Bedeutung von Datenschutz-Schulungen in Unternehmen

veröffentlicht am 15. November 2018 / Lesedauer: ca. 3 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Effektiver Datenschutz im Unternehmen muss gelebt werden. Daher ist die Sensibilisierung und Schulung der eigenen Mitarbeiter ein wesentlicher Teil des Datenschutzmanagementsystems. Das sehen auch die Aufsichtsbehörden so. Unternehmen sollten daher der Mitarbeiterschulung besondere Aufmerksamkeit widmen.
 

 

• Schulungen als Verpflichtung unter der DSGVO

• Mögliches Schulungskonzept

• Art und Weise der Schulung, Adressatenkreis, Dokumentation

• Fazit

   

Schulungen als Verpflichtung unter der DSGVO

Die DSGVO legt dem Verantwortlichen zahlreiche Pflichten im Umgang mit personenbezogenen Daten auf. Dazu zählt es auch, angemessene und geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau bei der Verarbeitung von personenbezogenen Daten zu gewährleisten. Allein technische Maßnahmen können die Anforderungen nicht erfüllen. An der Mehrzahl der in einem Unternehmen vorkommenden Verarbeitungsvorgänge sind Mitarbeiter beteiligt. Auch die durch Mitarbeiter vorgenommenen Datenverarbeitungsvorgänge müssen datenschutzkonform sein. Das ist nur möglich, wenn die Mitarbeiter entsprechend geschult und auf den richtigen Umgang mit personenbezogenen Daten sensibilisiert werden. ​
 
Wenn ein Datenschutzbeauftragter bestellt ist, zählt es zu seinen Aufgaben, die an den Verarbeitungs­vorgängen beteiligten Mitarbeiter zu schulen und das ausreichend zu dokumentieren. Aus Sicht des Unternehmens ist die spezifische Schulung von Mitarbeitern eine organisatorische Maßnahme zur Sicherstellung der Prinzipien aus Art. 5 DSGVO (Grundprinzipien), Art. 25 DSGVO (privacy by design und privacy by default) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Spezifische Schulungen sind daher v.a. auch für das Unternehmen von Nutzen.
 

Mögliches Schulungskonzept

Es stellt sich mithin die Frage, wie solche Schulungen konzeptioniert sein müssen, um die notwendige Sensibilisierung der Mitarbeiter zu erreichen.
 
Zum einen müssen die Mitarbeiter mit den Grundsätzen für die Verarbeitung personenbezogener Daten vertraut gemacht werden. Sie sind in Art. 5 DSGVO niedergelegt. Personenbezogene Daten dürfen nur
 

• rechtmäßig, nach Treu und Glauben und transparent,
• zweckgebunden,
• auf das für die Verarbeitung notwendige Maß beschränkt,
• richtig,
• zeitlich beschränkt sowie
• sicher und vertraulich

verarbeitet werden.
 
Eine gute Schulung zeichnet sich dadurch aus, dass diese Begrifflichkeiten nicht nur abstrakt, sondern anhand konkreter Beispiele den Mitarbeitern nähergebracht werden. Deshalb sollte eine Schulung das Konzept des Datenverarbeitungsprozesses vermitteln. Hinter Reisebuchungen, Lohnabrechnungen oder der werblichen Ansprache von Kunden stehen immer auch Verarbeitungsprozesse von Daten. Nur wenn der datenverarbeitende Mitarbeiter einen Vorgang als Prozess, in dem personenbezogene Daten verarbeitet werden, als solchen erkennt, kann der Mitarbeiter sein erworbenes Wissen sinnvoll und praktisch anwenden. In dem Zusammenhang ist sicherlich auch nötig, den Begriff der personenbezogenen Daten zu erklären. Schließlich weisen viel mehr Daten einen Personenbezug auf, als man vielleicht vermuten möchte.
 

Art und Weise der Schulung, Adressatenkreis, Dokumentation

Schulungen können als Präsenzschulungen oder auch als Online-Schulungen (sog. Webinare) abgehalten werden. Hauptadressaten solcher Schulungen können zum einen Führungskräfte sein („train the trainer”-Prinzip). Denn sie trifft die Pflicht, die Einhaltung der Datenschutzpflichten in ihren jeweiligen Verantwortungsbereichen sicherzustellen. In kleineren Einheiten bietet sich auch an, alle Mitarbeiter zur Teilnahme an Schulungen anzuweisen.
 
Zudem kommen Schulungen für bestimmte Gruppen von Mitarbeitern (z.B. Mitarbeitern der Personal- oder der IT-Abteilung) in Betracht. Spezifische Schulungen für diese Mitarbeitergruppen tragen den besonderen Risiken Rechnung, die sich aus den von ihnen betreuten Verarbeitungsprozessen ergeben (z.B. die Durchführung von Bewerbungsverfahren). Oftmals stellt sich bei der Evaluation solcher Prozesse heraus, dass sich technische Maßnahmen zur Einhaltung der Prinzipien aus Art. 25 und 32 DSGVO nicht ohne erhebliche Aufwendungen umsetzen lassen (z.B. bei der Sicherstellung der Einhaltung des Zweckbindungsprinzips). In solchen Fällen kann eine prozessspezifische Mitarbeiterschulung auch ein wichtiger 1. Schritt für die Implementierung der DSGVO sein.
 
Die Durchführung von Schulungen sollte ausreichend dokumentiert werden. Schließlich unterliegt das Unternehmen als Verantwortlicher den Rechenschaftspflichten nach der DSGVO, die so erfüllt werden können. Insbesondere die Einführung eines laufenden Schulungsprozesses spielt für die Organisationspflichten eine wichtige Rolle. So lässt sich darlegen, dass die Einhaltung datenschutzrechtlicher Prinzipien „Chefsache” und zentraler Bestandteil der Unternehmensführung ist.
 

Fazit

Schulungen sind ein elementarer Bestandteil eines jeden Datenschutzmanagementsystems. Nur wenn die Grundsätze im Umgang mit personenbezogenen Daten bekannt sind, kann ein ausreichendes Schutzniveau für personenbezogene Daten gewährleistet werden. Dabei zahlt sich ein gutes, an der Praxis orientiertes Schulungskonzept aus. Die Schulungen sollten nicht nur einmal, sondern regelmäßig abgehalten werden – denn je vertrauter die Mitarbeiter mit den Pflichten der DSGVO sind, desto einfacher kann Datenschutz im Unternehmen gelingen.