30. Juni 2020

Die Datenschutzschulung der Mitarbeiter

Im Sinne der europäischen Datenschutz-Grundverordnung (DS-GVO) ist der Geschäftsführer eines Unternehmens der Verantwortliche für die Datenverarbeitung von personenbezogenen Daten in seinem Betrieb, und trägt somit die Verantwortung und die Pflicht, für die Datenschutzschulung der Mitarbeiter zu sorgen und die gesetzlichen Regelungen der DS-GVO in seinem Unternehmen einzuhalten bzw. für deren Einhaltung zu sorgen.

Doch Datenschutz bleibt nicht ausschließlich Chef-Sache!

Denn es sind vor allem die Mitarbeiter, die täglich im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten und deshalb datenschutzkonform arbeiten müssen. Die Mitarbeiter sollten also für das Thema Datenschutz sensibilisiert und geschult werden. 

Was sagt das Gesetz zur Datenschutzschulung der Mitarbeiter?

Laut der DS-GVO besteht für den Verantwortlichen eines Unternehmens keine offizielle Pflicht, die Mitarbeiter zu schulen. So kann pauschal auch erstmal kein Bußgeld verhangen werden, wenn keine Schulung im Datenschutz durchgeführt wurde. Wenn es jedoch zu einer Datenpanne oder einem Datenschutzverstoß kommt, weil die Mitarbeiter nicht über die Verordnung und deren Inhalte unterrichtet und nicht für das Thema Datenschutz sensibilisiert wurden, kann das Unternehmen zur Verantwortung gezogen werden.

Daraus ergibt sich für den Verantwortlichen eine indirekte Pflicht zur Datenschutzschulung seiner Mitarbeiter, um die Einhaltung der Datenschutzverordnung in seinem Unternehmen zu gewährleisten (vgl. z.B. Art. 32 Abs. 4 DS-GVO).
Die Mitarbeiterschulung im Datenschutz ist also eine Präventivmaßnahme.

Wer ist für die Datenschutzschulung zuständig?

Anders als viele Unternehmer denken, gehört die Schulung der Mitarbeiter im Datenschutz nicht zu den gesetzlich festgelegten Aufgaben eines Datenschutzbeauftragten (DSB).
Der Verantwortliche hat für die Organisation der Datenschutzschulung seiner Mitarbeiter zu sorgen, denn die Datenverarbeitung unter Beachtung der Datenschutzgrundsätze liegt in seiner Verantwortung.
Dennoch überwacht der Datenschutzbeauftragte gemäß Art. 39 Abs. 1 der DS-GVO den Verantwortlichen bei der Umsetzung und Organisation des Datenschutzes, also auch der Durchführung von Mitarbeiterschulungen oder anderen Sensibilisierungsmaßnahmen.
In der Praxis zeigt sich aber, dass der DSB die Aufgabe bzw. Organisation der Schulungen oftmals übernimmt, was in vielen Fällen naheliegend ist, da der DSB über das nötige Fachwissen verfügt.

Was empfehlen die Behörden oder Datenschutz-Experten?

Obwohl laut der DS-GVO keine direkte Schulungspflicht besteht, bietet die Mitarbeiterschulung viele Vorteile für das Unternehmen und wird deshalb von den Aufsichtsbehörden und Datenschutz-Experten mit Nachdruck empfohlen.

Geschulte und sensibilisierte Mitarbeiter entwickeln ein stärkeres Bewusstsein für datenschutzrelevante Vorgänge im Unternehmen und reagieren bewusster und sensibler bei Unregelmäßigkeiten in solchen Vorgängen. Dadurch wird das Risiko einer Datenpanne oder eines sonstigen Verstoßes minimiert.

Hinzu kommt, dass die Mitarbeiter bei der Verarbeitung personenbezogener Daten wichtige Vorgaben der DS-GVO beachten müssen, wie zum Beispuel die Meldepflicht bei Datenpannen, die Auskunftspflicht gegenüber Betroffenen und die Regeln zu Löschpflichten. Durch die Datenschutzschulung werden die Mitarbeiter über diese Vorgaben unterrichtet.

Bezüglich des Wiederholungsrhythmus der Datenschutzschulung der Mitarbeiter stellen die Behörden ebenfalls keine Vorgaben. Es wird allgemein empfohlen, die Schulung jährlich zu wiederholen, damit die Inhalte und das Fachwissen in den Köpfen der Mitarbeiter präsent bleiben.
Darüber hinaus bietet es sich an, eine Mitarbeiterschulung durchzuführen, wenn es zu einem auschlaggebenden Urteil im Datenschutz oder zu einer relevanten Gesetzesänderung kommt.

Nachweispflicht und Dokumentation der Datenschutzschulung

Die Datenschutzschulung der Mitarbeiter muss als Nachweis für die Behörden dokumentiert werden. Auf diese Weise kommt der Verantwortliche seiner Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO nach und minimiert das Haftungsrisiko.
Üblicherweise werden die Schulung inklusive der Teilnehmer und der vermittelten Inhalte dokumentiert und die Teilnehmer bekommen optional nach erfolgreichem Abschluss der Schulung Zertifikate.

Welche Mitarbeiter müssen geschult werden?

Grundsätzlich müssen alle Mitarbeiter (inklusive der Geschäftsleitung) eines Unternehmens im Bereich Datenschutz geschult werden, die regelmäßig im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten.
Unter den Begriff "Datenverarbeitung" zählen das Erheben, Erfassen, Ordnen,  die Speicherung, Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung und das Löschen von Daten mit Personenbezug.

Hier stellt sich nun die folgende Frage: Was genau sind denn personenbezogene Daten?

Personenbezogene Daten sind alle Angaben, die sich auf natürliche Personen beziehen.
Darunter fallen Angaben zu persönlichen Verhältnissen (z.B. Name, Alter, Anschrift, Nummer, Beruf, Hobbies, Bankverbindung, etc.) und Angaben zu sachlichen Verhältnissen (z.B. Einkommen, Kennzeichen, Steuern, Internetnutzung, etc.).
Hinzu kommen außerdem die sensiblen Daten (wie ethnische Herkunft, Religionszugehörigkeit, politische Meinung und Gesundheitsdaten), die besonders geschützt werden müssen.

datenschutzschulung-der-mitarbeiter-möglichkeiten

Wie können Mitarbeiter geschult werden?

Für die Art und Weise der Mitarbeiterschulung gibt es verschiedenste Möglichkeiten, denn auch hierzu stellen die Behörden den Unternehmen keine Vorgaben. Letztendlich muss jedes Unternehmen individuell entscheiden, welche Schulungsart sich am besten eignet.
Die üblichen Schulungsmöglichkeiten bieten jeweils sowohl Vorteile, als auch Nachteile:

Live-Schulung (inhouse, außer Haus)

Vorteile

  • Es bietet sich die Möglichkeit, bei Ungewissheiten direkt Fragen zu stellen.
  • Die Live-Schulung in der Gruppe gestaltet sich interaktiv.
  • Es besteht eine gewisse Gruppendynamik, die den Lernprozess unterstützen kann.
  • Die Schulung einer Gruppe kann eine teambildende Maßnahme sein.

Nachteile

  • Die Organisation der Live-Schulung ist mit einem sehr hohen Aufwand verbunden (von der Terminfindung und dem Aussuchen der passenden Location, bis hin zur Anreise, Verpflegung evtl. Übernachtung in Hotels, etc.).
  • Live-Seminare können u.U. sehr kostspielig werden.
  • Die Mitarbeiter können den ganzen Tag nicht ihrer Tätigkeit nachgehen. Die Schulungsteilnehmer sind i.d.R. für einen Tag  außer Haus und können ihrer Kerntätigkeit nicht nachgehen.
  • Auch der Nachweis sowie die Dokumentation und Nachbereitung der Schulung ist sehr verwaltungsintensiv und kostet dem Unternehmen viel Zeit.

Onlineschulung/eLearning

Vorteile

  • Der Aufwand für die Organisation ist deutlich geringer als bei der Liveschulung.
  • Die Inhalte der Schulung lassen sich individuell an das Unternehmen anpassen.
  • Die Mitarbeiter sind sehr flexibel in der Durchführung der Schulung, sie können sie zu jeder Zeit und von jedem Ort/Gerät absolvieren.
  • Die vermittelten Inhalte werden durch kurze Abfragen und Abschlusstests direkt kontrolliert und gefestigt.
  • Die Absolvierung der Schulung wird in der Software automatisch dokumentiert und als Nachweis gespeichert.
  • eLearning ist sehr preiswert und effizient.
  • Die Schulung kann nach Buchung des Kurses sofort beginnen.
  • Das Tagesgeschäft des Unternehmens wird nicht unnötig  beeinflusst.

Nachteile

  • Der Erfahrungsaustausch unter den Schulungsteilnehmern ist nicht direkt gegeben, im Gegensatz zur Liveschulung.
  • Der Umgang mit der Software muss im ersten Schritt erlernt werden, allerdings sind die eLearning-Plattformen meist sehr einfach und intuitiv konzipiert.
  • Es können nicht direkt Fragen an den Schulungsleiter gestellt werden (Das Stellen von Fragen zu den Inhalten ist im Nachgang immer über ein Kontaktformular möglich).

Broschüre

Vorteile

  • Die Schulungsteilnehmer können die Inhalte immer wieder in der Broschüre nachlesen.-
  • Die Durchführung der Schulung ist ähnlich wie die Onlineschulung zu jeder Zeit und an jedem Ort möglich.
  • Diese Art der Schulung ist preiswerter als eine Liveschulung. 

Nachteile

  • Es ist keine Interaktion mit anderen Teilnehmern gegeben.
  • Die Teilnehmer können nicht direkt Fragen zu den Inhalten stellen.
  • Der Lernprozess wird nicht durch Austausch oder Interaktion unterstützt.

PowerPoint-Präsentation

Vorteile

  • Ähnlich wie bei der Möglichkeit der Broschüre können die Inhalte immer wieder nachgelesen werden.
  • Diese Art der Schulung ist preiswerter als eine Liveschulung. 

Nachteile

  • Genau wie bei der Schulung durch eine Broschüre ist keine Interaktion, kein Stellen von Fragen und kein Erfahrungsaustausch mit anderen Teilnehmern möglich.

Interaktiver Workshop

Vorteile

  • Es bietet sich die Möglichkeit, bei Ungewissheiten direkt Fragen zu stellen und sich mit anderen Teilnehmern auszutauschen.
  • Bei einem Workshop ist häufig eine starke Gruppendynamik zu erkennen und der Zusammenhalt der Gruppe wird nebenbei gestärkt.
  • Die Schulungsteilnehmer können bei Ungewissheiten direkt nachfragen.

Nachteile

  • Genau wie bei der Liveschulung ist die Organisation eines Workshops mit sehr hohen Kosten und Verwaltungsaufgaben verbunden.
  • Für einen interaktiven Workshop ist viel Initiative und Motivation der Mitarbeiter gefragt, fehlt diese, wird der Workshop langweilig und für die Teilnehmer erfolgslos.

Sind Sie noch auf der Suche nach der richtigen Schulungsmöglichkeit für Ihre Mitarbeiter?

Die EU-CON bietet Ihnen in dem Bereich der Mitarbeiterschulung verschiedene Möglichkeiten - von unserer Datenschutzbroschüre über allgemeine und themenbezogene sowie zielgruppengerichtete Live-Schulungen und Seminare bis hin zu unserem eLearning-Angebot. Weitere Informationen zu unseren Schulungsangeboten sowie einen kostenfreien Test-Account für die Onlineschulung finden Sie hier.

Sprechen Sie uns gerne an!

Folgen bei nicht oder nicht ausreichender Schulung

Welche Konsequenzen hat es, wenn der Verantwortliche nicht für die (ausreichende) Schulung seiner Mitarbeiter sorgt?

Da es offiziell keine Schulungspflicht im Sinne der DS-GVO gibt, können hierfür auch keine Bußgelder verhangen werden. Allerdings kann die fehlende Schulung dazu führen, dass ein Mitarbeiter aufgrund von fehlendem Fachwissen eine Datenpanne verursacht. In diesem Fall kann der Verantwortliche wegen nicht Einhaltung der DS-GVO zur Rechenschaft gezogen werden und es können Bußgelder von bis zu 20 Millionen Euro beziehungsweise bis zu 4% des weltweit erzielten Jahresumsatzes drohen. 

Hier ein Beispiel aus England:

Die britische Datenschutzbehörde ICO ("Information Comissioner´s Office") beabsichtigt die Fluggesellschaft British Airways wegen eines Datenschutzvorfalls, bei dem unter anderem gegen den Artikel 32 der DS-GVO verstoßen wurde, mit einem Bußgeld in Höhe von über 200 Millionen Euro zu bestrafen.

Die vorgeschlagene Geldstrafe bezieht sich auf einen Cybervorfall, der der ICO im September 2018 von British Airways gemeldet wurde. Bei diesem Vorfall ging es zum Teil darum, dass der Besucherverkehr auf der Website von British Airways auf eine betrügerische Seite umgeleitet wurde. Über diese falsche Website wurden Kundendaten von den Angreifern gesammelt. Bei diesem Vorfall, der vermutlich im Juni 2018 begann, wurden die persönlichen Daten von etwa 500.000 Kunden gestohlen.

Grund für den Datenangriff seien laut Untersuchungen des ICO schlechte Sicherheitsvorkehrungen im Unternehmen.

Es lässt sich vermuten, dass zu den mangelnden Sicherheitsvorkehrungen unter anderem auch eine nicht ausreichende Schulung der Mitarbeiter beigetragen hat.

Anmerkung: Diese Geldbuße ist nicht endgültig, sondern wird entschieden, wenn das Unternehmen und andere beteiligte Aufsichtsbehörden anderer Mitgliedsstaaten ihre Stellungnahmen abgegeben haben.

Fazit

Der Verantwortliche eines Unternehmens ist laut der DS-GVO nicht offiziell zur Datenschutzschulung seiner Mitarbeiter verpflichtet. Allerdings besteht eine indirekte Pflicht zur Schulung, um die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und um den Schutz personenbezogener Daten im Unternehmen zu gewährleisten.

Zur Art und Weise der Schulung gibt es keine gesetzlichen Vorgaben, jedes Unternehmen kann für sich selbst entscheiden, welche Schulungsart sich am besten eignet.

Die Datenschutzschulung sollte im besten Falle jährlich wiederholt werden und muss als Nachweis für die Rechenschaftspflicht des Verantwortlichen dokumentiert werden.

Wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten und noch nicht für die Schulung Ihrer Mitarbeiter gesorgt haben, empfehlen wir Ihnen dringend, sich zu Ihrem eigenen Schutz und den Schutz Ihrer Kunden und Mitarbeiter darum zu kümmern.

Gerne helfen wir Ihnen in dieser Sache weiter und unterstützen Sie mit unseren Schulungsangeboten.


Sprechen Sie uns gerne an!

Über den Autor

Jenny Weigandt

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Informationen zur Datenverarbeitung finden Sie hier.

>