In unserer digitalisierten Welt sind Daten zu einem der wertvollsten Güter von Unternehmen geworden. Gleichzeitig sind Datenschutzverletzungen und -skandale oder Datenpannen zu einem ernsthaften Risiko für die Reputation und die finanzielle Stabilität von Unternehmen geworden. Wie können die Unternehmen sicherstellen, dass ihre Beschäftigten weder bewusst noch unbewusst Datenschutzverstöße begehen, die nachteilige Konsequenzen für den Verantwortlichen nach sich ziehen? Aus unserer Erfahrung wissen wir, dass die meisten Datenschutzverletzungen nicht bewusst mit einer Bereicherungs- oder Schädigungsabsicht, sondern unbewusst aus Unachtsamkeit oder Unkenntnis begangen werden. Hier können Datenschutzschulungen entscheidend zur Sensibilisierung beitragen. Im Zusammenhang mit Beschäftigtenschulungen haben wir bereits mit einem etwas anderen Schwerpunkt hier berichtet.
Datenschutz als rechtliche Verpflichtung
Der Schutz personenbezogener Daten ist nicht nur eine gute Praxis, sondern in vielen Ländern und Regionen auch gesetzlich vorgeschrieben. Gesetze wie die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union etablieren ein hohes Datenschutzniveau. Unternehmen, die gegen diese Vorschriften verstoßen, müssen mit hohen Bußgeldern rechnen. Datenschutzschulungen können die Beschäftigten in die Lage versetzen, Datenschutzgesetze einzuhalten und so das Unternehmen vor rechtlichen Konsequenzen zu schützen.
Müssen Schulungen eigentlich durchgeführt werden?
Übrigens steht an keiner Stelle in der DSGVO, dass Verantwortliche dazu verpflichtet sind, Schulungen durchzuführen. Dennoch besteht eine Verpflichtung. Denn gemäß Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der DSGVO verantwortlich und muss diese Einhaltung auch nachweisen können. Und jedem wird klar sein, dass dieser Nachweis nicht erbracht werden kann, wenn die Beschäftigten überhaupt nicht wissen, was sie denn beachten müssen, um die Vorgaben der DSGVO einzuhalten. Wer kommt schon von selbst auf die Idee, dass eine Datenpanne (oder präzise gemäß Art. 4 Nr. 12 eine „Verletzung des Schutzes personenbezogener Daten“) schnellstmöglich gemeldet werden muss, wenn man nicht zuvor etwas davon gehört hat, dass solche Ereignisse gemäß Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden müssen?
Ferner obliegt dem Datenschutzbeauftragten, gemäß Art. 39 Abs. 1 lit. b DSGVO die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.“ Auch daraus lässt sich die Pflicht zur Durchführung der Schulungen ableiten.
Ähnlich ist es dann noch mal in Art. 24 Abs. 1 DSGVO formuliert:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“
Auch hier hat der Verantwortliche also einen Nachweis zu erbringen, dass er angemessene Maßnahmen, in diesem Fall organisatorische Maßnahmen, ergriffen hat, damit alle Verarbeitungen datenschutzkonform erfolgen können.
In unserer Praxis hat sich gezeigt, dass ein guter Nachweis der Einhaltung der Datenschutzvorschriften gegenüber der Datenschutzaufsichtsbehörde wohlwollend bei Bußgeldrisiken Berücksichtigung findet.
Schutz der Unternehmensreputation
Aber auch aus Eigeninteresse sollten Beschäftigtgenschulungen durchgeführt werden. Ein Datenschutzverstoß kann nicht nur finanzielle Konsequenzen haben, sondern auch das Vertrauen der Kund*innen und Geschäftspartner*innen erschüttern. Der Verlust von Vertrauen kann zu einem erheblichen Schaden für die Unternehmensreputation führen, die oft nur schwer wiederherzustellen ist. Schulungen im Bereich Datenschutz sensibilisieren die Beschäftigten für die Bedeutung der Privatsphäre und helfen, Datenschutzverletzungen zu vermeiden.
Risikominimierung
Beschäftige, die sich der datenschutzrechtlichen Vorgaben bewusst sind, sind besser in der Lage, Risiken zu erkennen und zu minimieren. Sie können Auffälligkeiten schneller identifizieren und melden, was dazu beiträgt, Datenschutzverletzungen frühzeitig zu erkennen. In der Folge können Reaktionen schneller erfolgen, bestenfalls bevor ein größerer Schaden entstanden ist. Besonders auffällig ist, dies bei der oben bereits erwähnten Frist von 72 Stunden bis zu der Datenpannen der Aufsichtsbehörde zu melden sind. Hier stellen wir immer wieder fest, dass gerade dieses Thema bei den Beschäftigten schnell in Vergessenheit gerät, wenn keine regelmäßigen Schulungen zum Thema Datenschutz stattfinden. Die Datenschutzlandschaft ist komplex und unterliegt ständigen Veränderungen. Wir empfehlen in der Regel einen jährlichen Rhythmus bei den Schulungen für die Beschäftigten zum Thema Datenschutz. Häufig ist es sinnvoll, neben den Basisschulungen auch zielgruppenorientierte Schulungen durchzuführen, da Beschäftigte beispielsweise aus der IT, der Personalabteilung und dem Einkauf einen grundlegend unterschiedlichen Schulungsbedarf haben. Sämtliche Schulungen bieten wir vor Ort als Präsenzveranstaltung oder Online an.
Wettbewerbsvorteil
Und hier noch ein Grund, weshalb Beschäftigtenschulungen sinnvoll sind: Unternehmen, die nachweislich eine gute Datenschutzkultur pflegen, können dies als Wettbewerbsvorteil nutzen. Kunden und Geschäftspartner suchen vermehrt nach vertrauenswürdigen Unternehmen, die ihre Daten sicher behandeln. Ein umfassend geschulter Stamm von Beschäftigten kann dazu beitragen, dieses Vertrauen zu gewinnen und neue Geschäftsmöglichkeiten zu erschließen.
Müssen es immer klassische Schulungen sein?
Eigentlich mögen wir den Begriff „Schulungen“ nicht sonderlich, da er dazu führt, dass man hauptsächlich an die üblichen Veranstaltungen denkt: Einer redet, der Rest hört mehr oder weniger aufmerksam zu und bekommt einer Menge PowerPoint-Folien präsentiert.
Dabei kann man so viel mehr tun und Abwechslung ist hier aus unserer Sicht das Zauberwort. Der Begriff „Beschäftigtensensibilisierung“ gefällt uns daher viel besser. Sinnvolle Ergänzungen sind daher aus unserer Sicht:
- Workshops, bei denen datenschutzrelevante Themen gemeinsam erarbeitet werden,
- Awareness-Kampagnen (beispielsweise durch simulierte Phishing-Attacken),
- interaktive Online-Schulungen.
Dokumentation der Maßnahmen
Muss die Durchführung der Maßnahmen eigentlich dokumentiert werden? Sollten die Beschäftigten die Teilnahme an einer Maßnahme durch Unterschrift bestätigen?
Naja, auch hier gilt, dass die DSGVO hierzu explizit nichts aussagt. Aber wenn wir gedanklich noch mal an den Anfang dieses Artikels zurückgehen, dann erinnern wir uns wir an den Hintergrund, der auch zu der Pflicht zur Durchführung der Schulungen geführt hat. „Nachweispflicht“ ist auch hier das Zauberwort. Zumindest sollte also dokumentiert werden:
- Aus welchen Einzelmaßnahmen besteht das Schulungskonzept?
- Welche Maßnahme wurde wann durchgeführt?
- Wer hat wann und an welcher Maßnahme teilgenommen?
Nur so kann der Verantwortliche seiner Nachweispflicht nachkommen. Eine gesonderte Unterschrift der Beschäftigten hilft natürlich bei diesem Nachweis. Bei einer ansonsten guten und vollständigen Dokumentation kann unseres Erachtens aber auf einzelne Unterschriften auch verzichtet werden.
Fazit
Beschäftigtensensibilisierungen zum Datenschutz sind kein Luxus, sondern eine Notwendigkeit für jedes Unternehmen, das personenbezogene Daten verarbeitet. Sie minimieren Risiken, bewahren die Reputation, schützen Kunden und Beschäftigte und können sogar zu einem Wettbewerbsvorteil führen. Datenschutz ist nicht nur eine Angelegenheit der IT-Abteilung, sondern eine Verantwortung, die auf allen Ebenen des Unternehmens verankert sein muss. Unternehmen sollten daher in Sensibilisierungen zum Datenschutz investieren, um sicherzustellen, dass ihre Beschäftigten die Bedeutung des Datenschutzes verstehen und aktiv dazu beitragen, die Daten ihres Unternehmens zu schützen und damit auch Bußgeldrisiken zu senken.
_____________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.