Datenschutzschulung – Mitarbeiter sensibilisieren ohne zu langweilen

Fachbeitrag

Die Einhaltung von datenschutzrechtlichen Bestimmungen hängt in vielen Unternehmen von einer ausreichenden Sensibilisierung und Datenschutzschulung der Mitarbeiter ab. Da hierdurch Datenschutzrisiken in erheblichem Maße reduziert werden können, soll dieser Fachbeitrag einen Überblick unter Berücksichtigung der Datenschutz-Grundverordnung geben.

Die drei wesentlichen Ziele

Datenschutzschulungen stärken insbesondere das Problembewusstsein der Mitarbeiter für datenschutzrelevante Fragestellungen. Die Datenschutz-Grundverordnung sieht demgemäß die Überwachung der Sensibilisierung und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor (Art. 39 Abs. 1 lit. b) DSGVO) und sollte auch fester Bestandteil des Datenschutzmanagements im Unternehmen sein.

Noch einmal ist darauf hinzuweisen, dass Datenschutzschulungen und Sensibilisierungen der Mitarbeiter für den Datenschutz gerade Risiken durch den „Risikofaktor Mensch“ im eigenen Unternehmen eindämmen können.

Dabei stehen im Wesentlichen drei Ziele im Vordergrund:

  • Bewusstsein für datenschutzrechtliche Probleme schaffen
  • Mitarbeiter zu datenschutzkonformen Verhalten befähigen
  • Bereitschaft zu datenschutzkonformen Verhalten fördern

Umsetzung von Datenschutzschulungen im Unternehmen

Datenschutzschulungen können nach wie vor themenorientiert und für verschiedene Mitarbeitergruppen durchgeführt werden. Dabei sollte insbesondere auch die Art und die Häufigkeit im Umgang mit personenbezogenen Daten berücksichtigt werden. Schließlich macht es einen Unterschied, ob besonders sensible personenbezogene Daten wie Gesundheitsdaten betroffen sind oder Mitarbeiter aus dem Kundensupport geschult werden sollen.

Maßgeblich ist auch, inwieweit bereits Vorkenntnisse vorhanden sind und ob Schulungen aus einem bestimmten Anlass heraus (z. B.Neueinstellung, Stellenwechsel) oder als Basis in regelmäßigen Zeitabständen angeboten werden sollen (z. B. jährlich).

Dementsprechend können etwa:

  • Grundschulungen und
  • Schulungen zu speziellen Themen (Themenschulungen)

unterschieden werden.

Die Schulungen müssen nicht langweilig sein!

Wie auch einer unserer Leser anmerkt, können Datenschutzschulungen langweilig sein und tatsächlich auch als unnötig empfunden werden:

„Leider sieht die Praxis etwas anders aus. Schulungen zum Datenschutz werden als unnötig und langweilig empfunden (bevor sie überhaupt stattgefunden haben). Es fehlt am Willen, sich damit zu befassen. Wenn dann noch Vorgesetzte ein eher lockeres Verhältnis zum Datenschutz haben, braucht man eigentlich gar nicht erst anfangen. Das Thema wird solange nicht ernst genommen, bis etwas passiert.“

Richtig ist auch, dass Datenschutzschulungen mitunter kaum ernst genommen werden oder eine gewisse Sensibilität erst aufkommt, wenn es zu einem schwerwiegenden Datenschutzvorfall kommt. Andererseits sollten Datenschutzschulungen –wie aufgezeigt– auch fester Bestandteil des Datenschutzmanagements im Unternehmen sein.

Dabei müssen Datenschutzschulungen nicht langweilig sein. Diese können durch

  • spannende Vorträge
  • unterhaltsame oder aktive E-Learning-Schulungen
  • abwechslungsreiche Workshops
  • interessante Fallstudien
  • herausfordernde Tests oder
  • Teambuildingmaßnahmen in Form von Plan-/Rollenspiele etc.

alles andere als langweilig gestaltet werden.

Gerade auch durch eine fachlich fundierte Schulung kann ebenfalls viel für das Gelingen einer Datenschutzschulung getan werden.

Bei einer Grundschulung sollte inhaltlich ein erster Überblick zum Datenschutz gegeben werden. Dabei können insbesondere folgende Themenbereiche in Betracht kommen:

  • Grundsätze des Datenschutzes
  • Rechtlicher Rahmen und wesentliche Begriffe des Datenschutzes
  • Grundlagen der Datenverarbeitung
  • Betroffenenrechte
  • Verhalten bei Datenschutzverletzungen und Verstößen
  • Hinweise zu den technischen und organisatorischen Maßnahmen / zur Datensicherheit
  • Hinweise zum datenschutzgerechten Einsatz mobiler Geräte
  • Hinweise zur Datenschutzrichtlinie im Unternehmen

Demgegenüber sollten Themenschulungen zu bestimmten Themen erfolgen, wie folgende Beispiele zeigen:

  • Beschäftigtendatenschutz in der Personalabteilung
  • Datenschutz & Marketing
  • Datenschutz bei Einsatz risikoreicher Technologien etc.

Weitere Maßnahmen

Neben Schulungen bieten sich auch Datenschutztrainings an, um etwa die datenschutzkonforme Erfüllung von Betroffenenrechte oder das richtige Verhalten bei Datenschutzvorfällen einzuüben. Schwerpunkt eines Datenschutztrainings ist dann regelmäßig die praktische Einübung bestimmter Prozess- und Arbeitsvorgänge, womit theoretische Aspekte eher zurücktreten.

Darüber hinaus sollten den Mitarbeitern aber auch regelmäßig Informationen zu datenschutzrechtlichen Themen zur Verfügung gestellt werden. Hierfür bieten sich Handreichungen/Handouts, Aushänge oder Hinweise im Intranet an. Auch eine „Sprechstunde“ oder ein Jour-Fixe mit dem Datenschutzbeauftragten sollten in Betracht gezogen werden. Natürlich können Sie auch unseren Newsletter heranziehen.

Schulungen und andere Maßnahmen sollten schließlich nachgewiesen werden können und daher dokumentiert werden. Hierzu können beispielsweise Teilnahmebescheinigungen/-zertifikate, Schulungsunterlagen und Teilnehmerlisten verwendet werden.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Nach dem Wortlaut des Art. 39 Abs. 1 lit. b DSGVO ist die Aufgabe des DSB hinsichtlich Sensibilisierung und Schulung als Teil der Strategien des Verantwortlichen oder des Auftragsverarbeiters genau genommen die Überwachung hinsichtlich der Durchführung, zu welcher der Verantwortliche bzw. Auftragsverarbeiter verpflichtet ist. Aus pragmatischer Sicht ist die Schulung natürlich beim DSB richtig verortet, da dieser mit entsprechendem Fachwissen auffährt.

  2. Hallo. Danke für den Artikel, allerdings glaube ich dass der Link im Satz: „Wie auch einer unserer Leser anmerkt, können Datenschutzschulungen langweilig sein und tatsächlich auch als unnötig empfunden werden:“ falsch gesetzt ist, denn er führt nicht zu dem User-Kommentar. :)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.