Schulung durch den Datenschutzbeauftragten
30. April 202020. Juni 2022
1
In Compliance, Fakten

Schulung durch den Datenschutzbeauftragten

Die Datenschutzschulung der eigenen Mitarbeiter bildet ein unerlässliches und wichtiges Instrument, um ein stringentes und datenschutzkonformes Arbeiten ermöglichen zu können. Die Mitarbeiter werden im Hinblick auf das Thema Datenschutz durch die Schulung sensibilisiert und hierdurch ein Grundstein gesetzt, den Datenschutz im Unternehmen etablieren zu können.

Eine gesetzlich verankerte Pflicht zur Datenschutzschulung von Mitarbeitern besteht in der DS-GVO grundsätzlich nicht, sollte aber deswegen nicht gänzlich aus den Augen verloren werden. Denn die Vorschriften der Verordnung schaffen eine „indirekte Pflicht“ zur Schulung der Mitarbeiter.

Im Folgenden möchten wir Ihnen erläutern, wieso eine Datenschutzschulung der Mitarbeiter von Bedeutung ist, wie die Mitarbeiter im Hinblick auf Datenschutz geschult werden können, wie eine Schulung aufgebaut werden kann und welche Inhalte abgedeckt werden sollten.

1. Bedeutung einer Datenschutzschulung

Nur weil die Schulungspflicht der Mitarbeiter im Hinblick auf den Datenschutz nicht explizit in der DS-GVO verankert ist, bedeutet dies nicht, dass sie keine Bedeutung für Unternehmen und ihre Mitarbeiter aufweist. Denn das Unternehmen bzw. der Datenschutz-Verantwortliche unterliegt einer Rechenschaftspflicht zur Einhaltung der Datenschutzgrundverordnung und diese beinhaltet auch, organisatorische Maßnahmen zur Einhaltung der Vorschriften zu treffen. Es wäre mithin gänzlich verkehrt, wenn Unternehmen die Auffassung vertreten, dass eine Datenschutzschulung ihrer Mitarbeiter sie nicht tangieren würde.

Sofern Mitarbeiter eines Unternehmens die datenschutzrechtlichen Vorschriften der Verordnung nicht einhalten, können sowohl zivilrechtliche als auch strafrechtliche Sanktionen drohen. Hieraus wird nochmals die „indirekte Pflicht“ zur Schulung der Mitarbeiter deutlich.

So kann sich eine Pflicht zur Datenschutzschulung nicht aus dem Gesetz ergeben, aber aus einzelnen Aufgaben resultieren, die die Mitarbeiter im Unternehmen ausführen. Hierfür gilt es diese zu qualifizieren, um etwaige Sanktionen zu verhindern.

Unternehmen sollten sich immer die Frage stellen, ob Ihre Mitarbeiter damit vertraut sind, wie sie sich bei einer Datenschutzpanne zu verhalten haben, welchen Auskunftspflichten sie Betroffenen gegenüber unterliegen, wie es sich mit den Löschfristen verhält und wie ein sorgsamer Umgang mit personenbezogenen Daten aussieht.

Das alles sind Fragen, über die sich Unternehmen im Hinblick auf ihre Mitarbeiter und der Einhaltung des Datenschutzes, meist erst Gedanken machen, sofern datenschutzrechtlich etwas fehlerhaft gelaufen ist. Um von vornherein datenschutzkonform agieren zu können, muss das nötige Wissen im Hinblick auf den Datenschutz bei den Mitarbeitern vorhanden sein, welches nur durch eine Schulung zu erlangen ist.

Neben der Sensibilisierung der Mitarbeiter hat die Datenschutzschulung auch den Nebeneffekt, dass die IT-Sicherheit gestärkt wird, da alle Mitarbeiter im Unternehmen besser verstehen, wie sie mit Daten zu agieren haben. Zudem kann sich das verantwortungsbewusste Vorgehen mit den Daten der Kunden auch positiv auf deren Vertrauen dem Unternehmen gegenüber auswirken, sofern den Kunden ersichtlich ist, dass ihre Daten von den Mitarbeitern im Unternehmen richtig erhoben und verarbeitet und die gewünschte Sicherheit gewährleistet werden kann.

Sofern im Unternehmen ein Datenschutzbeauftragter bestellt worden ist, sorgt dieser gemeinsam mit dem Datenschutzverantwortlichen für die Unterweisung und Beratung der Mitarbeiter in Sachen Datenschutz.

2. Schulungsbetroffene Personen

Grundsätzlich sollten alle Mitarbeiter eines Unternehmens eine Datenschutzschulung absolvieren, sodass ein einheitliches Niveau im Hinblick auf den Datenschutz im Unternehmen gewährleistet werden kann. Hierfür ist es ausreichend, dass die Basics des Datenschutzes geschult werden. Von besonderer Bedeutung ist es allerdings, dass Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, weil sie beispielsweise Kunden-, Patienten- oder Mitarbeiterdaten verarbeiten, einer Datenschutzschulung unterzogen werden.

Die Schulung aller Mitarbeiter macht auch vor dem Hintergrund Sinn, dass Urlaubsvertretungen oder Wechsel zu Abteilungen stattfinden, die vermehrt personenbezogene Daten verarbeiten. In diesem Fall sind die betreffenden Mitarbeiter bereits sensibilisiert und auf ein datenschutzkonformes Verhalten gebrieft.

3. Art der Durchführung der Schulung

Sofern sich ein Unternehmen für die Datenschutzschulung von Mitarbeitern entscheidet, taucht in diesem Zusammenhang oft die Frage auf, wie diese durchzuführen ist. Genauso wenig wie es eine direkte Verpflichtung zur Schulung der Mitarbeiter gibt, existierten auch zu der Art der Durchführung von Datenschutzschulungen keine genauen Vorgaben.

Generell bietet es sich an, eine Schulung so durchzuführen, dass diese Dritten gegenüber nachweisbar ist. Beispielweise kann dies durch ein Schulungsprotokoll erfolgen oder durch ein sog. E-Learning Modul, welches im Anschluss an ein Zertifikat verknüpft ist. Unternehmen können sich aber auch dazu entscheiden, die Schulungsmaterialien als E-Mail zu verschicken und im Gegenzug eine Bestätigungsmail der Mitarbeiter zu erbitten. Alternativ können auch Live-Seminare im Unternehmen oder extern veranstaltet werden, deren Teilnahme von den Mitarbeitern zu bestätigen ist.

Welche Maßnahme die beste Form der Datenschutzschulung ist, muss einzelfallabhängig und je nach Unternehmen entschieden werden.

4. Inhalte einer Datenschutzschulung

Anschließend stellt sich die Frage, worüber die Mitarbeiter inhaltlich im Hinblick auf Datenschutz geschult werden sollen. Vorrangig sollten die Inhalte einer Schulung auf das Zielpublikum im Unternehmen zugeschnitten und nah am täglichen Berufsalltag sein.

Allgemein sollte die Schulung ein Bewusstsein für datenschutzrechtliche Belange erzeugen und zu einem datenschutzkonformen Verhalten befähigen und dieses fördern.

Antworten auf folgende Fragestellungen liefern wichtige (Hintergrund)Informationen zum Datenschutz und sollten Bestandteil einer entsprechenden Schulung sein:

  • Was ist Datenschutz?
  • Was ist die EU-DSGVO?
  • Was ist das BDSG?
  • Was sind personenbezogene Daten?
  • Was sind die Grundsätze der Verarbeitung von personenbezogenen Daten?
  • Was sind die Rechte der Betroffenen und die Pflichten des Verantwortlichen?
  • Was ist die IT-Sicherheit und was umfasst sie?

Eine gut ausgestaltete Power-Point-Präsentation ermöglicht es, alle wichtigen Punkte zum Thema Datenschutz anzusprechen und zu verdeutlichen. Im Anschluss an die Präsentation sollte ein Schulungsprotokoll angefertigt werden. Weiterhin ist es möglich, die Datenschutzschulung auch mit weiteren Themen zu verknüpfen. Beispielsweise können ergänzend die Richtlinien zur Datensicherheit oder der Umgang mit Unternehmensgeheimnissen angesprochen werden. Der Vorteil der Verknüpfung mit weiteren Themen liegt darin, dass die Mitarbeiter die Grenzen und Unterschiede einzelner Themen nach der Schulung besser erkennen und beachten können.

5. Schulungsrhythmus und Nachweispflicht

Damit das Thema Datenschutz bei den Mitarbeitern nicht in Vergessenheit gerät, sondern präsent bleibt, bietet sich als Turnus eine jährliche Schulung an. Wem dieser Zeitraum zu lang gestaltet ist, kann auch eine Schulung ansetzen, sofern sich neue Gegebenheiten im Hinblick auf den Datenschutz ergeben. Dies ist beispielsweise möglich, wenn Gerichtsurteile mit besonderer Relevanz erscheinen oder im Unternehmen eine neue Software eingeführt wird. Maßgeblich ist hierbei immer, dass die Schulung durchgeführt wird, bevor die Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beginnen.

Wie am Anfang des Blogbeitrags bereits erwähnt wurde, trifft die Unternehmen bzw. Verantwortlichen nach Art. 5 Abs. 2 DS-GVO die sogenannte Rechenschaftspflicht, welche eine Verpflichtung zur Dokumentation enthalten. Die Dokumentationspflicht sollte die Namen der Teilnehmer der Schulung aber auch den Schulungsinhalt enthalten. Zur Dokumentation der Teilnehmernamen bietet sich in der Regel die Führung einer Excel-Tabelle an, denn auch die Schulungsteilnahmeaufzeichnungen unterliegen bestimmten Löschfristen. Insbesondere wenn Mitarbeiter aus dem Unternehmen ausscheiden, wird die Entfernung des Namens des Mitarbeiters durch das sorgsame Führen einer Excel-Tabelle erleichtert.