Ja. Die Verpflichtung von Beschäftigten auf den Datenschutz ist eine zentrale organisatorische Maßnahme, die sich direkt aus der DSGVO ergibt.
Gesetzliche Grundlage: Art. 29 DSGVO bestimmt, dass Beschäftigte personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen (es sei denn, eine gesetzliche Pflicht erfordert die Verarbeitung). Art. 32 Abs. 4 DSGVO verpflichtet den Verantwortlichen sicherzustellen, dass unterstellte Personen nur auf Anweisung verarbeiten. Art. 28 Abs. 3 S. 2 lit. b DSGVO verlangt vom Auftragsverarbeiter, die Vertraulichkeitsverpflichtung seiner Beschäftigten sicherzustellen.
Inhalt der Verpflichtung (DSK-Kurzpapier Nr. 19): Die Beschäftigten sind auf die sechs Grundsätze des Art. 5 Abs. 1 DSGVO zu verpflichten: Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität/Vertraulichkeit. Die Verpflichtung sollte anhand typischer Fälle der täglichen Arbeit veranschaulicht werden.
Form und Zeitpunkt: Eine schriftliche oder elektronische Verpflichtungserklärung wird empfohlen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Der Zeitpunkt sollte bei Aufnahme der Tätigkeit liegen - möglichst am ersten Arbeitstag. Eine Musterverpflichtung ist dem DSK-Kurzpapier Nr. 19 beigefügt.
Personenkreis: Weit auszulegen: reguläre Mitarbeiter, Auszubildende, Praktikanten, Leiharbeiter, ehrenamtlich Tätige, Referendare. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.
Regelmassige Schulung: Die Verpflichtung ist nicht einmalig. Regelmäßige Sensibilisierung durch Schulungen ist erforderlich. Bei Wechsel des Arbeitsplatzes mit Aufgabenwechsel ist die Verpflichtung zu überprüfen und anzupassen.