Anweisung verarbeiten. Der Verantwortliche hat dies im Streitfall das Schutzniveau nachzuweisen (Art. 5 Abs. 2 DSGVO), z.B. durch Verpflichtung der Mitarbeiter auf die Vertraulichkeit der Daten.
Auftragsverarbeiter sind durch einen Auftragsdatenverarbeitungsvertrag dahingehend zu verpflichten, dass die Mitarbeiter die Regeln einhalten. (Art. 28 Abs. 3 DSGVO)
Eine konsequente Verpflichtung auf die Vertraulichkeit der Datenverarbeitung mit einer entsprechenden arbeitsrechtlichen Absicherung ist empfehlenswert.