Mangelnde Mitarbeiterschulung bei Datenschutzthemen

155
Mangelnde Mitarbeiterschulung bei Datenschutzthemen
© fotogestoeber – stock.adobe.com

Egal, wie gut die Serverräume überwacht werden, wie ausgeklügelt die Kryptografie und wie wasserdicht die Auftragsverarbeitungsverträge auch sein mögen – wenn MitarbeiterInnen nicht aufpassen, sind die Daten nicht sicher. Die Mitarbeiterschulung gehört laut DSGVO zu den Kernaufgaben eines Datenschutzbeauftragten (DSB).

Mögliche Stolperfallen

Klassische Datenschutzverletzungen in Unternehmen sind beispielsweise E-Mails mit Empfängern in cc, die da nicht hingehören, oder Laptops und Aktentaschen mit personenbezogenen Daten, die in der U-Bahn vergessen werden.

In solchen Fällen ist schnelles Handeln angesagt: Ein Datenschutzverstoß muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden; bei hohen Risiken müssen zusätzlich die Betroffenen informiert werden. Doch häufig wird eine Datenpanne gar nicht erst bemerkt, da MitarbeiterInnen sie nicht als solche erkennen. Die Meldung bei der Aufsichtsbehörde wird daher oft versäumt oder findet im schlimmsten Fall gar nicht statt.

Geschulte MitarbeiterInnen erkennen mögliche Datenschutzpannen oder auffällige Bewegungen in Bezug auf Daten – und wissen, wie sie richtig reagieren müssen.

Die Rechtslage

Art. 39 DSGVO nennt die Aufgaben des DSB. Darunter fällt in lit. b die

„[…] Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“.

Art. 39 DSGVO

Wie genau eine solche Schulung nun aussehen soll, verrät die DSGVO nicht. Auch hier gewährt sie Datenschutzbeauftragten einen recht großen Spielraum. Ebenfalls ist nicht vorgeschrieben, in welcher Form (online, persönlich oder nur schriftlich) und in welchen zeitlichen Abständen Schulungen stattfinden sollen.

Da sich Verarbeitungsvorgänge jedoch typischerweise laufend verändern, neue Technologien zum Einsatz kommen und Menschen Gelerntes ohne Wiederholungen schnell wieder vergessen, sind mindestens jährliche Schulungsintervalle sinnvoll.

Inhalte einer Mitarbeiterschulung

Die Kernthemen einer Schulung sind ein Grundverständnis für personenbezogene Daten, die Rechte und Freiheiten von natürlichen Personen sowie die Verarbeitung personenbezogener Daten. Neben diesen Datenschutzgrundsätzen sollte den MitarbeiterInnen aufgezeigt werden, welche Rechte die Betroffenen haben. Weitere Themen sind Rechtsgrundlagen, Fachbegriffe, Datenschutz bei Verwendung mobiler Geräte und die Datenschutzbestimmungen des Unternehmens.

Die MitarbeiterInnen sollten zudem auf jeden Fall erfahren, wie sie sich im Fall von Verstößen und Datenschutzverletzungen zu verhalten haben. Für Angestellte mit direktem Kundenkontakt ist es wichtig zu wissen, welche Informationen sie an KundInnen herausgeben können – und unter welchen Voraussetzungen.

Möglichst kurzweilig

Weiterbildungen sollten kurz und spannend gestaltet sein. Nachvollziehbare, praxisnahe Beispiele, interaktive Aufgaben und Quizfragen machen das Thema Datenschutz greifbar und zeigen dem Team Anwendungsmöglichkeiten für den Alltag auf. So verfolgen die Beschäftigten die Schulung mit höherer Aufmerksamkeit und sie sind bei Ausführung ihrer Tätigkeiten für das Thema Datenschutz sensibilisiert.

Praktische Übungen

Damit sich die Angestellten mehr unter den Themen Verzeichnis von Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) und den weiteren Dokumentationspflichten vorstellen können, ist es wichtig, praktische Übungen zu bestimmten Datenverarbeitungsprozessen durchzugehen.

Zum Beispiel können anhand des Bewerbungsverfahrens eines fiktiven Mitarbeiters die Rechtsgrundlage besprochen und die relevanten technisch-organisatorischen Maßnahmen erklärt werden.

Individuelle Aspekte verschiedener Tätigkeitsbereiche

Darüber hinaus sollte bei Schulungen ein Fokus auf die datenschutzrelevanten Aspekte des jeweiligen Mitarbeiters bei der täglichen Arbeit liegen. Beispielsweise müssen sie darauf hingewiesen werden, wie sie richtig mit E-Mails umgehen, auf die sie sowohl über das Arbeitshandy als auch über das private Mobiltelefon zugreifen. So wird den Betroffenen klar, welche Auswirkungen bestimmte Prozesse haben. Wem nicht nur die Theorie, sondern auch die Praxis vertraut ist, erkennt auch im Alltag Fallstricke, kann auf diese aufmerksam machen und sie umgehen.

Schulung zusammenstellen

Folgende Inhalte und Formate sollten in einer Mitarbeiterschulung abgedeckt sein:

Inhalte

  • Datenschutzgrundsätze
  • Rechtsgrundlagen
  • Betroffenenrechte
  • Datenschutzrichtlinie des Unternehmens
  • BYOD und Verwendung mobiler Endgeräte allgemein
  • Verhalten im direkten Kontakt mit KundInnen, PartnerInnen, MitarbeiterInnen, BewerberInnen und anderen externen Stakeholdern: Nur relevante personenbezogenen Daten erheben, Daten fristgerecht löschen, allgemeine Sparsamkeit bei der Datenerhebung
  • Verhalten im Fall eines Datenschutzverstoßes

Formate

  • Viele Beispiele aus der Praxis
  • Interaktiv
  • Am besten auf Abruf online verfügbar
  • Rollenspezifische Trainings je nach Tätigkeitsbereich

Fazit

Kein Unternehmen macht in Sachen Datenschutz immer alles richtig. Es gibt so einige Stolpersteine, die zu Fehlern und Missverständnissen führen können. Daher ist es ratsam, MitarbeiterInnen regelmäßig weiterzubilden. Nur so können sie sich gegen Datenschutzverletzungen wappnen und Pannen rechtzeitig erkennen.

Marijam Özdemir
Marijam Özdemir ist Volljuristin und zertifizierte Datenschutzbeauftragte. Durch ihre langjährige Expertise als Rechtsanwältin und Beraterin im Datenschutzrecht sticht sie als Senior Privacy Consultant bei DataGuard besonders durch pragmatische Lösungen heraus, die ihre Kunden handlungs- und zukunftsfähig machen.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!