Schulungen der Mitarbeiter zum Datenschutz

Ergibt sich eine Pflicht zur Durchführung von Schulungen aus der DS-GVO?

Bereits vor über einigen Jahren hatten wir uns in einem Artikel zum Thema Schulungsverpflichtung der Unternehmen zum Datenschutz geäußert. An der Grundaussage hat sich bis heute nichts geändert – im Gegenteil, das Thema ist aus unserer Sicht genauso aktuell wie damals.

Dies hat zwei Gründe: Zum einen steht zum 25.05.2018 mit dem Wechsel vom Bundesdatenschutzgesetz (BDSG) zur EU Datenschutz-Grundverordnung (DS-GVO) die wohl größte gesetzliche Änderung zum Datenschutz an, die es bis dahin gegeben haben wird. Zum anderen erlegt die DS-GVO den für die Verarbeitung Verantwortlichen eine Rechenschaftspflicht auf.

Zwei Gründe

Aber eins nach dem anderen: Die gesetzlichen Änderungen haben zur Folge, dass zukünftig Gestaltungen zulässig sind, die es vorher nicht waren. Beispielsweise können Verträge zur Auftragsverarbeitung zukünftig online oder per E-Mail abgeschlossen werden. Art. 28 Abs. 9 DS-GVO fordert, der Vertrag sei „schriftlich abzufassen, was auch in einem elektronischen Format erfolgen“ könne. Bislang genügten derart abgeschlossene Verträge zur Auftragsdatenverarbeitung nicht den Anforderungen des § 11 Abs. 2 Satz 2 BDSG. Andere Gestaltungen, die bislang erlaubt waren, sind es zukünftig in dieser Form nicht mehr. Hierzu gehört zum Beispiel die Koppelung von Gewinnspielen an das Abonnement eines Newsletters. Und wiederum weitere Vorgaben sind vollständig neu, wie zum Beispiel die bereits eingangs erwähnte Rechenschaftspflicht.

Die Rechenschaftspflicht

Der Rechenschaftspflicht hatten wir Anfang des Monats bereits einen eigenen Artikel gewidmet. Eine der Folgen der Rechenschaftspflicht ist unter anderem, dass sich zukünftig kein Verantwortlicher mehr damit aus der Affäre ziehen können wird, dass seine Mitarbeiter nicht ausreichend ausgebildet seien. Letztlich war es schon immer so, dass die Arbeitgeber ihren Mitarbeitern das notwendige Handwerkszeug stellen mussten, um sich rechtssicher durch den Arbeitsalltag zu bewegen.

Nach der DS-GVO wird es nicht mehr ausreichen, einfach Schulungsnachweise oder die Bestätigung des Datenschutzbeauftragten vorzuzeigen. Im Zweifel wird auch nachgewiesen werden müssen, dass allen geschulten Personen, die auf ihre Tätigkeiten zugeschnittene Inhalte vermittelt wurden.

Verpflichtung auf die Vertraulichkeit

Darüber hinaus wird eine Schulung zum Datenschutz auch weiterhin die Grundlage für eine sinnvolle und wirksame Verpflichtung auf die Vertraulichkeit darstellen. Was nützt es, wenn alle Mitarbeiter im Rahmen der Einstellung ein standardisiertes Formular mit recht gestelztem und juristischem Text unterzeichnen müssen, wenn dabei nicht sichergestellt ist, dass dieser Text auch verstanden und in den richtigen Kontext gesetzt wird? Aus unserer Sicht sollten einer Verpflichtung auf die Vertraulichkeit zwingend entsprechende Schulungen zum Datenschutz vorausgehen.

Indirekt aus der Verordnung

Zumindest indirekt lässt sich auch an anderer Stelle ableiten, dass die DS-GVO von einer Pflicht zur Durchführung von Schulungen zum Datenschutz ausgeht. Es wird zwar an keiner Stelle explizit eine solche Pflicht definiert. Allerdings wird dem Datenschutzbeauftragten in Art. 39 Abs. 1 lit. b die Aufgabe zugewiesen, die Überwachung „der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ durchzuführen. Der Verordnungsgeber weist also niemandem konkret die Aufgabe zu, derartige Schulungen durchzuführen. Er geht aber davon aus, dass derartige Schulungen stattfinden. Dies macht der Verordnungsgeber dadurch deutlich, dass er dem Datenschutzbeauftragten die Aufgabe zuweist, die Durchführung zu überwachen.

Bitte die Kirche im Dorf lassen

Bei aller Notwendigkeit und Sinnhaftigkeit von Datenschutzschulungen muss aber auch darauf geachtet werden, dass in diesen nicht weitere „kleine Datenschutzbeauftragte“ ausgebildet werden sollen. Es kann in solchen Veranstaltungen ausschließlich um eine Sensibilisierung hinsichtlich der relevanten Fragestellungen zum Datenschutz sowie um die Skizzierung des rechtlichen Rahmens gehen.

Zielgruppenorientierung

Dabei sollte auf die Tätigkeitsbereiche der einzelnen Mitarbeiter Rücksicht genommen werden. Mitarbeiter der Personalabteilung benötigen andere Informationen als IT-Administratoren.

Es muss nicht immer „Frontalbeschallung“ sein

Auch die Form der Schulung kann variieren. So kann es sinnvoll sein, gerade in sehr großen Unternehmen, die Masse der Mitarbeiter mithilfe eines Online-Tools zu schulen. Für kleinere Gruppen oder spezielle Themen bietet sich allerdings unseres Erachtens immer noch die Präsenzschulung an. In diesem Rahmen ist es möglich, individuelle Fragen zu beantworten oder in der Gruppe zu diskutieren. Und gerade die Klärung solcher Fragestellungen hat sich unserer Erfahrung nach bewährt, weil sie der gesamten Gruppe die direkte Anwendung des Datenschutzes in der Praxis nahe bringt.

Stehen Sie vor der Frage, wen Sie wann und wie in optimaler Weise zum Datenschutz schulen? Sprechen Sie uns an, gerne bieten wir Ihnen auf Ihr Unternehmen zugeschnittene Schulungen zum Datenschutz an.