Mitarbeiterschulungen zum Thema Datenschutz: Warum sind sie so wichtig?

Mitarbeiterschulungen zum Thema Datenschutz: Warum sind sie so wichtig?

Die Bedrohung durch Cyber-Angriffe nimmt stetig zu und Phishing-E-Mails sind dabei eine der gängigsten Methoden. Die aktuelle Welle betrifft besonders den Emailverkehr in Unternehmen. Cyberkriminelle nutzen dabei raffinierte Strategien, um glaubwürdige E-Mails zu erstellen und die Betreffzeilen so anzupassen, dass sie auf den ersten Blick nicht als gefährlich oder ungewöhnlich eingestuft werden. Oft werden Beschäftigte dabei emotional angesprochen, z.B. mit einer hohen Dringlichkeit oder einer persönlichen Ansprache, um eine Reaktion zu erzielen. Das kann eine einfach Antwort sein, um die Emailadresse zu verifizieren oder das Anklicken eines Anhangs, der Ransomware enthalten kann.

Insbesondere durch Themen, die mit IT- und Online-Diensten zu tun haben – beispielsweise Aufforderungen zur Passwortänderung oder Einladungen zu Online-Meetings – können die Phishing-Versuche erfolgreich sein. Eine besonders heimtückische Taktik ist dabei die Tarnung als interne Email, z.B. aus der IT-Abteilung oder eine Aufforderung der Geschäftsleitung. Teilweise werden hier die Muster der Emailadressen erkannt und so ein Name abgeleitet, der einer real existierenden Person im Unternehmen entspricht und somit noch vertrauenswürdiger wirken soll. Auch wir haben schon mehrere solcher Emails erhalten.
Eine erste „Verteidigungslinie“ innerhalb des Unternehmens kann helfen, mögliche Schäden abzuwehren. Regelmäßige Schulungen der Beschäftigten sind daher unverzichtbar, um kriminelle Akteure zu erkennen und das Unternehmen zu schützen.

Weshalb mangelndes Wissen zu Verstößen gegen die DSGVO führen kann
Die Meisten wissen es bereits: Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat strenge Vorgaben für Unternehmen und Organisationen eingeführt, um personenbezogene Daten zu schützen. Dennoch sind Verstöße gegen die DSGVO immer noch häufig, wobei die meisten Verstöße auf mangelndes Wissen der Beschäftigten zurückzuführen sind. Aus diesem Grund sind Beschäftigtenschulungen und -awarenesstrainings in Sachen Datenschutz von großer Bedeutung, um das Bewusstsein und den verantwortungsvollen Umgang mit personenbezogenen Daten zu fördern.

Was sagt die DSGVO?
Direkt verpflichtend ist eine Schulung der Beschäftigten zwar laut Verordnung nicht, da es keinen expliziten Artikel im Bundesdatenschutzgesetz (BDSG) oder in der DSGVO gibt, der dies vorschreibt. Allerdings finden sich in der DSGVO indirekte Vorgaben, die eine Schulung der Mitarbeiter erforderlich machen. Gemäß Art. 5 Absatz 2 der DSGVO ist der Verantwortliche für die Einhaltung der Verarbeitungsgrundsätze verantwortlich und muss deren Einhaltung auch nachweisen können. Hierbei ist es nur logisch, dass die Beschäftigten über diese Grundsätze erst informiert werden müssen, um sie überhaupt einhalten zu können. Art. 39 Absatz 1a der DSGVO legt dem Datenschutzbeauftragten die Aufgabe der Unterrichtung und Beratung der Beschäftigten hinsichtlich ihrer Pflichten nach der DSGVO und anderer Datenschutzvorschriften auf. Darüber hinaus erwähnt auch Artikel 32 der DSGVO die Notwendigkeit geeigneter technischer und organisatorischer Maßnahmen (TOM’s), um ein angemessenes Schutzniveau zu gewährleisten, wofür ebenfalls Schulungen der Beschäftigten erforderlich sind.

Wer sollte geschult werden?
Ein Datenschutz-Training ist für alle Beschäftigten sinnvoll, die personenbezogene Daten erheben oder verarbeiten, besonders jene, die diese Tätigkeiten regelmäßig ausführen. Jedoch ist es auch ratsam, Beschäftigte, die nur gelegentlich Daten verarbeiten, an einem Basis-Training teilnehmen zu lassen, da auch bei gelegentlicher Datenverarbeitung Fehler passieren können, die zu Cyberangriffen oder Verstößen gegen die DSGVO führen können.
Viele Beschäftigte verfügen nicht über das erforderliche Wissen im Bereich Datenschutz und IT-Sicherheit und wissen auch nicht um aktuelle Methoden von Cyberkriminellen. Oftmals werden die Anforderungen und Regeln für Arbeitgeber als unübersichtlich und verwirrend empfunden. Deshalb ist es von entscheidender Bedeutung, Beschäftigte regelmäßig zu schulen, um das Bewusstsein für Datenschutz zu schärfen und ein grundlegendes Verständnis für die DSGVO und IT-Sicherheit zu schaffen. In effektiven Schulungen können Beschäftigte lernen, wie sie persönliche Daten richtig verarbeiten, potenzielle Risiken erkennen und an wen sie Auffälligkeiten im Verdachtsfall kommunizieren müssen.

Wie oft soll geschult werden?
Datenschutzschulungen sollten regelmäßig stattfinden. Es empfiehlt sich, mit einer Basis-Schulung zu den Grundlagen der DSGVO bereits im Onboardingprozess zu starten und die vermittelten Inhalte mit Folgeschulungen zu vertiefen und zu wiederholen. Eine jährliche Schulung hat sich als am sinnvollsten gezeigt – oder, sobald sich etwas an den Vorgaben ändert. Dies ist natürlich nur ein grober Richtwert, denn, je nach Branche – Stichwort „personenbezogene Daten besonderer Kategorien“, können häufigere Schulungen nötig sein. Abhängig ist der Schulungsrhythmus auch von weiteren Faktoren, wie z.B. der Art des Unternehmens, der Art der verarbeiteten Daten und dem Risikopotenzial.
Es ist ratsam, das grundlegende Datenschutz-Wissen um branchenspezifische Vorschriften zu erweitern. Indem man die Schulungen an die spezifischen Anforderungen anpasst, können die Beschäftigten besser auf die tatsächlichen Herausforderungen im Arbeitsumfeld vorbereitet werden.

Welche Schulung ist die richtige für Ihre Beschäftigten?
Die Wahl der richtigen Schulungsform hängt von verschiedenen Faktoren ab, wie zum Beispiel der Größe des Unternehmens, dem Zeit- und Budgetrahmen sowie der Verfügbarkeit der Beschäftigten. Eine Onlineschulung bietet den Vorteil, dass sie zeitlich und örtlich flexibel ist. Die Beschäftigten können die Schulung von ihrem Arbeitsplatz oder von zu Hause aus absolvieren. Bei einer Vor-Ort-Schulung hingegen können die Mitarbeiter direkt Fragen stellen und interaktiv an der Schulung teilnehmen.
Doch welche Inhalte sollte eine gute Datenschutzschulung beinhalten, unabhängig davon, ob sie online oder vor Ort stattfindet?

  • Verständnis schaffen: Die Datenschutzgrundverordnung (DSGVO) ist für viele Mitarbeiter ein Buch mit sieben Siegeln. In der Schulung sollte deshalb zumindest ein grundlegendes Verständnis der DSGVO vermittelt werden, damit die Mitarbeiter die Bedeutung und die Grundsätze der Verordnung verstehen.
  • Awareness fördern: Datenschutz betrifft Alle im Unternehmen. In einer Schulung sollte daher das Bewusstsein geschärft und anhand von Praxisbeispielen aufgezeigt werden, an welchen Stellen mit besonderer Aufmerksamkeit gehandelt werden sollte.
  • KnowHow erhöhen: Viele Datenschutzverstöße und Cyberattacken geschehen durch Unachtsamkeit im Umgang mit digitalen Daten. Eine gute Schulung sollte deshalb das Wissen über die IT-Sicherheit erhöhen und den Mitarbeitern zeigen, wie sie sich vor Bedrohungen aus dem Internet schützen können.

Wahl des Referenten
Eine Schulung zum Thema Datenschutz sollte immer von einem zertifizierten Datenschutz-Experten durchgeführt werden. Eine Vorlage aus dem Internet – und davon gibt es einige – oder der interne Datenschutzbeauftragte sind in der Regel nicht ausreichend, um das notwendige Wissen zu vermitteln. Nur ein zertifizierter Experte kann sicherstellen, dass die Mitarbeiter die nötige Expertise erhalten und etwaige Rückfragen korrekt beantwortet werden.

Essenz:

  • Die Bedrohung durch Cyber-Angriffe auf Unternehmen nimmt stetig zu und Phishing-E-Mails sind dabei eine der aktuell gängigsten Methoden.
  • Eine erste „Verteidigungslinie“ innerhalb des Unternehmens kann helfen, mögliche Schäden abzuwehren.
  • Regelmäßige Schulungen der Beschäftigten sind ein sinnvolles Mittel, um das Bewusstsein zu schärfen, Risiken zu erkennen und so das Unternehmen von innen aktiv zu schützen.
  • Beschäftigte müssen laut DSGVO durch den Verantwortlichen über datenschutzrechtliche Grundsätze informiert werden.
  • In effektiven Schulungen können Beschäftigte lernen, wie sie persönliche Daten richtig verarbeiten, potenzielle Risiken erkennen und an wen sie Auffälligkeiten im Verdachtsfall kommunizieren müssen.

Falls Sie es noch nicht wussten: Wir bieten in unserer adverit academy diverse Schulungen an. Ob eine Basis-Schulung in Sachen Datenschutz, spezielle Fachschulungen für interne Datenschützer oder andere Trainings, die Sie und Ihr Unternehmen voranbringen – schauen Sie gern einmal vorbei! Sie möchten sich individuell beraten lassen, welche Maßnahmen für Sie und Ihr Unternehmen sinnvoll sind? Wir stehen Ihnen gern mit unserer Expertise zur Seite.