Viele, wenn nicht sogar die meisten Datenschutzbeauftragten halten regelmäßig Schulungen für Beschäftigte. Besonders für externe Datenschutzbeauftragte gehört die Schulung der Unternehmen, die sie betreuen, fast schon zu den alltäglichen Aufgaben. Personen, die in diesem Bereich tätig sind, ist klar, dass eine gründliche Sensibilisierung von Angestellten, die regelmäßig mit personenbezogenen Daten in Berührung kommen, ein sehr effektives Mittel ist, grobe Schnitzer im Umgang mit Daten zu vermeiden. Datenschützer sind daher sehr interessiert Beschäftigte laufend zu schulen, da durch ein Mindestmaß an Awareness allen Beteiligten sehr viel Arbeit und viele weitere negative Konsequenzen erspart werden können.
Vor der Durchführung der Datenschutz-Schulungen werden wir öfters mit Fragen konfrontiert wie: „Besteht eine gesetzliche Pflicht zur Schulung?“ oder „Wie oft müssen wir geschult werden?“. Dieser Beitrag soll kurz darstellen, aus welchen Gründen Datenschützer auf Schulungen bestehen und welche Zwecke sie eigentlich verfolgen. Zudem wollen wir Ihnen eine grobe Empfehlung geben, welche Themen Bestandteil einer Datenschutz-Schulung sein sollten.
Ziele von Schulungen
Datenschutz-Schulungen sind für alle Personen, die regelmäßig mit personenbezogenen Daten hantieren, essenziell. Es ist mittlerweile kein Geheimnis mehr, dass ein falscher Umgang mit personenbezogenen Daten seit Einführung der DS-GVO zu schwerwiegenden Konsequenzen für das Unternehmen, wie beispielsweise Bußgeldern oder Untersagung von Datenverarbeitungen führen kann. Ein rechtswidriger Umgang passiert schneller als man denkt: Hat jemand einen USB-Stick mit personenbezogenen Daten verloren? Wurde eine E-Mail oder ein Brief an den falschen Empfänger gesendet? Dies sind bereits meldepflichtige Datenschutzverletzungen! Zudem bemerken wir immer wieder einen eher lapidaren Umgang mit alltäglichen Dokumenten: Oftmals werden diese einfach offen auf dem Tisch liegen gelassen, für alle sichtbar. Dokumente, die nicht mehr gebraucht werden, werden über den Hausmüll entsorgt oder es werden Software und Dienstleister eingesetzt, die nicht datenschutzkonform sind. Da wir ständig mit solchen Dingen in Berührung kommen, behalten viele die Brisanz nicht im Hinterkopf, weshalb der Datenschutz bei der Ausführung täglicher Aufgaben schlichtweg vergessen wird.
Hauptziel von Datenschutz-Schulungen ist es, Beschäftigte zu sensibilisieren und Ihnen unter Nennung der möglichen Konsequenzen für das Unternehmen, für sie selbst und den betroffenen Personen die Wichtigkeit des Themas klarzumachen. Geraten deren personenbezogenen Daten nämlich in die falschen Hände, können mit diesen Daten auch Cyber-Angriffe verübt werden. Die möglichen negativen Folgen für Betriebe, insbesondere jedoch für betroffene Personen können verheerend sein.
Schulungen im Datenschutz haben grundsätzlich nicht die Aufgabe, den Teilnehmern genau vorzuschreiben, wie sie mit Daten umgehen und wie sie ihren betrieblichen Alltag einrichten müssen um datenschutzkonform zu operieren. Schulungen dienen lediglich dazu, den Datenschutz beim Umgang mit personenbezogenen Daten immer im Hinterkopf zu behalten und Leute daran zu erinnern, dass eine gewisse Vorsicht geboten ist.
Sind Schulungen gesetzlich vorgeschrieben?
Aus dem Gesetz ergibt sich zunächst keine direkte Verpflichtung zur Durchführung und Teilnahme an Schulungen, kann sich jedoch gleichwohl aus der Rechenschaftspflicht einer jeden verantwortlichen Stelle gemäß Art. 5 Abs. 2 DS-GVO ableiten lassen. Darüber hinaus obliegt dem Datenschutzbeauftragten gemäß Art. 39 Abs. 1 lit. b) DS-GVO unter anderem die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten. Auch hieraus ergibt sich eine indirekte Pflicht zur Schulung im Datenschutz.
Wie oft muss geschult werden?
Auch gibt es keinerlei zwingende Vorgaben, in welchem Rhythmus geschult werden muss. Wir empfehlen jedoch eine Schulung in einem Zweijahresrhythmus. Zudem sollten neue Beschäftigte zeitnah zum Onboarding-Prozesses unterrichtet werden. Berücksichtigt werden sollte auch, dass eine Übersensibilisierung der Beschäftigten ebenfalls negative Folgen, wie beispielsweise eine geringe Akzeptanz oder im schlimmsten Fall gar die Nichtbeachtung zukünftiger Sensibilisierungsmaßnahmen, haben kann.
Was können Inhalte der Schulungen sein?
Nun bleibt lediglich die Frage offen, was genau eine solche Schulung beinhalten muss. Leider – oder vielleicht auch zum Glück – gibt die DS-GVO auch hierzu keine Vorgaben. Dies lässt natürlich einen gewissen Spielraum für etwaige Anpassungen an das jeweilige Unternehmen oder sogar an die jeweilige Abteilung zu. Man kann somit nicht pauschal sagen, welche Inhalte genau angesprochen werden sollen. Dennoch sollten Sie einige Eckpfeiler als Basis für ein solides Grundgerüst einbauen, welche wir Ihnen vorschlagen möchten:
Zunächst ist es sinnvoll die datenschutzrechtlichen Grundbegriffe vorzustellen, wie etwa personenbezogene Daten, Betroffene, Verarbeitung, Auftragsverarbeitung und Einwilligung. Anschließend empfehlen wir auch auf die Grundsätze der Datenverarbeitung i. S. d Art. 5 DS-GVO einzugehen. Weiterhin sollten auch die Themen Beschäftigtendatenschutz sowie die Wahrnehmung und Gewährleistung von Betroffenenrechten dargestellt werden.
Sofern innerhalb der verantwortlichen Stelle viele internationale Anwendungen und Dienstleister zum Einsatz kommen, sollten auch die rechtlichen Risiken im Zusammenhang mit Datenverarbeitungen außerhalb der Europäischen Union sowie die zwingend erforderliche Einbeziehung des Datenschutzbeauftragten bei dieser Thematik verdeutlicht werden. Natürlich empfiehlt es sich auch grundsätzlich auf die Rolle und die Aufgaben des Datenschutzbeauftragten als „Freund und Helfer“ des Verantwortlichen einzugehen – gerade weil die Wahrnehmung in der Realität oftmals eine andere ist.
Besonders empfehlenswert sind auch die kleinen, aber hilfreichen Tipps und Hinweise für den Berufsalltag, mit denen Beschäftigte einen bedeutenden Teil zum Datenschutz beitragen können. Hierzu kann auch auf die Umsetzung der für die Beschäftigten relevanten technischen und organisatorischen Maßnahmen gehören.
Unbedingt sollte zudem auf die Thematik der Datenschutzverletzung eingegangen werden. Beschäftigten ist nahe zu bringen, welche Ereignisse eine Datenschutzverletzung darstellen und wie sie sich in derartigen Fällen zu verhalten, beziehungsweise an welche Personen sie eine solche Datenschutzverletzung zu melden haben. In diese Zusammenhang sollte auch klargestellt werden, aus welchen Gründen es für verantwortliche Stellen essenziell ist, die Regelungen des Datenschutzes einzuhalten und welche Sanktionen im Zweifelsfall drohen können.
Am Ende liegt es bei der verantwortlichen Stelle beziehungsweise bei dem Datenschutzbeauftragten selbst, welche Themen angesprochen werden müssen. Hierbei sollte stets ein Ausgleich zwischen den rechtlichen Anforderungen der verantwortlichen Stelle und den Bedarfen der Beschäftigten realisiert werden. So kann die Datenschutz-Schulung effektiv zur Umsetzung und Einhaltung der datenschutzrechtlichen Anforderungen beitragen. Kommen Sie gern auf uns zu, wenn Sie auch für Ihr Unternehmen oder Ihre Behörde eine auf die Bedarfe der Beschäftigten zugeschnittene Sensibilisierung wünschen!
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
