Die Einhaltung der Datenschutzregeln beginnt mit der Sensibilisierung der Beschäftigten. Denn diese sind es, die regelmäßig mit personenbezogenen Daten in Berührung kommen und daher wissen müssen, welche datenschutzrechtlichen Vorgaben zu beachten sind. Eine Datenschutzschulung der MitarbeiterInnen schützt dabei auch die Unternehmen selbst, denn regelmäßig resultieren Datenpannen oder unzulässigen Datenverarbeitungen aus Unkenntnis. Durch entsprechende Aufklärung können Unternehmen somit auch Bußgelder vermeiden. Doch worin sollten Beschäftigte konkret geschult werden und welche Art der Schulung ist sinnvoll? Nach nachfolgende Beitrag gibt Ihnen hierzu einen ersten Überblick.
Besteht eine gesetzliche Pflicht zur Datenschutzschulung?
Unabhängig davon, ob Unternehmen von datenschutzrechtlich geschulten MitarbeiterInnen profitieren, bleibt die Frage, ob die DSGVO überhaupt eine solche Schulungspflicht vorsieht. Eine direkte Pflicht zur Datenschutzschulung steht nämlich weder in der DSGVO noch in den ergänzenden Regelungen des BDSG. Allerdings macht die DSGVO indirekt Vorgaben, die eine nachweisbare Sensibilisierung der Beschäftigten einfordert.
Gemäß Art. 5 Abs. 2 DSGVO besteht eine allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung des Datenschutzrechts (sog. Rechenschaftspflicht). Durch entsprechende Schulungen kann gewährleistet werden, dass die Regeln zur Beachtung der Datenschutzregeln intern kommuniziert und somit auch umgesetzt wurden.
Ein weiterer Punkt ist die Pflicht zur Einhaltung technisch organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO. Für ein angemessenes Schutzniveau ist es dabei ebenso unabdingbar, dass MitarbeiterInnen über die getroffenen Maßnahmen informiert und zur Einhaltung der Regeln verpflichtet werden. Diese Verpflichtung gilt dabei insbesondere für Auftragsverarbeiter, die laut Art. 28 Abs. 3 lit. b DSGVO gewährleisten müssen, dass sie die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben. Neben einer schriftlichen Verpflichtung auf die Vertraulichkeit, wird hier auch die Schulung der Beschäftigten hineingelesen.
Im Fall eines Datenschutzverstoßes kann der Nachweis von Schulungen mögliche Sanktionen von Aufsichtsbehörden abmildern. Kommt es beispielsweise zu einer Datenpanne und der Verantwortliche kann nicht nachweisen, dass die Beschäftigten ausreichend geschult wurden, so kann dies auf die Bemessung eines Bußgeldes Auswirkung haben.
Jetzt eLearning buchen //Datenschutz für Beschäftigte //Datensicherheit im Home-Office
Präsenzschulung oder eLearning?
Um die Mitarbeiter bestmöglich zu schulen, gibt es verschiedene Optionen. Neben der klassischen Präsenzschulung setzen Unternehmen vermehrt auf zeitlich flexibles eLearnings.
Beide Lösungen haben Ihre Vorteile. Präsenzschulungen bieten Teilnehmenden die Möglichkeit durch direkten Austausch gezielt nachfragen stellen und Lösungsansätze erarbeiten zu können. So ist es beispielsweise sinnvoll, Fachabteilungen für Personal oder Marketing gezielt vor Ort zu schulen und dadurch konkrete Fragen aus dem Praxis gezielt zu adressieren.
Ein eLearning ist im Gegensatz für die flächendeckende Sensibilisierung von Beschäftigten häufig besser geeignet. Mit einer digitalen Lösung können so auch in kurzer Zeit große Teilnehmerzahlen zeitlich flexibel geschult werden. Insbesondere in Zeiten von Corona liegt dieser Vorteil auf der Hand, denn die Beschäftigten können so auch im Home-Office auf die Vorgaben der Datenschutzregeln sensibilisiert werden.
Welche Inhalte sollten vermittelt werden?
Eine Datenschutzschulung sollte den Beschäftigten zunächst die Grundlagen des Datenschutzes näherbringen. Darüber hinaus empfiehlt es sich, konkrete technische und organisatorische Empfehlungen zum Umgang mit personenbezogen Daten zu vermitteln. Eine solche Basisschulung ist dabei für alle MitarbeiterInnen relevant, deren tägliche Arbeit die Verarbeitung von Kunden- oder Personaldaten umfasst. Dabei sollte eine solche Datenschutzschulung den Beschäftigten auch ein Gefühl vermitteln, warum Datenschutz für das Unternehmen wichtig ist und wie sie zu einem höheren Datenschutzniveau an ihrem Arbeitsplatz beitragen können.
Neben einer Basisschulung sollten Unternehmen ihre Beschäftigte auch zu speziellen Themen schulen. Insbesondere die Arbeit im Home-Office birgt Gefahren für die Datensicherheit, weshalb sich hierzu gezielte Schulungen zur mobilen Arbeit anbieten.
In welchen Zeitabständen sollte geschult werden?
Wichtig ist, dass Datenschutzschulungen regelmäßig stattfinden, da nur so das erlernte Wissen vertieft werden kann. Wir empfehlen, Beschäftige je nach Tätigkeitsbereich im Turnus von ein bis zwei Jahren zu schulen, um ihre Kenntnisse im Datenschutz aktuell zu halten. Zudem ist es wichtig, dass Beschäftigte im Anschluss an die Schulung einen Nachweis, z.B. in Form eines Teilnahmezertifikats erhalten. Dies dient im Ernstfall auch als Beleg, dass die MitarbeiterInnen auch tatsächlich an der Schulung teilgenommen haben.
Fazit
Die Schulung von Beschäftigten ist ein wichtiger Baustein der Datenschutz-Compliance. Auch wenn da Gesetz keine namentliche Pflicht vorsieht, gibt es verschiedene Regelungen in der DSGVO, die mittelbar ein Sensibilisierungs- und Schulungspflicht einfordern. Die Form der Schulung ist abhängig von der Größe der Unternehmen und zu vermittelten Inhalte. So können durch Präsenzschulungen deutlich besser kleinere Teams und Fachabteilungen geschult werden. Größe Unternehmen und agile Teams sollten hingegen vermehrt auf flexible Online-Schulungen setzen. Insbesondere in Corona-Zeiten sollten Unternehmen Beschäftigte im Home-Office gezielt zu datenschutzrechtlichen Themen schulen.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Melina Voß studiert Rechtswissenschaften an der Universität Hamburg und ist wissenschaftliche Mitarbeiterin der Datenschutzkanzlei.