Datenschutzschulung
Mitarbeiter und Mitarbeiterinnen, die mit personenbezogenen Daten zu tun haben, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „vertraut zu machen“. Das gelingt am besten in einer Datenschutzschulung.
Warum eine Datenschutzschulung?
Nur wer weiß, was er tun muss, ist in der Lage, als Mitarbeiter oder Mitarbeiterin bei der Arbeit die Datenschutz-Vorschriften etwa von DSGVO und Bundesdatenschutzgesetz (BDSG) einzuhalten.
Gibt es in der DSGVO eine Pflicht, Mitarbeiter zum Datenschutz zu schulen?
Eine Pflicht, Mitarbeiterschulungen zum Datenschutz durchzuführen, lässt sich vor allem aus folgenden Vorgaben der DSGVO ableiten:
- Verantwortliche dürfen personenbezogene Daten ausschließlich „auf rechtmäßige Weise, nach Treu und Glauben“ verarbeiten (Art. 5 Abs. 1 Buchstabe a DSGVO). Das ist nur möglich, wenn die Mitarbeiter wissen, wie und wann eine Verarbeitung rechtmäßig ist. Die Dokumentation, dass ein Unternehmen oder eine Behörde Datenschutzschulungen durchgeführt hat, erleichtert den Nachweis des Trainings im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
- Verantwortliche dürfen nach DSGVO personenbezogene Daten nur verarbeiten, wenn technische und organisatorische Maßnahmen das Risiko von Datenschutzverstößen minimieren (Art. 32 DSGVO). Eine der organisatorischen Maßnahmen ist die Sensibilisierung und Schulung der Mitarbeiter zum Datenschutz.
- Aufgabe des Datenschutzbeauftragten ist es, die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zu überwachen und zu überprüfen (Art. 39 Abs. 1 Buchstabe b DSGVO).
Wer muss im Datenschutz geschult werden?
Zu sensibilisieren sind alle Mitarbeiter, die mit der Verarbeitung von personenbezogenen Daten zu tun haben. Das sind typischerweise Mitarbeiter der Personalabteilung, Systemadministratoren und Kundenbetreuer. Denn bei ihnen besteht ein hohes Risiko, gegen die Vorgaben der DSGVO und anderer Datenschutzvorschriften zu verstoßen.
Keinerlei Rolle spielt, in welcher Rechtsform ein Unternehmen die Mitarbeiter beschäftigt. Es besteht kein Unterschied etwa zwischen Angestellten, Zeitarbeitern, Teilzeitbeschäftigten oder Praktikanten.
Wer führt Datenschutzschulungen durch?
Der „Verantwortliche“, also meist der Arbeitgeber
Zuständig dafür, Datenschutzschulungen und Datenschutzunterweisungen durchzuführen, ist der datenschutzrechtlich Verantwortliche, meist also der Arbeitgeber. Er delegiert die Aufgabe in der Regel an eine interne oder externe Stelle. Auch den Datenschutzbeauftragten (DSB) kann er damit betrauen.
Datenschutzbeauftragter / Datenschutzbeauftragte
Art. 39 DSGVO legt aufgrund des Worts „zumindest“ die Aufgaben des DSB als Mindestkatalog und nicht abschließend fest.
Nationalgesetzlich oder individualvertraglich lassen sich Datenschutzbeauftragten daher darüber hinausgehende Aufgaben übertragen, sofern sie keinen Interessenkonflikt auslösen oder den DSB die Ausübung ihrer gesetzlichen Pflichten (wesentlich) erschweren. Das gilt auch für Regelungen zu Schulungen und für die Sensibilisierung.
Mitarbeiter zum Datenschutz zu unterweisen, obliegt dem Verantwortlichen, also dem Unternehmen oder der Behörde, und nicht per se dem DSB – soweit ihm der Verantwortliche diese Aufgabe nicht „ergänzend“ übertragen hat.
Der DSB ist erst einmal in der Funktion, die Datenschutz-Schulung und -Sensibilisierung zu überwachen und zu überprüfen. Der Verantwortliche entscheidet – in der Regel zusammen mit dem DSB – über die Inhalte des Schulungskonzepts und dessen Umsetzung gegenüber den Mitarbeitern.
Allerdings ist es aus der praktischen Erfahrung heraus zu empfehlen, dass der Datenschutzbeauftragte die Schulungen selbst durchführt.
Wer schult, wenn kein DSB vorhanden ist?
Auch wenn ein Verantwortlicher keinen DSB bestellen muss, gehört die Sensibilisierung und Schulung der Mitarbeiter zum Datenschutz zu den originären Aufgaben des Verantwortlichen – zumindest, wenn er nicht Gefahr laufen will, gegen die DSGVO zu verstoßen.
Derartige Maßnahmen sind essenziell, um die datenschutzrechtlichen Vorgaben einzuhalten. Wie sollen Beschäftigte z.B. Datenschutz-Verletzungen an den Verantwortlichen herantragen, wenn er keinen einzigen Mitarbeiter in einem Training hierüber unterrichtet hat?
Hat der Datenschutzbeauftragte eine Überprüfungspflicht?
Gemäß dem Wortlaut der DSGVO muss der DSB überprüfen, ob die Mitarbeiterschulung stattgefunden hat.
Je nach Anzahl der zu schulenden Mitarbeiter kann er sich etwa Teilnehmerlisten und entsprechende Dokumentationen vorlegen lassen, wenn er die Datenschutz-Unterweisung nicht selbst durchführt.
Die Überprüfung des Datenschutz-Trainings beschränkt sich nicht nur auf die Anzahl der Teilnehmenden. Es geht auch darum, auf
- erforderliche Inhalte der Datenschutzschulung,
- die Tiefe der Datenschutzschulung sowie
- die Qualifikationen der Personen, die eine Schulung der Mitarbeiter zum Datenschutz durchführen,
zu achten.
Was ist das Ziel von Mitarbeiterschulungen zum Datenschutz?
Ziel von Datenschutzschulungen muss es sein, bei den Beschäftigten ein Datenschutzbewusstsein zu wecken und Grundzüge des Datenschutzes zu vermitteln. Sie müssen die datenschutzrechtlichen Rahmenbedingungen kennen und in der Lage sein, sie (bezogen auf ihre Arbeit) einzuhalten.
Das wesentliche Ziel dieser Vorgabe ist es, Mitarbeiter und Führungskräfte mit den für das Unternehmen oder die Behörde geltenden datenschutzrechtlichen Vorgaben vertraut zu machen, einschließlich der internen Datenschutzrichtlinien und Strategien zu deren Einhaltung.
Insofern müssen – außerhalb der allgemeinen Grundlagenschulung zum Datenschutz – die Schulungsmaßnahmen individuell und aufgabenspezifisch an das Unternehmen oder die Behörde (z.B. Sozialgesetzbuch etc.) angepasst werden.
Je konkreter und individueller die Inhalte des Trainingd auf die einzelnen Arbeitsbereiche der Teilnehmenden abgestimmt sind, desto effizienter wird die Datenschutzschulung sein.
Wie oft sind Datenschutz-Schulungen nötig?
Allerorts hört man in den Betrieben, dass Schulungen zum Datenschutz regelmäßig stattfinden müssen. Daran ist nichts auszusetzen.
Doch was bedeutet das konkret? Was „regelmäßig“ heißt, ob z.B. alle sechs oder alle 12 Monate, bemisst sich am Risiko. Empfehlenswert ist ein Turnus von 12 Monaten für Mitarbeiterschulungen sowie entsprechende Auffrischungen.
Aber nicht immer müssen Schulungsmaßnahmen einem bestimmten Turnus folgen oder an die Einstellung neuer Mitarbeiter oder Mitarbeiterinnen gekoppelt sein.
Sie sind auch dann wichtig, wenn sie als Reaktion auf ein auslösendes Ereignis erforderlich werden, z.B. nach mehreren gleich gelagerten Datenpannen (z.B. Nichtbenutzung des Bcc-Felds beim Mailversand). In diesen Fällen empfiehlt sich eine zeitnahe Schulung, um derartige Datenschutzverstöße künftig zu minimieren.
Ein Schulungs- und Sensibilisierungskonzept ist ein wichtiger Teil des Datenschutzmanagementsystems (DSMS) und der „Datenschutzstrategien“ des Verantwortlichen (Art. 39 Abs. 1 Buchst. b DSGVO). Es sollte daher nicht stiefmütterlich behandelt werden!
Was ist die „beste“ Art der Datenschutzschulung?
Das „Vertrautmachen“ der Mitarbeiter mit den Datenschutzvorschriften lässt sich auf verschiedene Weisen erreichen. Möglich sind
- persönliche Präsenzschulungen zum Datenschutz,
- Online-Datenschutzschulungen und Webinare oder
- schriftliche Unterlagen.
Ein Abschlusstest kann den Lernerfolg des Trainings belegen.
Es gibt für alle Schulungsarten im Datenschutz Gegner und Befürworter.
Präsenzschulung zum Datenschutz
Vorteile: grundsätzlich hohe Effektivität für Basis- und Spezialschulungen, für komplexere Themen gut geeignet
Nachteile: kostenintensiv, besonders bei vielen zu schulenden Mitarbeitern aus diversen Abteilungen / Bereichen, erhöhte Anforderungen an Schulungsperson
Mögliche Lösung: Nur die Führungskräfte im Unternehmen erhalten eine Präsenzschulung. Sie kommunizieren dann die wesentlichen Inhalte an die Mitarbeiter, die ihnen unterstellt sind.
Online-Schulung / E-Learning zum Datenschutz
Vorteile: im Allgemeinen gut für Basis- / Grundlagenschulung (Einführung) geeignet, für komplexere Themen eher weniger; Möglichkeit, wenn Präsenzschulung aus Kostengründen zu aufwendig oder aus anderen Gründen nicht möglich ist (Corona!).
Nachteile: eventuell nicht ganz so effektiv
Papier-basierte Datenschutzschulung (z.B. durch Informationsmaterial)
Vorteile: regelmäßiger möglich als Präsenz- und Online-Schulungen; als flankierende Maßnahme gut geeignet
Nachteile: Diese Art entspricht eher dem Begriff der „Sensibilisierung“ als dem der tatsächlichen „Schulung“, da hier keine Interaktion (z.B. Rückfragen etc.) stattfindet. Mitarbeiter müssen sich die Informationen selbst erschließen.
Anwendungsbeispiele für Datenschutzschulungen
Für welche Schulungsart sich der Verantwortliche – in Abstimmung mit dem DSB – am Ende entscheidet und ob er auch Arten kombiniert, ist aber nicht nur reine Geschmackssache.
Die Entscheidung hierüber sollte sich insbesondere an den Risiken der Datenverarbeitungen, an den zu schulenden Mitarbeitern und am Einzelfall (z.B. Aufwand und Effektivität) orientieren.
Beispiel 1: Ein Groß- oder Einzelhändler mit einem breiten Filialnetz will seine 2.500 Mitarbeiter zum Datenschutz schulen. Für das Verkaufspersonal in den Filialen, das nicht primär Daten verarbeitet, wäre eine Online-Schulung (etwa per interaktivem E-Learning inkl. Fragentest) sinnvoll.
Die Mitarbeiter in der Verwaltung sowie die Gebietsleiter, bei denen die Datenverarbeitung im Fokus steht, sollten eine intensivere Präsenzschulung bekommen. Hier lassen sich direkt offene und konkrete Datenschutz-Fragen aus der alltäglichen Praxis beantworten.
Alternativ könnten auch nur die Führungskräfte eine Präsenzschulung erhalten, die ihr Wissen dann an die Mitarbeiter weitergeben. Das reduziert den Aufwand und die Kosten.
Beispiel 2: Vergleichbares gilt z.B. bei einem mittelständischen Fertigungsunternehmen mit 50 Mitarbeitern in der Verwaltung (Bürotätigkeiten mit Datenverarbeitung) und 200 Mitarbeitern in der Produktion.
Sofern das Unternehmen aufgrund der verhältnismäßig geringen Anzahl von Beschäftigten nicht komplett auf Präsenzunterweisungen setzt, bietet es sich an, die Mitarbeiter der Verwaltung in Präsenz zu schulen, die Mitarbeiter der Produktion hingegen über eine Online-Schulung sowie mit tätigkeitsbezogenen Informationsschreiben zum Datenschutz zu sensibilisieren.
Welche Schulungs-Inhalte zum Datenschutz sind sinnvoll?
Im Wesentlichen lassen sich zwei inhaltliche Stoßrichtungen ausmachen: die Grundlagenschulung zum Datenschutz und die spezielle, also themen-/bereichsspezifische Datenschutzschulung.
Datenschutz-Grundlagenschulung für Mitarbeiter
Eine Mitarbeiterschulung zu den Grundlagen des Datenschutzes kann viele verschiedene Aspekte beleuchten. Wichtige Inhalte das Trainings können sein:
- Was bedeutet Datenschutz? Was sind personenbezogene Daten? Welche Rechte haben betroffene Personen?
- Was macht der Datenschutzbeauftragte?
- Welche Arbeitsanweisungen und Unternehmensrichtlinien mit datenschutzrechtlichem Bezug gibt es (z.B. Leitfaden zum Umgang mit Datenpannen)?
Spezielle Datenschutzschulung
Spezielle Schulungsmaßnahmen (themen- und bereichsspezifisch) können zu Inhalten erfolgen wie
- Datenschutz-Folgenabschätzungen und Risikoevaluation,
- Umsetzung der Betroffenenrechte im Unternehmen (z.B. für Kunden- / Servicecenter),
- Marketing und Vertrieb – was muss beachtet werden?,
- Datenverarbeitung und Umgang mit GPS-Ortungsdaten (z.B. für Fuhrparkmanager / Logistiker) oder
- Datenübermittlungsmöglichkeiten vor dem Hintergrund von § 203 Strafgesetzbuch (z.B. für Klinikpersonal, Ärzte und sonstige Berufsgeheimnisträger).
Diese Fragen beantwortet ein solides Schulungskonzept zum Datenschutz
Ein Datenschutz-Schulungskonzept sollte folgende Punkte berücksichtigen und definieren:
- Lernauslöser – wann soll was vermittelt werden? Stichwort: Turnus und auslösendes Ereignis
- Lernziele – was soll die Maßnahme erreichen?
- Lerngruppe – wem soll etwas vermittelt werden? Stichwort: Flughöhe und Empfängerhorizont der Mitarbeiter
- Lerninhalte – was soll die Datenschutzschulung konkret vermitteln?
- Lernmethoden – wie sollen die Inhalte vermittelt werden? Stichwort: Präsenzschulung im Datenschutz, Frontalschulung, Workshop etc.
- Lernmedien – welche Medien sollen zum Einsatz kommen? Stichwort: Powerpoint, audiovisuelle Komponenten
- Lehrperson – wer vermittelt welche Inhalte und welche Qualifikation muss diese Person besitzen? Stichwort: DSB oder andere Person
Auch bei der Datenschutzschulung risikoorientiert vorgehen
Auch bei den Schulungs- und Sensibilisierungsaufgaben muss der Datenschutzbeauftragte den Risiken, die mit den Verarbeitungsvorgängen verbunden sind, Rechnung tragen.
Wo bzw. in welchem (Verarbeitungs-)Bereich bedeutet also eine „Nichtschulung“ der Mitarbeiter ein höheres Risiko für die Rechte und Freiheiten der betroffenen Personen und für die Datenschutz-Compliance des Verantwortlichen?
Je nach Risiko der Verarbeitungsvorgänge können daher auch tiefergehende und häufigere Schulungsmaßnahmen zum Datenschutz erforderlich sein.
Beispielsweise dürfte eine Schulung im Rahmen einer Datenverarbeitung im Endkunden-Bereich (B2C) „wichtiger“ sein als eine im Unternehmenskunden-Bereich (B2B).
Wie sind die Schulungsmaßnahmen zum Datenschutz zu dokumentieren?
Zu guter Letzt müssen die durchgeführten Schulungen zum Datenschutz vor dem Hintergrund der Rechenschaftspflicht dokumentiert und nachvollziehbar sein. Wie die Dokumentation im Einzelfall aussieht, orientiert sich an der Art der Schulung.
Für (innerbetriebliche) Präsenzschulungen zum Datenschutz ist eine Teilnahmebescheinigung nicht zwingend erforderlich; es reicht eine Teilnehmerliste mit Namen und Unterschrift der Mitarbeiter.
Bei Online-Schulung bietet es sich an, die Teilnahmebescheinigungen zu archivieren.
Führt der DSB die Unterweisungen zum Datenschutz selbst durch, so dient die Dokumentation auch dem Nachweis, dass er seine Pflichten erfüllt hat, und damit seiner Enthaftung.
Folgende Angaben sollte eine Teilnehmerliste bzw. -bescheinigung zu Dokumentationszwecken enthalten:
- Dauer / Umfang der Datenschutzschulung
- Datum
- Teilnehmerkreis (z.B. Führungskräfte, Mitarbeiter Bereich Vertrieb)
- Inhalte (Themenkategorien wie „Betroffenenrechte“ und „Datenpannen“)
- Referent / Referentin
Zum Datenschutz „schulen“ oder „sensibilisieren“?
Die DSGVO verwendet in Art. 39 DSGVO (Aufgaben des DSB) die beiden Begriffe „Sensibilisierungs- und Schulungsmaßnahmen“. Sie bedeuten nicht das Gleiche, weisen aber Gemeinsamkeiten auf.
„Sensibilisierung“ ist umfassender als „Schulung“ und ein mehrstufiger Prozess. So sind Schulungen auch eine Maßnahme, um die Mitarbeiter zu sensibilisieren.
Eine Sensibilisierung zum Datenschutz kann auf mehrere Arten erfolgen. So kann ein Rundschreiben des DSB zu einem bestimmten Thema – z.B. Datenschutz und Vertrieb – eine (Teil-)Sensibilisierung sein. Gleiches gilt für Unternehmensrichtlinien, Newsletter oder FAQ für die Mitarbeiter.
Der Mensch ist oft das schwächste Glied. Durch Schulungs-, Trainings- und Sensibilisierungsmaßnahmen gilt es, dieses Glied kontinuierlich zu stärken.
Hierbei kommt der bzw. dem Datenschutzbeauftragten eine wichtige Aufgabe zu. Zum einen ist der DSB beratend unverzichtbar. Zum anderen: Gestaltet sie oder er gerade die Präsenzschulungen spannend und gar mit (erlebten) Kuriositäten, so wird jeder Mitarbeiter gern teilnehmen und DSB sowie den Datenschutz positiv im Gedächtnis behalten.