Datenschutz: Haftungsrisiko bei unterlassener Mitarbeiter­schulung

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten
 

Das Risiko, im Falle einer nicht nachweisbaren Mitarbeiterschulung bei einem Daten­schutz-Bußgeld auch persönlich haftbar gemacht zu werden, wird von Geschäfts­füh­rern oft unterschätzt. Die Datenschutz­schulung muss der Herausforderung gerecht werden, die Mitarbeiter in ihrem konkreten Arbeitsalltag anzusprechen. Rödl & Partner hat dazu ein Video-Tutorial speziell für Pflege­ein­richtungen und Pflegedienste heraus­gebracht.


Banner Konferenzstühle

 

   

Nach Artikel 32 Abs. 1 der DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisa­tori­sche Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für die Sicherheit der perso­nenbezogenen Daten zu gewährleisten. Je nach Branche kommt ein geringerer oder auch größerer Anteil der Mitarbeiter in der täglichen Arbeit mit personenbezogenen Daten in Berührung. In Sozialunternehmen – seien es Pflegeeinrichtungen, Pflegedienste, Krankenhäuser oder komplexe Sozialträger – betrifft das bspw. so gut wie jeden Mitarbeiter. Hinzu kommt, dass es sich bei den verarbeiteten personenbezogenen Daten um sensible Daten handelt, für die die besonderen Regelungen des Art. 9 DSGVO gelten.


Mitarbeiterschulung als Pflichtaufgabe

Die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben nach Art. 5 Abs. 1 DSGVO ist also ohne ein datenschutzkonformes Verhalten der Mitarbeiter nicht zu erreichen. Damit zählt das aktive und nachweis­bare Bemühen der Geschäftsführung um das datenschutzkonforme Verhalten der Mitarbeiter unmittelbar zu den Nachweispflichten des Verantwortlichen i.S.v. Art. 5 Abs. 2 DSGVO („Der Verantwortliche ist für die Ein­haltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).”)

Wenn es zu einem Datenschutzverstoß kommen sollte und eine angemessene Schulung der Mitarbeiter nicht erfolgte oder nicht nachweisbar ist, besteht unmittelbar die Gefahr eines Bußgeldes. Nach Art. 83 Abs. 5 DSGVO drohen bei einem solchen Verstoß gegen die Grundsätze der Verarbeitung Geldbußen von bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs. In Rumänien erging beispielsweise im April 2022 ein Urteil, mit dem ein von der dortigen Datenschutzbehörde verhängtes Bußgeld gegen eine Bank über 100.000 Euro bestätigt wurde (Berufungsgericht Cluj, Zivilurteil Nr. 9 vom 13.04.2022). In der Bank war es zu einem sorglosen Umgang der Angestellten mit personenbezogenen Daten gekommen. Zu­gleich war die Bank nicht in der Lage, eine angemessene Datenschutz-Schulung der Mitarbeiter zu belegen. Dieses Fehlen wurde im vorliegenden Fall als schwerwiegende Feststellung gewertet.


Die DSGVO konkretisiert insoweit die Pflicht der gesetzlichen Vertreter einer Organisation, Maßnahmen zu er­greifen, um das rechtskonforme Verhalten der Organisation sicherzustellen. Anderenfalls besteht im Fall eines Verstoßes ggf. der Verdacht auf ein sog. Organisationsverschulden. In dem Zusammenhang ist oft leider nicht bekannt, dass die Haftung auch solche gesetzlichen Vertreter trifft, die lediglich ehrenamtlich tätig sind, z.B. ehrenamtliche Vorstände eines e.V. sind. Im Falle eines Bußgeldes, das u.a. auf das Unterbleiben einer Mitar­bei­terschulung zurückzuführen ist, besteht daher für die Geschäftsführung bzw. für den Vorstand das Risiko, dass sie von der Organisation im Innenverhältnis für das Bußgeld haftbar gemacht werden.


Im Interesse des Unternehmens und zur Vermeidung einer persönlichen Haftung ist es also dringend geboten, eine aktuelle, auf die neue Rechtslage angepasste Datenschutzschulung für alle Mitarbeiter durchzuführen und sie auch auf Ebene des einzelnen Teilnehmers zu dokumentieren.


Aufsetzen auf der richtigen Rechtsgrundlage

Für die Sozialwirtschaft bestehen zahlreiche Besonderheiten. Neben der DSGVO, dem BDSG und Landesdaten­schutzgesetzen bestehen bspw. separate Gesetze der Kirchen. Im Bereich der Evangelischen Kirche in Deutsch­land ist das EKD-Datenschutzgesetz in Kraft getreten. Für die katholische Kirche gibt es das Gesetz über den kirchlichen Datenschutz (KDG), das für die Organisation der Kirche selbst, die Caritas und weitere kirchliche Rechtsträger gilt, sowie außerdem die Kirchliche Datenschutzregelung der Ordensgemeinschaft (KDR-OG) mit Geltung für die Ordensgemeinschaften des päpstlichen Rechts.

Für sog. nicht-öffentliche Stellen gelten stets die DSGVO und bestimmte Regelungen des BDSG (neu). Mit der Bezeichnung „nicht-öffentliche Stellen” werden – allgemein umschrieben – Unternehmen und deren Handeln von staatlichen Einrichtungen abgegrenzt. Als öffentliche Stellen gelten in diesem Sinne Behörden, aber auch Krankenhäuser, Verkehrsbetriebe oder Stadtwerke. Bei ihnen ist im jeweiligen Einzelfall zu klären, ob neben der DSGVO entweder das BDSG (neu) oder das jeweilige Landesdatenschutzgesetz Anwendung findet. Für das Han­­deln einer öffentlichen Stelle, mit dem sie am Wettbewerb teilnehmen, gilt dieselbe Rechtslage wie für nicht-öffentliche Stellen. Für Unternehmen der Sozial- und Gesundheitswirtschaft ist daher die Beantwortung der Frage nach den geltenden Rechtsnormen nicht immer einfach.


Wichtige Inhalte einer Mitarbeiterschulung zum Datenschutz

Die Praxis der Datenschutzbeauftragten zeigt, dass trotz der intensiven Medienberichterstattung zum Thema Datenschutz, die 2018 zu beobachten war, bei vielen Mitarbeitern noch eine hohe Arglosigkeit beim Thema Da­tenschutz festzustellen ist. Daher ist eine grundlegende Form der Sensibilisierung durch eine Schulung ange­raten, also bspw.:
  • Grundwissen zu personenbezogenen Daten und dem Schutzniveau lt. DSGVO;
  • Arbeitsvertragliche Pflichten, berufsrechtliche Pflichten, Strafvorschriften;
  • Datenschutzkonformes Verhalten auch außerhalb der Dienstzeiten;
  • Organisatorische Grundlagen des Datenschutzes im Unternehmen; 
  • Richtlinien und Prozessvorgaben, denn sie haben Bezug zum Datenschutz;
  • Grundregeln zum Datenschutz am Arbeitsplatz und bei der IT-Nutzung.

Der praktische Nutzen einer Datenschutzschulung hängt jenseits davon allerdings v.a. davon ab, ob die alltäg­lichen Fragen und Nöte der Mitarbeiter in Sachen Datenschutz angesprochen und beantwortet werden. Stan­dardlösungen ohne Bezug zur Branche können diesen Bedarf häufig nicht decken. Ein typisches Beispiel ist die Pflegebranche. Typische pflegebezogene Inhalte und Probleme, die angesprochen werden sollten, sind bspw.:
  • Schweigepflicht und Datengeheimnis;
  • Besondere personenbezogene Daten;
  • Typische Missverständnisse zum Datenschutz in der Pflege;
  • Datenschutz auf der Station und beim Klienten zu Hause;
  • Interessenten und neu aufgenommene Bewohner;
  • Kollegen, Mitarbeiter, Dienstpläne etc.;
  • Datenschutzpannen in der Pflege;
  • Kommunikation mit Angehörigen;
  • Kommunikation mit Hausarzt und Krankenhaus;
  • Kommunikation mit Behörden;
  • Datenschutz im Todesfall;
  • Wichtige Unterstützungsfunktionen: Verwaltung, Personal, Finanzen, Hauswirtschaft etc.


Videotutorial von Rödl & Partner

Die Unterrichtung der Beschäftigten zum Datenschutz zählt nach Art. 39 Abs. 1 lit a) DSGVO zu den gesetz­mäßigen Aufgaben des Datenschutzbeauftragten. Zahlreiche Unternehmen, so auch viele Pflegeeinrichtungen, nutzen allerdings die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Die Wahrnehmung von Schulungsterminen durch ihn ist dann oftmals mit Zusatzkosten verbunden. Hinzu kommt, dass die tradi­tio­nelle Präsenzschulung als Schulungsformat in vielen Branchen mit Nachteilen behaftet ist, da die Mitar­bei­ter bspw. im Schichtdienst tätig sind und daher nicht alle mit einem einzigen Termin erreicht werden können. Krankheiten, Fortbildungen und Urlaube schlagen weitere Lücken in die Anwesenheit der Mitarbeiter.

Rödl & Partner hat ein Video-Tutorial zum Datenschutz speziell für Pflegeeinrichtungen entwickelt, das die bran­­­chenspezifischen Fragestellungen verständlich beantwortet und mit dessen Hilfe der erforderliche Nach­weis einer vollständigen Mitarbeiterschulung im Datenschutz leicht geführt werden kann.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu