Jeder Verantwortliche und Auftragsverarbeiter muss sicherstellen, dass Beschäftigte personenbezogene Daten nur auf Weisung verarbeiten und zur Vertraulichkeit verpflichtet sind.
Rechtsgrundlage der Pflicht
- Art. 29 DSGVO: Beschäftigte dürfen Daten NUR auf Weisung des Verantwortlichen verarbeiten (außer bei gesetzlicher Pflicht)
- Art. 32 Abs. 4 DSGVO: Der Verantwortliche muss sicherstellen, dass unterstellte Personen nur auf Anweisung verarbeiten
- Art. 28 Abs. 3 lit. b DSGVO: Auftragsverarbeiter müßen die Vertraulichkeitsverpflichtung ihrer Beschäftigten sicherstellen
Inhalt der Verpflichtung
Die Beschäftigten müßen über die sechs Grundsätze des Art. 5 Abs. 1 DSGVO belehrt werden: Rechtmäßigkeit/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit.
Personenkreis
Weit auszulegen: Reguläre Mitarbeiter, Auszubildende, Praktikanten, Referendare, Leiharbeiter, ehrenamtlich Tätige. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.
Form und Zeitpunkt
- Empfehlung: Schriftliche oder elektronische Verpflichtungserklärung (Nachweis für Rechenschaftspflicht)
- Zeitpunkt: Bei Aufnahme der Tätigkeit, möglichst am ersten Arbeitstag
- Nicht einmalig: Regelmäßige Sensibilisierung durch Schulungen; bei Arbeitsplatzwechsel überprüfen und anpassen