Art. 32 Abs. 4 DS-GVO verlangt, dass der Verantwortliche oder Auftragsverarbeiter Schritte unternehmen muss, um sicherzustellen, dass ihnen unterstellte Personen (insbesondere ihre Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor). Für den Fall
der Auftragsverarbeitung bestimmt Art. 28 Abs. 3 Satz 2 lit. b DS-GVO, dass der Auftragsverarbeiter gewährleisten muss, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben (soweit sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; dies gilt z.B. für privatärztliche, steuerberaterliche oder anwaltliche Verrechnungsstellen).

AUF WAS MUSS VERPFLICHTET WERDEN?

Die Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 1 DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann („Rechenschaftspflicht“). Diese Grundsätze der DS-GVO, festgelegt
in Art. 5 Abs. 1 DS-GVO, beinhalten im Wesentlichen folgende Pflichten:

Personenbezogene Daten müssen
a) auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

WER MUSS VERPFLICHTET WERDEN?

Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu „verpflichten“ sind, trifft inhaltlich diese „verpflichtende Unterrichtung“ (im Folgenden: Verpflichtung) auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen) ist nicht verbindlich geregelt. Es wird empfohlen, dies mit einem entsprechenden Dokument zu tun. Der Kreis der zu verpflichtenden Personen (die DS-GVO spricht insoweit von „unterstellten natürlichen Personen“) ist aufgrund der Bedeutung dieser Regelung weit auszulegen. Insbesondere sind ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige mit einzubeziehen.

WIE UND WANN MUSS EINE VERPFLICHTUNG ERFOLGEN?

Zuständig für die Verpflichtung ist die Unternehmensleitung, der Inhaber einer Firma oder ein von diesen Beauftragter. Selbst wenn, wie oben ausgeführt, die DS-GVO keine bestimmte Form der Verpflichtung vorschreibt, sollte schon aus Nachweisgründen ein spezielles Formular verwendet werden, wobei die Verpflichtung schriftlich oder in einem elektronischen Format erfolgen kann.
Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten müssen darüber informiert werden, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen, möglichst anhand typischer Fälle. Mit der Verpflichtung nach der DS-GVO können auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis. Aus Nachweisgründen im Rahmen der Rechenschaftspflicht nach der DS-GVO ist es wichtig, die Verpflichtung ausreichend zu dokumentieren.
Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden.
Ein Musterbeispiel für eine solche Verpflichtung nach DS-GVO kann dem Infoflyer selbst entnommen werden, der auf Seiten des BayLDA gratis heruntergeladen werden kann.