Die Einhaltung von datenschutzrechtlichen Bestimmungen hängt in vielen Unternehmen von einer ausreichenden Sensibilisierung und Datenschutzschulung der Mitarbeiter ab. Da hierdurch Datenschutzrisiken in erheblichem Maße reduziert werden können, soll dieser Fachbeitrag einen Überblick unter Berücksichtigung der Datenschutz-Grundverordnung geben.
Der Inhalt im Überblick
Die drei wesentlichen Ziele
Datenschutzschulungen stärken insbesondere das Problembewusstsein der Mitarbeiter für datenschutzrelevante Fragestellungen. Die Datenschutz-Grundverordnung sieht demgemäß die Überwachung der Sensibilisierung und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor (Art. 39 Abs. 1 lit. b) DSGVO) und sollte auch fester Bestandteil des Datenschutzmanagements im Unternehmen sein.
Noch einmal ist darauf hinzuweisen, dass Datenschutzschulungen und Sensibilisierungen der Mitarbeiter für den Datenschutz gerade Risiken durch den „Risikofaktor Mensch“ im eigenen Unternehmen eindämmen können.
Dabei stehen im Wesentlichen drei Ziele im Vordergrund:
- Bewusstsein für datenschutzrechtliche Probleme schaffen
- Mitarbeiter zu datenschutzkonformen Verhalten befähigen
- Bereitschaft zu datenschutzkonformen Verhalten fördern
Umsetzung von Datenschutzschulungen im Unternehmen
Datenschutzschulungen können nach wie vor themenorientiert und für verschiedene Mitarbeitergruppen durchgeführt werden. Dabei sollte insbesondere auch die Art und die Häufigkeit im Umgang mit personenbezogenen Daten berücksichtigt werden. Schließlich macht es einen Unterschied, ob besonders sensible personenbezogene Daten wie Gesundheitsdaten betroffen sind oder Mitarbeiter aus dem Kundensupport geschult werden sollen.
Maßgeblich ist auch, inwieweit bereits Vorkenntnisse vorhanden sind und ob Schulungen aus einem bestimmten Anlass heraus (z. B.Neueinstellung, Stellenwechsel) oder als Basis in regelmäßigen Zeitabständen angeboten werden sollen (z. B. jährlich).
Dementsprechend können etwa:
- Grundschulungen und
- Schulungen zu speziellen Themen (Themenschulungen)
unterschieden werden.
Die Schulungen müssen nicht langweilig sein!
Wie auch einer unserer Leser anmerkt, können Datenschutzschulungen langweilig sein und tatsächlich auch als unnötig empfunden werden:
„Leider sieht die Praxis etwas anders aus. Schulungen zum Datenschutz werden als unnötig und langweilig empfunden (bevor sie überhaupt stattgefunden haben). Es fehlt am Willen, sich damit zu befassen. Wenn dann noch Vorgesetzte ein eher lockeres Verhältnis zum Datenschutz haben, braucht man eigentlich gar nicht erst anfangen. Das Thema wird solange nicht ernst genommen, bis etwas passiert.“
Richtig ist auch, dass Datenschutzschulungen mitunter kaum ernst genommen werden oder eine gewisse Sensibilität erst aufkommt, wenn es zu einem schwerwiegenden Datenschutzvorfall kommt. Andererseits sollten Datenschutzschulungen –wie aufgezeigt– auch fester Bestandteil des Datenschutzmanagements im Unternehmen sein.
Dabei müssen Datenschutzschulungen nicht langweilig sein. Diese können durch
- spannende Vorträge
- unterhaltsame oder aktive E-Learning-Schulungen
- abwechslungsreiche Workshops
- interessante Fallstudien
- herausfordernde Tests oder
- Teambuildingmaßnahmen in Form von Plan-/Rollenspiele etc.
alles andere als langweilig gestaltet werden.
Gerade auch durch eine fachlich fundierte Schulung kann ebenfalls viel für das Gelingen einer Datenschutzschulung getan werden.
Bei einer Grundschulung sollte inhaltlich ein erster Überblick zum Datenschutz gegeben werden. Dabei können insbesondere folgende Themenbereiche in Betracht kommen:
- Grundsätze des Datenschutzes
- Rechtlicher Rahmen und wesentliche Begriffe des Datenschutzes
- Grundlagen der Datenverarbeitung
- Betroffenenrechte
- Verhalten bei Datenschutzverletzungen und Verstößen
- Hinweise zu den technischen und organisatorischen Maßnahmen / zur Datensicherheit
- Hinweise zum datenschutzgerechten Einsatz mobiler Geräte
- Hinweise zur Datenschutzrichtlinie im Unternehmen
Demgegenüber sollten Themenschulungen zu bestimmten Themen erfolgen, wie folgende Beispiele zeigen:
- Beschäftigtendatenschutz in der Personalabteilung
- Datenschutz & Marketing
- Datenschutz bei Einsatz risikoreicher Technologien etc.
Weitere Maßnahmen
Neben Schulungen bieten sich auch Datenschutztrainings an, um etwa die datenschutzkonforme Erfüllung von Betroffenenrechte oder das richtige Verhalten bei Datenschutzvorfällen einzuüben. Schwerpunkt eines Datenschutztrainings ist dann regelmäßig die praktische Einübung bestimmter Prozess- und Arbeitsvorgänge, womit theoretische Aspekte eher zurücktreten.
Darüber hinaus sollten den Mitarbeitern aber auch regelmäßig Informationen zu datenschutzrechtlichen Themen zur Verfügung gestellt werden. Hierfür bieten sich Handreichungen/Handouts, Aushänge oder Hinweise im Intranet an. Auch eine „Sprechstunde“ oder ein Jour-Fixe mit dem Datenschutzbeauftragten sollten in Betracht gezogen werden. Natürlich können Sie auch unseren Newsletter heranziehen.
Schulungen und andere Maßnahmen sollten schließlich nachgewiesen werden können und daher dokumentiert werden. Hierzu können beispielsweise Teilnahmebescheinigungen/-zertifikate, Schulungsunterlagen und Teilnehmerlisten verwendet werden.
Nach dem Wortlaut des Art. 39 Abs. 1 lit. b DSGVO ist die Aufgabe des DSB hinsichtlich Sensibilisierung und Schulung als Teil der Strategien des Verantwortlichen oder des Auftragsverarbeiters genau genommen die Überwachung hinsichtlich der Durchführung, zu welcher der Verantwortliche bzw. Auftragsverarbeiter verpflichtet ist. Aus pragmatischer Sicht ist die Schulung natürlich beim DSB richtig verortet, da dieser mit entsprechendem Fachwissen auffährt.
Dies ist zutreffend.
Hallo. Danke für den Artikel, allerdings glaube ich dass der Link im Satz: „Wie auch einer unserer Leser anmerkt, können Datenschutzschulungen langweilig sein und tatsächlich auch als unnötig empfunden werden:“ falsch gesetzt ist, denn er führt nicht zu dem User-Kommentar. :)
Link wurde aktualisiert. Vielen Dank.
Wir setzen für die Datenschutz-Schulung ein datenschutzkonformes e-learning-Tool ein. Als DSB hab ich empfohlen, die Schulung mit diesem Tool 1 x jährlich für alle Mitarbeiter (1000) durchzuführen. Praktisch alle Mitarbeiter verarbeiten bei uns personenbezogene Daten. Zeitlicher Aufwand für die Schulung: ca. 20min. Das Management ist nun der Meinung, dass die Schulung zu zeitaufwändig sei. Es will diese max. nur alle 3 Jahre durchführen lassen mit der zusätzlichen Begründung, dass der Schulungs-Zyklus ja nicht gesetzlich festgelegt ist. 3 Jahre sind nach meiner Einschätzung eindeutig zu lang, 2 Jahre könnte ich gerade noch akzeptieren.
Wie sehen Sie das? Vielen Dank.
Die Schulungen zum Datenschutz sollten in regelmäßigen Abständen wiederholt werden. Natürlich ergibt sich aus der Datenschutz-Grundverordnung kein fest, vorgegebener Zyklus. Wenn es sich um ein datengetriebenes Unternehmen handelt und/oder besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) verarbeitet werden, dann sind häufige Schulungen und Sensibilisierungsmaßnahmen erforderlich. Hier kann im Einzelfall eine halbjährliche Schulung erforderlich sein. In anderen Fällen genügt in der Regel eine Schulung einmal pro Jahr. Bei dem Turnus für die Datenschutz-Schulungen ist immer auch die Häufigkeit des Ein- und Austritts von Mitarbeitern zu berücksichtigen.
Schulungen sollten grundsätzlich nach dem jeweiligen Bedarf festgelegt werden. Viele Unternehmen arbeiten mit einem Zweijahres-Rhytmus, wobei allerdings der Einzelfall berücksichtigt werden muss. Je risikoreicher die Verarbeitungstätigkeiten sind, desto intensiver und häufiger sollten Schulungen durchgeführt werden. Einzelheiten sollten in einem Schulungskonzept festgelegt werden, das regelmäßig überprüft und ggf. angepasst werden sollte.