Datenschutzschulungen: Weite Begriffsdefinition „personenbezogene Daten” und „Verarbeitung” bilden häufig Stolperfallen in der Praxis

veröffentlicht am 31. Januar 2022

Ohne ausreichende Sensibilisierung zum Datenschutz wird die weite, umfassende Begriffsdefinition der personenbezogenen Daten und der Datenverarbeitung, die die DS-GVO vorgibt, leicht unterschätzt. Datenschutzschulungen in der Sozialwirtschaft sollten daher auf praxisnahe Fallbeispiele eingehen. Schulungen zu unterlassen oder nur teilweise durchzuführen ist mit Risiken behaftet.

„Das ist doch nur eine Namensliste, da sind doch noch gar keine vertraulichen Daten drin.” So oder ähnlich mag manche Mitarbeiterin oder mancher Mitarbeiter in Sozialunternehmen oder Pflegeeinrichtungen im Alltag über die Teilnehmerliste der Verabschiedung des langjährigen Heimleiters oder eine Besucherliste am Empfang denken. Das darin liegende Missverständnis gehört zu den gefährlichen Klassikern, die dem Datenschutzbeauftragten in der Praxis begegnen.

Gem. Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten Angaben über eine identifizierte oder identifizierbare natürliche Person. Eine einfache Namensliste enthält also bereits personenbezogene (= durch den Datenschutz geschützte) Daten. Die Beziehung der Einrichtung zu dieser Person spielt keine Rolle, also egal ob Mitarbeiterin / Kollegin, Bewohner, Angehörige, Besucher oder Lieferant.

Auch Daten ohne direkten Personenbezug (z. B. ohne Namensangabe) können personenbezogene Daten sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann, wenn also die Zuordnung zur Person wieder hergestellt werden kann, beispielsweise über die Personalnummer als sog. Pseudonym. Erst bei einer nicht umkehrbaren Anonymisierung würde es sich nicht mehr um personenbezogene Daten handeln.

Ebenso weit gefasst ist der Verarbeitungsbegriff, der in Art. 4 Nr. 2 DS-GVO bestimmt wird: „jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang […] im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.”

Typische Beispiele, in denen ohne vorherige Sensibilisierung der Mitarbeiterinnen und Mitarbeiter die Anwendbarkeit des Datenschutzes oft fälschlicherweise verneint wird, sind das genannte Beispiel der Namensliste für die Einladung zu einer Verabschiedung, aber beispielsweise auch das einfache Öffnen der Bewohnerakte durch einen Mitarbeiter oder die Zuordnung eines Datensatzes zu einem Verteiler in dem CRM-System.

Daher sollte bei der Gestaltung von Mitarbeiterschulungen im Datenschutz unbedingt auf die weitreichende praktische Bedeutung der datenschutzrechtlichen Vorgaben in der betrieblichen Praxis eingegangen werden. Wenn diese Schulungen nicht regelmäßig, also zumindest einmal jährlich, oder nicht für alle Mitarbeiter, sondern beispielsweise nur für die Pflegedienstleitung erfolgen, setzt die Einrichtung sich im Falle eines Verstoßes dem Vorwurf aus, ihren Sorgfaltspflichten nicht nachgekommen zu sein, so dass mit einer Sanktion der Aufsichtsbehörden zu rechnen wäre.

Rödl & Partner bietet seit mehreren Jahren kostengünstige Speziallösungen im Datenschutz-E-Learning speziell für Sozialunternehmen wie Pflegeeinrichtungen und Kitas an.

​