Sensibilisierung der Beschäftigten – Pflicht oder Kür?

Definiert die DSGVO eine solche Pflicht zur Sensibilisierung?

24.01.2022

In Unternehmen, Behörden und auch anderen Organisationen, die datenschutzrechtliche Vorschriften zu beachten haben, werden Datenschutzschulungen durchgeführt und Mitarbeiter*innen im Umgang mit personenbezogenen Daten sensibilisiert. Doch warum eigentlich? Gibt es eine gesetzliche Verpflichtung, dies zu tun? Oder wird es freiwillig gemacht? Kann man es auch sein lassen? Und wenn man die Schulungen durchführen muss, wie oft und wie intensiv müssen diese denn sein? Wer kann / darf diese durchführen und welchen Inhalt sollen sie gegebenenfalls haben?

Pflicht zur Durchführung von Sensibilisierungsmaßnahmen?

Nun, eine ausdrückliche Pflicht, Datenschutz-Schulungen durchzuführen, bei denen die mit der Verarbeitung personenbezogener Daten betrauten Personen mit den im Bereich des Datenschutzes relevanten Vorschriften und mit den jeweiligen besonderen Erfordernissen des Schutzes personenbezogener Daten vertraut zu machen wären, ist weder in der Datenschutz-Grundverordnung (DSGVO) noch im Bundesdatenschutzgesetz (BDSG) enthalten.

Gemäß Art. 39 Abs. 1 lit. a DSGVO gehört es jedoch zu den Aufgaben der Datenschutzbeauftragten, Beschäftigte über Pflichten nach der DSGVO und sonstigen datenschutzrelevanten Vorschriften zu unterrichten. Zudem sind die Datenschutzbeauftragten verpflichtet, gemäß Art. 39 Abs. 1 lit. b DSGVO die Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten „einschließlich der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zu überwachen. Damit geht die DSGVO grundsätzlich davon aus, dass Schulungsmaßnahmen durchgeführt werden, ohne dass es in ausdrücklichen so formuliert ist.

Zu beachten ist ferner, dass die DSGVO jeden Verantwortlichen zur Implementierung eines Datenschutz-Managementsystems (DSMS) verpflichtet, denn jeder Verantwortliche hat eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Diese Verpflichtung ergibt sich aus Art. 24 DSGVO. Die Norm bestimmt in Satz 1 Folgendes:

„Der Verantwortliche setzt […] geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

Die allgemein geltende Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO begründet darüber hinaus eine Umkehr der Beweislast, so dass die Pflicht, den Nachweis erbringen zu können, dass die Verarbeitung rechtskonform erfolgt ist, stets den Verantwortlichen trifft.

Damit der Nachweis gelingen kann und die gesetzlich vorausgesetzte „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ von den Datenschutzbeauftragten überwacht werden kann, müssen sowohl abhängig Beschäftigte als auch Führungskräfte mit den gesetzlichen Anforderungen im Bereich des Datenschutzes und der Datensicherheit vertraut gemacht werden. Für Verantwortliche resultiert daraus eine Pflicht, für eine hinreichende Sensibilisierung der Beschäftigten zu sorgen.

Im Ergebnis können wir also festhalten, dass die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen keine wünschenswerte Angelegenheit, sondern verpflichtende und gesetzlich vorausgesetzte (und damit vorgegebene) Aufgabe eines jeden Verantwortlichen ist.

Im Fall eines Verstoßes gegen die Vorgaben der Datenschutzvorschriften kann der Nachweis von Schulungen mögliche Sanktionen von Aufsichtsbehörden abmildern. Und auch umgekehrt, im Fall einer Datenpanne zum Beispiel, droht dem Verantwortlichen ein höheres Bußgeld, wenn er nicht nachweisen kann, dass die Beschäftigten ausreichend sensibilisiert geschult wurden.

Wie kann / soll am besten geschult werden?

Um die Mitarbeiter*innen ausreichend zu schulen, gibt es verschiedene Optionen. Zu einem besteht die Möglichkeit, klassische Präsenzschulung durchzuführen, die (nicht nur in Pandemiezeiten) auch in Form einer Videokonferenz bzw. Online-Veranstaltung durchgeführt werden kann. Darüber hinaus besteht die Möglichkeit, Schulungen auch im Rahmen eines flexiblen e-Learnings durchzuführen.

Beide Alternativen haben Ihre Vor- und Nachteile. Die Präsenzschulungen bieten den Vorteil, dass die Teilnehmer*innen die Möglichkeit haben, gezielt Fragen zu stellen. Zudem können die Schulungsinhalte an einen bestimmten Bereich oder aber auch Detaillierungsgrad der Informationen angepasst werden. Denn die Mitarbeiter*innen der Marketingabteilung werden mit Sicherheit andere Fragen, als die Mitarbeiter*innen der Buchhaltung oder aber der Personalabteilung haben. Darüber hinaus wird sich der Detaillierungsgrad der Informationen, welche die Führungskräfte benötigen deutlich vom Detaillierungsgrad der Informationen, die Sachbearbeiter*innen benötigen, unterscheiden. So ist es erfahrungsgemäß sinnvoll, die Mitarbeiter*innen der Personal- und der Marketingabteilung gezielt und nach Abteilungen getrennt zu schulen und dabei konkrete Fragen aus ihrer Praxis gezielt zu beantworten. Nachteilig ist bei den Präsenzschulungen in der Regel der Kostenfaktor (gerade bei kleineren Gruppen) und der relativ hohe organisatorische Aufwand, denn jemand muss die Termine organisieren und (bei echten Präsenzschulungen) auch Räumlichkeiten zur Durchführung der Schulungen zur Verfügung stellen.

Im Gegensatz zu den Präsenzschulungen sind e-Learning-Angebote für eine allgemeine Basis-Sensibilisierung von Beschäftigten häufig sehr gut geeignet. Mit einer solchen Lösung kann in kurzer Zeit eine relativ große Anzahl an Teilnehmer*innen zeitlich und örtlich flexibel – ggf. am eigenen PC-Arbeitsplatz und auch im Home-Office – geschult werden. Insbesondere in Zeiten der Pandemie ist dieser Vorteil besonders wichtig.

Datenschutzschulungen können also an gewünschte Schwerpunkte und an verschiedene Gruppen von Beschäftigten angepasst werden. Wobei sich Letzteres bei e-Learning-Angeboten teilweise schwierig gestaltet, da meist standardisierte Inhalte angeboten werden, die nur begrenzt anpassbar sind. Im Zweifelsfall sollte hier bei der Auswahl des entsprechenden Anbieters auf eine möglichst gute Anpassungsmöglichkeit geachtet werden.

Dabei sollte im Rahmen einer Schulung insbesondere auch die Art und die Häufigkeit des Umgangs mit personenbezogenen Daten im jeweiligen Bereich berücksichtigt werden. Denn es macht einen Unterschied, ob in einem Krankenhaus in großem Umfang besonders sensible personenbezogene Daten wie Gesundheitsdaten verarbeitet werden oder ob Fahrer*innen eines Logistikunternehmens regelmäßig mit nur wenigen unsensiblen personenbezogenen Daten – beispielsweise Adressdaten – zu tun haben.

Dementsprechend könnten den Beschäftigten beispielsweise Basisschulungen und Schulungen zu Spezialthemen angeboten werden.

Bei einer Basisschulung sollte lediglich ein Überblick zum Datenschutz gegeben werden. Dabei können insbesondere folgende Themenbereiche in Betracht kommen:

  • Gesetzliche Rahmenbedingungen und Grundsätze des Datenschutzes
  • Begriff „personenbezogene Daten“
  • Hinweise zu technischen und organisatorischen Maßnahmen zum Schutz der Daten
  • Rechte der betroffenen Personen
  • Sanktionen bei Datenschutzverstößen
  • Verhalten bei Datenschutzverletzungen und Verstößen (Datenpannen)
  • Hinweise zum Einsatz mobiler Geräte (ggf. eigener Geräte der Mitarbeiter*innen)
  • Hinweise zu den Regelungen der Telearbeit (Home-Office)
  • Hinweise zu unternehmensinternen Datenschutzrichtlinien und einschlägigen Betriebs- Personalvereinbarungen
  • Aufgaben, Rechte und Pflichten des Datenschutzbeauftragten

 

Im Rahmen von Spezialschulungen könnten dann beispielsweise zusätzlich folgende Themen behandelt werden:

  • Sozialdatenschutz,
  • Datenschutzrechtliche Fragen im Bereich Marketing,
  • Beschäftigtendatenschutz (HR-Bereich),
  • Auswirkungen des Fernmeldegeheimnisses auf die IT-Administration
  • Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen.

Die Durchführung der Schulungsmaßnahmen sollte regelmäßig erfolgen (z.B. einmal jährlich), denn es ist wichtig das erlernte Wissen zu vertiefen und zu aktualisieren. Das Datenschutzrecht ist ein sehr dynamisches Themenfeld in dem sich regelmäßig (allein schon aufgrund der recht umfangreichen und teilweise widersprüchlichen Rechtsprechung) Änderungen ergeben und so häufig Anpassungsbedarf (z.B. bei Webpräsenzen) entsteht. Wir empfehlen daher, die Mitarbeiter*innen je nach Tätigkeitsbereich im Turnus von ein bis maximal zwei Jahren zu schulen, um die Kenntnisse im Datenschutz auf aktuellem Niveau zu halten.

Zudem ist zu beachten, dass die Schulungsmaßnahmen aus den oben genannten Gründen, insbesondere der Rechenschaftspflicht, dokumentiert werden sollten. Dies kann z.B. in Form eines Teilnahmezertifikats, der Erwähnung im Jahresbericht des Datenschutzbeauftragten, durch eine entsprechende Bescheinigung der die Schulung durchführenden Stelle oder einfach durch eine Liste der Teilnehmenden erfolgen.

Wer kann die Schulungen durchführen? (Rolle der/des Datenschutzbeauftragten)

Da es keine gesetzlich vorgeschriebene Form gibt, können die Schulungen und Sensibilisierungsmaßnahmen von Personen und Stellen durchgeführt werden, die über das erforderliche Fachwissen verfügen. Hierzu gehören insbesondere zertifizierte Datenschutzbeauftragte. Die geeigneten Schulungsinhalte sollten durch die betrieblichen Datenschutzbeauftragten vorgegeben und ihre Durchführung sowie ihre Wirksamkeit von diesen überwacht werden, wenn eine externe Stelle (zum Beispiel im Rahmen des e-Learnings) mit der Durchführung der Schulungen beauftragt werden sollte. Wir sind allerdings der Meinung, dass gut qualifizierte Datenschutzbeauftragte solche Schulungen selbst durchführen sollten. Denn auch die Tatsache, dass die Beschäftigten ihre*n Datenschutzbeauftragte*n einmal persönlich zu Gesicht bekommen haben, schafft Vertrauen und hilft in der späteren Zusammenarbeit enorm.

Fazit

Die Schulung der Beschäftigten ist im Rahmen der Datenschutz-Compliance sehr wichtig. Auch wenn keine direkte gesetzliche Verpflichtung zur Durchführung der Schulungen besteht, gibt es datenschutzrechtliche Bestimmungen, die mittelbar eine solche Pflicht begründen. Die Schulungsform und die Inhalte sind dabei abhängig von der Unternehmensgröße und den bereichsspezifischen Themen, die ggf. zu behandeln sind. Präsenzschulungen bieten sich für kleinere Gruppen von Teilnehmenden und bei Spezialthemen an (zw. 20 und 50 Personen an). Hingegen sind e-Learning-Angebote als Basisschulung sehr gut einsetzbar.

Als (extern tätige) zertifizierte Datenschutzbeauftragte bieten wir sowohl Präsenzschulungen als auch e-Learning-Lösungen an, die gesetzlichen Anforderungen entsprechen und die Beschäftigten mit den jeweiligen Erfordernissen des Schutzes personenbezogener Daten vertraut machen.

Benötigen Sie Unterstützung im Rahmen der Sensibilisierung Ihrer Mitarbeiter? Rufen Sie uns an, wir helfen Ihnen gerne!