Bei ihren Bezugnahmen auf die Begriffe „Beschäftigte“ und „Arbeitnehmer“ in dieser Stellungnahme beschränkt die Datenschutzgruppe den Bedeutungsumfang dieser Begriffe keineswegs auf Personen, die einen Arbeitsvertrag haben, der nach geltendem Arbeitsrecht als solcher anerkannt wird. Im Laufe der letzten Jahrzehnte haben neue Geschäftsmodelle, die auf unterschiedlichen Arbeitsbeziehungen und insbesondere auf der Beschäftigung auf freiberuflicher Grundlage beruhen, größere Verbreitung gefunden. Diese Stellungnahme soll alle Situationen abdecken, in denen ein Beschäftigungsverhältnis besteht, wobei es keine Rolle spielt, ob dieses Verhältnis auf einem Arbeitsvertrag beruht oder nicht.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 7.2.2.
Here is the relevant paragraphs to article 39(1)(b) GDPR:
6.4.2.2 Information security awareness, education and training
Implementation guidance
Measures should be put in place, including awareness of incident reporting, to ensure that relevant staff are aware of the possible consequences to the organization (e.g. legal consequences, loss of business and brand or reputational damage), to the staff member (e.g. disciplinary consequences) and to the PII principal (e.g. physical, material and emotional consequences) of breaching privacy or security rules and procedures, especially those addressing the handling of PII.
NOTE Such measures can include the use of appropriate periodic training for personnel having access to PII.