Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Worauf kommt es bei der Mitarbeiterschulung im Datenschutz an?

24. Januar 2022

von Achim Barth

Die häufigste Ursache für Verstöße gegen die DSGVO sind noch immer Mitarbeiter. Nicht aus Böswilligkeit, sondern einfach aufgrund von mangelndem Know-how. Mitarbeiterschulungen gehören deshalb zu Datenschutz mit gesundem Menschenverstand einfach dazu. Zwei Fragen soll dieser Beitrag klären: Ist eine Mitarbeiterschulung verpflichtend? Und was sollte sie enthalten?

Besteht eine Pflicht zur Mitarbeiterschulung im Datenschutz?

Nur indirekt. Sie finden im BDSG oder der DSGVO keinen Artikel, der explizit eine Datenschutz-Mitarbeiterschulung vorschreibt. Bei genauerem Hinsehen finden wir aber in der DSGVO zwei Vorgaben, für die eine Datenschutzschulung Voraussetzung ist.

  • Art. 5, Absatz 2: „Der Verantwortliche ist für die Einhaltung [der Verarbeitungsgrundsätze] verantwortlich und muss [deren] Einhaltung nachweisen können („Rechenschaftspflicht“)“ – wie sollen Grundsätze eingehalten werden, wenn Mitarbeiter sie nicht kennen?
  • Art. 39, Abs. 1a: „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten“

Artikel 32 erwähnt zudem „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Auch hierbei ist klar: Mitarbeiter müssen zu diesen TOM geschult werden, um sie sicher auszuführen und das geforderte Schutzniveau zu gewährleisten.

Für wen ist ein Datenschutz-Training sinnvoll?

Die Antwort auf diese Frage ergibt sich schnell aus dem vorangehenden Absatz: Eine Mitarbeiterschulung im Datenschutz ist für jeden Ihrer Angestellten sinnvoll, der personenbezogene Daten erhebt und verarbeitet. Darunter fallen auf jeden Fall die Mitarbeiter, die dies regelmäßig tun. Es ist jedoch auch nicht verkehrt, Angestellte zu einer Grundunterweisung einzuladen, die nur hin und wieder Daten verarbeiten. Denn wie es im Leben nun einmal so ist, passiert gerade dann der entscheidende Fehler.

Wie oft sollte eine Mitarbeiterschulung zum Datenschutz stattfinden?

In jedem Fall regelmäßig. Beginnen Sie mit einer Grundunterweisung zu den Grundlagen der DSGVO und festigen Sie das erworbene Wissen mit nachfolgenden Schulungen. Zum Beispiel einmal im Jahr oder bei Aktualisierungen der Vorgaben. Es bietet sich auch an, die Grundlagen um branchenspezifisches Datenschutz-Wissen zu erweitern. Denn das Team einer Arztpraxis muss natürlich andere Vorschriften erfüllen als die Mitarbeiter einer Pflegeeinrichtung.

Achten Sie darauf, dass Ihre Mitarbeiter im Anschluss ein Zertifikat erhalten. Diese erweisen sich als hilfreich, wenn Sie als Verantwortlicher nachweisen müssen, dass Sie in Ihrem Unternehmen Maßnahmen zum Datenschutz treffen.

Online oder vor Ort?

Datenschutz-Seminare werden in den verschiedensten Formaten angeboten: Inhouse, auswärts, online – live oder aufgezeichnet. Welche Variante Sie wählen, hängt von Ihnen und Ihrem Team ab. Die Hauptsache ist, dass Ihre Mitarbeiter in der Schulung alles Nötige zum Thema Datenschutz lernen und dies am Ende in die Praxis umsetzen können. Dann ist es ganz egal, ob es sich um eine Offline- oder Onlineschulung handelt. Apropos:

Was muss eine gute Mitarbeiterschulung zum Thema Datenschutz beinhalten?

Eine wichtige Frage, damit sich die Schulung am Ende auch auszahlt und tatsächlich mehr Sicherheit bei der Datenverarbeitung bringt. Diese Punkte sollte ein professionelles Datenschutz-Training definitiv erfüllen:

  1. Das Bewusstsein für dieses wichtige Thema schärfen. Für viele Menschen (solange sie nicht direkt damit zu tun haben), ist die DSGVO nämlich nur fünf Buchstaben am fernen Horizont. Sie sind sich oft gar nicht bewusst, dass Datenschutz etwas ist, was jeden im Unternehmen betrifft. Eine falsche E-Mail geöffnet, ein Dokument nachlässig entsorgt und schon können sensible Kundendaten in falsche Hände gelangen.
  2. Ein grundlegendes Verständnis der DSGVO schaffen. Selbst wenn die Grundverordnung in den Köpfen präsent ist, kommt schon das nächste Problem: Vielen ist sie viel zu kompliziert. Wer will sich schon durch 99 Artikel Behördendeutsch quälen, die teilweise gar nicht so eindeutig verständlich sind? In der Mitarbeiterschulung sollten deshalb zumindest die Grundsätze erläutert werden.
  3. Das Wissen über IT-Sicherheit erhöhen. Wie schon in Punkt eins gesagt: Es passiert schnell mal, dass achtlos eine E-Mail geöffnet wird oder ein Link geklickt wird. Viele Leute gehen viel zu sorglos durchs Internet und gefährden dadurch sensible Daten von Kunden, Kollegen oder Lieferanten.

Wer sollte die Schulung leiten?

Bei der Recherche im Internet finden Sie die ein oder andere, mitunter sehr detaillierte Vorlage für eine Datenschutz-Präsentation. „Perfekt“, könnte man jetzt denken, „dann kann ich mir die Kosten für eine beauftragte Schulung ja sparen und mein Team selbst unterweisen!“

Es dürfte Sie kaum verwundern, wenn ich davon dringend abrate. Nehmen Sie das Geld lieber zur Hand und beauftragen Sie einen zertifizierten Datenschutz-Experten mit der Mitarbeiterschulung. Nur so ist gewährleistet, dass

  1. Ihre Mitarbeiter mit der nötigen Expertise geschult und alle Fragen korrekt beantwortet werden.
  2. Am Ende wirklich das gewünschte Ergebnis erzielt wird: Ihre Mitarbeiter sind sicher im richtigen Umgang mit Daten.

Auch den internen DSB würde ich nicht unbedingt mit dem Training beauftragen. Häufig handelt es sich dabei nämlich um weitergebildete Mitarbeiter, die den Datenschutz „nebenher“ machen. Das macht sie nicht unbedingt zum kompetenten Schulungsleiter. Ich rate deshalb dazu, sich in Ruhe nach einem ordentlichen Training umzusehen. Das Geld ist in eine Datenschutzschulung weitaus besser investiert als in ein Bußgeld!

Diese Blogbeiträge dürften Sie ebenfalls interessieren