Sowohl gemäß Art. 5 Satz 1 Bayerisches Datenschutzgesetz (BayDSG) als auch gemäß § 5 Satz 1 Bundesdatenschutzgesetz (BDSG) ist es den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Im Umkehrschluss bedeutet dies, dass diese Tätigkeiten nur dann durchgeführt werden dürfen, wenn dafür eine gesetzliche Grundlage vorliegt oder ein davon Betroffener einwilligt.
Der Ausdruck Datengeheimnis ist dabei sicherlich etwas irreführend, geht es doch nicht nur darum, ein Geheimnis zu wahren, sondern – viel weiter gehend – wird jede unbefugte Datenerhebung, -verarbeitung und -nutzung untersagt, womit es teilweise erst gar nicht zu einer entsprechenden Kenntnisnahme personenbezogener Daten kommen muss.
Adressat der Verpflichtung zur Wahrung des Datengeheimnisses ist auch nicht der Arbeitgeber, in dessen Auftrag eventuell personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Nein, vielmehr ist jeder Beschäftigte selbst dazu angehalten, datenschutzgerecht mit personenbezogenen Informationen umzugehen.
Für die Gewährleistung des Datengeheimnisses ist auch – zumindest in erster Linie – nicht entscheidend, welche Sensibilität diese personenbezogenen Daten haben. Das Datengeheimnis umfasst alle personenbezogenen Informationen, die einem Beschäftigten während seiner Tätigkeit zur Kenntnis gelangen.
Zur Gewährleistung des Datengeheimnisses sind somit sowohl Mitarbeiter öffentlicher (z. B. Behörden, Kommunen) als auch nicht-öffentlicher Stellen (z. B. Unternehmen) verpflichtet.
Das Datengeheimnis (gilt nicht nur für ein bestehendes Beschäftigungsverhältnis sondern) besteht auch nach Beendigung der Tätigkeit fort (Art. 5 Satz 2 BayDSG bzw. § 5 Satz 3 BDSG). Dies bedeutet, dass ehemalige Mitarbeiter auch nach ihrem Ausscheiden aus der Behörde bzw. einem Unternehmen zur Verschwiegenheit verpflichtet sind und über alle ihnen während ihrer Tätigkeit bekannt gewordenen Datengeheimnisse schweigen müssen.
Das BDSG legt im § 5 Satz 2 fest, dass alle Personen, die bei einer nicht-öffentlichen Stelle beschäftigt werden, und mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind, bei der Aufnahme ihrer Tätigkeit (schriftlich) auf das Datengeheimnis zu verpflichten sind.
Angehörige der öffentlichen Stellen müssen weder nach dem BDSG noch nach dem BayDSG formell auf das Datengeheimnis verpflichtet werden, da sie bereits aufgrund von dienst- und arbeitsrechtlichen Vorschriften zur Verschwiegenheit verpflichtet sind. Sie werden lediglich bei Aufnahme ihrer Tätigkeit bezüglich der Einhaltung des Datengeheimnisses belehrt.
Zu verpflichten sind zwar in erster Linie die bei der Datenverarbeitung beschäftigten Personen, allerdings sollte die Unterzeichnung einer Verpflichtungserklärung von allen Mitarbeitern verlangt werden (unabhängig von der Art ihrer Beschäftigung), da sicherlich jeder Beschäftigter im Laufe seiner Tätigkeit irgendwann personenbezogene Daten erhebt, verarbeitet oder nutzt. Geschieht dies nicht, müssen entsprechende Mitarbeiter durch die Ergreifung entsprechender Maßnahmen daran gehindert werden, personenbezogene Daten zur Kenntnis zu nehmen.