Mitarbeitersensibilisierung – Pflicht oder Kür?

Definiert die DSGVO eine Pflicht zur Sensibilisierung der Beschäftigten?

24.01.2022

In Unternehmen, Behörden und auch anderen Organisationen, die datenschutzrechtliche Vorschriften zu beachten haben, werden Datenschutzschulungen durchgeführt und Mitarbeiter*innen im Umgang mit personenbezogenen Daten sensibilisiert. Doch warum eigentlich? Gibt es eine gesetzliche Verpflichtung, dies zu tun? Oder wird es freiwillig gemacht? Kann man es auch sein lassen? Und wenn man die Schulungen durchführen muss, wie oft und wie intensiv müssen diese denn sein? Wer kann / darf diese durchführen und welchen Inhalt sollen sie gegebenenfalls haben?

Pflicht zur Durchführung von Sensibilisierungsmaßnahmen?

Nun, eine ausdrückliche Pflicht, Datenschutz-Schulungen durchzuführen, bei denen die mit der Verarbeitung personenbezogener Daten betrauten Personen mit den im Bereich des Datenschutzes relevanten Vorschriften und mit den jeweiligen besonderen Erfordernissen des Schutzes personenbezogener Daten vertraut zu machen wären, ist weder in der Datenschutz-Grundverordnung DSGVO noch im Bundesdatenschutzgesetz (BDSG) enthalten.

Gemäß Art. 39 Abs. 1 lit. a DSGVO gehört es jedoch zu den Aufgaben des Datenschutzbeauftragten, Beschäftigte über Pflichten nach der DSGVO und sonstigen datenschutzrelevanten Vorschriften zu unterrichten. Zudem ist der Datenschutzbeauftragte verpflichtet, gemäß Art. 39 Abs. 1 lit. b DSGVO die Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten „einschließlich der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zu überwachen. Damit geht die DSGVO grundsätzlich davon aus, dass Schulungsmaßnahmen durchgeführt werden, ohne dass es in ausdrücklichen so formuliert ist.

Zu beachten ist ferner, dass die DSGVO jeden Verantwortlichen zur Implementierung eines Datenschutz-Managementsystems (DSMS) verpflichtet, denn jeder Verantwortliche hat eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Diese Verpflichtung ergibt sich aus Art. 24 DSGVO. Die Norm bestimmt in Satz 1 Folgendes:

„Der Verantwortliche setzt […] geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

Die allgemein geltende Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO begründet darüber hinaus eine Umkehr der Beweislast, so dass die Pflicht, den Nachweis erbringen zu können, dass die Verarbeitung rechtskonform erfolgt ist, stets den Verantwortlichen trifft.

Damit der Nachweis gelingen kann und die gesetzlich vorausgesetzte „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ vom Datenschutzbeauftragten überwacht werden kann, müssen sowohl abhängig Beschäftigte als auch Führungskräfte mit den gesetzlichen Anforderungen im Bereich des Datenschutzes und der Datensicherheit vertraut gemacht werden. Für Verantwortliche resultiert daraus eine Pflicht, für eine hinreichende Sensibilisierung der Beschäftigten zu sorgen.

Im Ergebnis können wir also festhalten, dass die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen keine wünschenswerte Angelegenheit, sondern (indirekt) verpflichtende und gesetzlich vorausgesetzte (und damit vorgegebene) Aufgabe eines jeden Verantwortlichen wäre.

Im Fall eines Verstoßes gegen die Vorgaben der Datenschutzvorschriften kann der Nachweis von Schulungen mögliche Sanktionen von Aufsichtsbehörden abmildern. Und auch umgekehrt, im Fall einer Datenpanne zum Beispiel, droht dem Verantwortlichen ein höheres Bußgeld, wenn er nicht nachweisen kann, dass die Beschäftigten ausreichend geschult wurden.

Wie kann / soll am besten geschult werden?

Um die Mitarbeiter ausreichend zu schulen, gibt es verschiedene Optionen. Zu einem besteht die Möglichkeit, klassische Präsenzschulung durchzuführen, die in Pandemiezeiten auch in Form einer Videokonferenz bzw. Online-Veranstaltung durchgeführt werden kann. Darüber hinaus besteht die Möglichkeit, Schulungen auch im Rahmen eines flexiblen e-Learnings durchzuführen.

Beide Alternativen haben Ihre Vor- und Nachteile. Die Präsenzschulungen bieten den Vorteil, dass die Teilnehmer*innen die Möglichkeit haben, gezielt Fragen zu stellen. Zudem können die Schulungsinhalte an einen bestimmten Bereich oder aber auch Detaillierungsgrad der Informationen angepasst werden. Denn Mitarbeiter der Marketingabteilung werden mit Sicherheit mit anderen Fragen, als die Mitarbeiter der Buchhaltung oder aber der Personalabteilung zu tun haben. Der Detaillierungsgrad der Informationen, die die Führungsmitarbeiter benötigen werden, wird sich dann vom Detaillierungsgrad der Informationen, die ein Sachbearbeiter benötigt, deutlich unterscheiden. So ist es erfahrungsgemäß sinnvoll, die Mitarbeiter*innen der Personal- und der Marketingabteilung gezielt vor Ort zu schulen und dadurch konkrete Fragen aus ihrer Praxis gezielt zu beantworten. Nachteilig ist bei den Präsenzschulungen in der Regel der Kostenfaktor (gerade bei kleineren Gruppen) und der relativ hohe organisatorische Aufwand, denn jemand muss die Termine organisieren und auch Räumlichkeiten zur Durchführung der Schulungen zur Verfügung stellen.

Im Gegensatz zu den Präsenzschulungen sind e-Learning-Angebote für eine allgemeine Basis-Sensibilisierung von Beschäftigten häufig sehr gut geeignet. Mit einer solchen Lösung können in kurzer Zeit relativ große Teilnehmerzahlen zeitlich und örtlich flexibel – ggf. am eigenen PC-Arbeitsplatz und auch im Home-Office – geschult werden. Insbesondere in Zeiten der Pandemie ist dieser Vorteil besonders wichtig.

Datenschutzschulungen können also an gewünschte Schwerpunkte und an verschiedene Mitarbeitergruppen angepasst werden. Wobei sich Letzteres bei e-Learning-Angeboten teilweise schwierig gestaltet, da meist standardisierte Inhalte angeboten werden, die nur begrenzt anpassbar sind. Im Zweifelsfall sollte hier bei der Auswahl des entsprechenden Anbieters auf eine möglicht gute Anpassungsmöglichkeit geachtet werden.

Dabei sollte im Rahmen einer Schulung insbesondere auch die Art und die Häufigkeit des Umgangs mit personenbezogenen Daten im jeweiligen Bereich berücksichtigt werden. Denn es macht einen Unterschied, ob in einem Krankenhaus besonders sensible personenbezogene Daten wie Gesundheitsdaten verarbeitet werden oder Fahrer*innen eines Logistikunternehmens regelmäßig nur mit wenigen unsensiblen personenbezogenen Daten – beispielsweise Adressdaten – zu tun haben.

Dementsprechend könnten den Beschäftigten beispielsweise Basisschulungen und Schulungen zu Spezialthemen angeboten werden.

Bei einer Basisschulung sollte lediglich ein Überblick zum Datenschutz gegeben werden. Dabei können insbesondere folgende Themenbereiche in Betracht kommen:

  • Gesetzliche Rahmenbedingungen und Grundsätze des Datenschutzes
  • Begriff „personenbezogene Daten“
  • Hinweise zu technischen und organisatorischen Maßnahmen zum Schutz der Daten
  • Rechte der betroffenen Personen
  • Sanktionen bei Datenschutzverstößen
  • Verhalten bei Datenschutzverletzungen und Verstößen (Datenpannen)
  • Hinweise zum Einsatz mobiler Geräte (ggf. eigener Geräte der Mitarbeiter*innen)
  • Hinweise zu den Regelungen der Telearbeit (Home-Office)
  • Hinweise zu unternehmensinternen Datenschutzrichtlinien und einschlägigen Betriebs- Personalvereinbarungen
  • Aufgaben, Rechte und Pflichten des Datenschutzbeauftragten

 

Im Rahmen der Spezialschulungen könnten beispielsweise folgende Themen behandelt werden:

  • Sozialdatenschutz,
  • Datenschutzrechtliche Fragen im Bereich Marketing,
  • Beschäftigtendatenschutz (HR-Bereich),
  • Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen.

Die Durchführung der Schulungsmaßnahmen sollte regelmäßig erfolgen (z.B. einmal jährlich), denn es ist wichtig das erlernte Wissen zu vertiefen und zu aktualisieren. Das Datenschutzrecht ist ein sehr dynamisches Themenfald in dem sich regelmäßig (allein schon aufgrund der recht umfangreichen und teilweise widersprüchlichen Rechtsprechung) Änderungen ergeben und so evtl. Anpassungsbedarf (z.B. bei Webpräsenzen) entsteht. Wir empfehlen daher, die Mitarbeiter*innen je nach Tätigkeitsbereich im Turnus von ein bis maximal zwei Jahren zu schulen, um die Kenntnisse im Datenschutz auf aktuellem Niveau zu halten.

Zudem ist zu beachten, dass die Schulungsmaßnahmen aus den oben genannten Gründen dokumentiert werden sollten. Dies kann z.B. in Form eines Teilnahmezertifikats, der Erwähnung im Jahresbericht des Datenschutzbeauftragten oder durch eine entsprechende Bescheinigung der die Schulung durchführenden Stelle erfolgen.

Wer kann die Schulungen durchführen? (Rolle der/des Datenschutzbeauftragten)

Da es keine gesetzlich vorgeschriebene Form gibt, können die Schulungen und Sensibilisierungsmaßnahmen von Personen und Stellen durchgeführt werden, die über das erforderliche Fachwissen verfügen (z.B. zertifizierte Datenschutzbeauftragte). Die geeigneten Schulungsinhalte sollten durch den betrieblichen Datenschutzbeauftragten vorgegeben und ihre Durchführung sowie ihre Wirksamkeit von diesem überwacht werden, auch wenn eine externe Stelle (im Rahmen des e-Learnings z.B.) mit der Durchführung der Schulungen beauftragt werden sollte.

Fazit

Die Schulung von Mitarbeitern und Mitarbeiterinnen ist im Rahmen der Datenschutz-Compliance sehr wichtig. Auch wenn keine (direkte) gesetzliche Verpflichtung zur Durchführung der Schulungen besteht, gibt es datenschutzrechtliche Bestimmungen, die mittelbar eine solche Pflicht begründen. Die Schulungsform und die Inhalte sind dabei abhängig von der Unternehmensgröße und den bereichsspezifischen Themen, die ggf. zu behandeln wären. Präsenzschulungen bieten sich für kleinere Teilnehmergruppen und bei Spezialthemen an (zw. 20 und 50 Personen an). Hingegen sind e-Learning-Angebote als Basisschulung sehr gut einsetzbar.

Als (extern tätige) zertifizierte Datenschutzbeauftragte bieten wir sowohl Präsenzschulungen als auch e-Learning-Lösungen an, die gesetzlichen Anforderungen entsprechen und die Beschäftigten mit den jeweiligen Erfordernissen des Schutzes personenbezogener Daten vertraut machen.

Benötigen Sie Unterstützung im Rahmen der Sensibilisierung Ihrer Mitarbeiter? Rufen Sie uns an, wir helfen Ihnen gerne!