Nach Art. 29 und Art. 32 Abs. 4 DSGVO dürfen Beschäftigte personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Daraus folgt in der Praxis: Jeder Mitarbeiter, der mit personenbezogenen Daten umgeht, muss auf die Vertraulichkeit verpflichtet werden – und zwar bevor er Zugriff auf die Daten erhält.
Wann muss die Verpflichtung erfolgen?
Idealerweise bei Arbeitsaufnahme, spätestens jedoch vor dem ersten Zugriff auf personenbezogene Daten. Auch Praktikanten, Aushilfen und externe Dienstleister mit Datenzugriff sollten einbezogen werden.
Wie wird richtig verpflichtet?
Die Verpflichtung sollte schriftlich oder in Textform erfolgen und dokumentiert werden. Sie umfasst eine verständliche Erläuterung der Vertraulichkeitspflichten, der Folgen von Verstößen und idealerweise eine kurze Schulung. Vorlagen dafür enthält unser Praxispaket.
Tipp: Kombinieren Sie die Verpflichtung mit einer jährlichen Datenschutzschulung – das erfüllt gleich zwei Nachweispflichten.