Titelbild Datenschutzschulung für Mitarbeiter
24. Juli 2020

Datenschutz-Schulung für Mitarbeiter – eine notwendige Maßnahme, die Spaß machen kann

Mitarbeiter sind das Lebenselixier jedes erfolgreichen Unternehmens. Deshalb ist die Investition in die Weiterbildung der Mitarbeiter eine der besten Maßnahmen, die Sie ergreifen können. 

Mit dem Aufkommen der Datenschutzgrundverordnung (DSGVO) ist die Schulung von Mitarbeitern in Fragen des Datenschutzes fast obligatorisch geworden. In diesem Beitrag stellen wir einige Tipps vor, die Sie bei der Datenschutz-Schulung von Mitarbeitern beachten sollten.

Denn: Das gravierende finanzielle Risiko, das mit den hohen Bußgeldern des DSGVO verbunden ist, sollte Unternehmen und Organisationen dazu zwingen, aufmerksam zu sein. 

Technische und organisatorische Maßnahmen bilden zwar eine wichtige Grundlage, am Ende sind es jedoch kompetente Mitarbeiter, die in der Lage sein müssen, mit den erhöhten Anforderungen der DSGVO umzugehen.

  1. Schulungspflicht nach DSGVO
  2. Wie sollten Mitarbeiter geschult werden?
  3. Nachweispflicht und Turnus von Schulungen
  4. 5 Tipps zur Sensibilisierung von Mitarbeitern für Datenschutz

Schulungspflicht nach DSGVO

Zwar besteht laut DSGVO keine explizite Pflicht zur Datenschutz-Schulung von Mitarbeitern. Jedoch ergibt sich die Notwendigkeit zur Sensibilisierung und Schulung durch die Aufgabengebiete, die Mitarbeiter verantworten. 

So entstehen Pflichten, die Mitarbeiter für einen datenschutzkonformen Umgang mit personenbezogenen Daten erfüllen müssen: 

  • Meldepflichten bei inkorrekten Daten
  • Auskunftspflichten gegenüber Kunden und Verbrauchern (Oftmals wenden sich Betroffene direkt an Mitarbeiter)
  • Löschpflichten von Datensätzen
  • Datenschutzkonformer Umgang mit personenbezogenen Daten

Am Ende jedoch sind es die Unternehmen bzw. deren Verantwortliche, die zur Einhaltung der DSGVO einer Rechenschaftspflicht nachkommen müssen. Zu dieser Pflicht gehört auch die Errichtung technischer und organisatorischer Maßnahmen (TOM), wie etwa die Bestellung eines Datenschutzbeauftragten. 

Der Datenschutzbeauftragte wiederum ist verantwortlich dafür, Mitarbeiter in Unternehmen in Belangen rund um den Datenschutz zu unterrichten und zu beraten. So kümmert auch er sich um die Schulungen, die Mitarbeiter für die Einhaltung der DSGVO in regelmäßigen Abständen erhalten sollten. 

Doch nicht nur diese Pflichten sollten Gründe für Unternehmen sein, ihre Mitarbeiter im Datenschutz zu sensibilisieren. Durch ein grundsätzliches Bewusstsein in Unternehmen für heikle Prozesse in Bezug zu Datenschutz können Unternehmen ihre IT-Sicherheit stärken. Ein Bereich, der eng verzahnt mit den Anforderungen an den Datenschutz ist. Zudem sollte man auch bedenken, dass Bußgeldstrafen für Unternehmen, die ihre Mitarbeiter im Datenschutz geschult haben deutlich niedriger ausfallen, als für solche, die den Schulungsempfehlungen nicht nachgekommen sind. 

Darüber hinaus kann ein ordnungsgemäßer Umgang mit personenbezogenen Daten als vertrauensfördernde Maßnahmen für Kunden strategisch dienlich sein. 

Wie sollten Mitarbeiter nach DSGVO geschult werden?

Auch die Art der Datenschutz-Schulung, die Mitarbeiter absolvieren sollten, ist nicht gesetzlich vorgeschrieben. 

Theoretisch können Unternehmen auf verschiedenen Wegen eine Sensibilisierung ihrer Mitarbeiter für den Datenschutz sicherstellen. Ob vor Ort in einer Präsenzschulung, per E-Mail oder online mit innovativen E-Learnings, alle diese Varianten und weitere Abwandlungen sind für Schulungszwecke möglich.

Unabhängig davon, welches Medium Unternehmen für Mitarbeiterschulungen bevorzugen, sollte eine Dokumentation der eingesetzten Maßnahmen stattfinden können. Diese Dokumentationen dienen der Konformität mit Artikel 24 DSGVO, nach der Verantwortliche in Unternehmen für die Einhaltung der Datenverarbeitung nach DSGVO-Maßstab zuständig sind. In diesem Zusammenhang bestehen für die Verantwortlichen Nachweispflichten über die eingesetzten Maßnahmen. 

Rechenschaftspflicht und Turnus von Datenschutz-Schulungen

In Artikel 5 DSGVO wird der Begriff “Rechenschaftspflicht” definiert. Dieser Terminus besagt, dass verantwortliche Führungskräfte in Unternehmen für die Einhaltung von Datenschutzgrundsätzen verantwortlich sind und diese Konformität belegen können müssen. 

Auch aus diesem Grund sollten Unternehmen sich für Schulungen entscheiden, die diesen Nachweis vollbringen können. Nach erfolgreichem Abschluss der Schulung von lawpilots erhält daher jeder Mitarbeiter ein individuelles Teilnahmezertifikat, das den Anforderungen der Dokumentationspflicht entspricht. Alternativ können auch Teilnehmerlisten oder eine E-Mail Bestätigung diesen Nachweis erbringen. 

In jedem Fall sollten Unternehmen keinesfalls davon ausgehen, dass eine einmalige Schulung von Mitarbeitern ausreichend ist, um eine lang anhaltende Kultur des Bewusstseins für datenschutzrechtliche Belange zu etablieren. 

Vielmehr gilt es, Mitarbeiter in regelmäßigen Abständen auf den neuesten Stand der Grundverordnung zu bringen und gelernte Inhalte zu wiederholen. Nur so kann langfristig eine Unternehmenskultur entstehen, in der Datenschutz nicht nur ein Schlagwort ist, sondern konsequent in die Arbeitsprozesse integriert wird. 

Welcher Turnus angemessen ist, wird in der Grundverordnung nicht explizit geregelt. Es gilt, die Häufigkeit von Datenschutz-Schulungen dem individuellen Unternehmen anzupassen. Handelt es sich um ein datengetriebenes Unternehmen, bei dem eine Datenpanne bzw. die Offenlegung von sensiblen Daten große Schäden für Betroffene anrichten kann, sollte ein sechsmonatiger Turnus gewählt werden.
Generell reicht bei vielen Unternehmen eine jährliche Datenschutz-Schulung der Mitarbeiter aus. Sollten sich in der Zwischenzeit jedoch Neuerungen an der DSGVO ergeben oder neue Gesetzentwürfe verabschiedet werden, sollten diese Ereignisse ebenfalls als Anlass für eine Mitarbeiterschulung im Datenschutz genommen werden. 

5 Tipps zur Sensibilisierung von Mitarbeitern für Datenschutz

Risikobewertung von personenbezogenen Daten

Die Risikobewertung ist der Bereich, in dem es den meisten (vor allem kleinen) Unternehmen an Fachwissen zur korrekten Umsetzung mangelt. Gleichzeitig ist es die Risikobewertung, die für das insgesamt effektive und reibungslose Funktionieren Ihrer Datenverarbeitungsaktivitäten von größter Bedeutung ist.
Die Grundprämisse ist einfach: Nicht alle Daten sind gleich sensibel oder wertvoll, sodass einige Daten eine Sonderbehandlung verdienen. Andere Daten hingegen erfordern nur ein grundlegendes Maß an Sicherheit, da ihr Verlust selbst im Falle einer Datenschutzverletzung keine ernsthaften Probleme aufwerfen würde.

Vereinfacht ausgedrückt: Je höher das Risiko einer Verletzung und je sensibler die Daten sind, desto riskanter wird ihre Verarbeitung. Solche Daten erfordern zusätzliche Schutzmaßnahmen, um sicherzustellen, dass ihre Verarbeitung kein Risiko für potentielle Datenpannen darstellt.

Bei der Bewertung sollten möglichst alle Faktoren in Betracht gezogen werden:
Hat Ihr Unternehmen in letzter Zeit unter Cyberangriffen gelitten? Verarbeiten Sie Daten von einer großen Anzahl von Benutzern? Enthalten die Daten persönlich identifizierbare Informationen? Protokollieren Sie die Daten angemessen? Wie gut sind Ihre organisatorischen Datensicherheitsmaßnahmen? Wie sieht es mit technischen Maßnahmen aus?

Allein durch die Einführung von Zugangskontrollen und die Verhinderung des Einsatzes unberechtigter Geräte an Firmenarbeitsplätzen lässt sich viel erreichen. Weitere Maßnahmen sollten am besten von dem zuständigen Datenschutzbeauftragten eingeführt werden, der die Schwachstellen des gesamten Unternehmens im Bereich der Datensicherheit auswerten wird.

Phishing vermeiden

Raten Sie Ihren Mitarbeitern, persönliche Informationen über Ihre Kunden oder Benutzer nicht per Telefon an Dritte weiterzugeben. Unternehmen sollten daher einen Mechanismus zur Überprüfung der Identität der Anrufer einrichten.

Diese Überprüfungen auch bei ausgehenden Anrufen erforderlich. Man weiß nie, ob die Telefonnummer einer Person geändert oder ein Telefon gestohlen wurde. Schriftliche Kommunikation ist Trumpf; vermeiden Sie es, persönliche Informationen über das Telefon weiterzugeben oder zu erhalten.

Naivität ist die Voraussetzung für Identitätsdiebstahl. Schulen Sie Ihre Mitarbeiter, damit sie online sicher bleiben.

Phishing abwehren Blogartikel

Meldepflicht bei Datenpannen

Wenn sich eine Datenpanne ereignet hat und diese nicht so schnell wie möglich, d.h. innerhalb von 72 Stunden, gemeldet wird, ist dies ein schwerwiegender Verstoß gegen das DSGVO, der eine erhebliche Geldbuße rechtfertigt. Unternehmen sollten Ihre Mitarbeiter darüber aufklären, dass die Meldung von Verstößen an die Aufsichtsbehörden obligatorisch ist, sobald der Verstoß entdeckt wird.

Sie sollten alle relevanten Details bezüglich der Meldung notieren und die Aufzeichnungen an einem sicheren Ort aufbewahren. Dies wird im Falle einer weiteren Untersuchung durch die Aufsichtsbehörde hilfreich sein.

Bei Neueinstellungen von Mitarbeitern

Neue Mitarbeiter sollten so schnell wie möglich mit den bewährten Verfahren zum Schutz der Privatsphäre vertraut gemacht werden. Wenn Unternehmen regelmäßig neue Mitarbeiter einstellen, sollten sie in Erwägung ziehen, ein in Zusammenarbeit mit ihrem Datenschutzbeauftragten entwickeltes Datenschutz-Schulungsprogramm einzurichten. Auf diese Weise können sich neue Mitarbeiter schnell, mit minimalen Ausfallzeiten und so wenig Fehlern wie möglich einarbeiten.

Unternehmensinterne Sicherheitsrichtlinien

Dies sollte das Endprodukt Ihrer Bemühungen sein, und es sollte alle oben genannten Punkte in klarer, prägnanter und verständlicher Weise enthalten.

Mit Hilfe eines Datenschutzbeauftragten sollte eine unternehmensweite Sicherheitsrichtlinie entworfen werden, die als Bezugspunkt und Vorbild für Mitarbeiter dient. Die Sicherheitsrichtlinie ist ein Baustein, auf dem alle anderen datenschutzrechtlichen Aktivitäten basieren, wie sie durch Art. 24 und 32 der DSGVO festgelegt und vorgesehen sind.

Die Sicherheitsrichtlinien koordinieren demnach alle organisatorischen und technischen Maßnahmen zur Gewährleistung der Datensicherheit. Unternehmen sollten die Richtlinie jährlich überarbeiten. Der wichtigste Teil ist die Delegation klarer Rollen und Verantwortlichkeiten an die Mitarbeiter, damit etwaigen Unklarheiten vorgebeugt werden kann.

Zu einer guten Sicherheitspolitik gehört auch ein Notfallplan für den Fall einer Datenverletzung bzw. Datenpanne.

Datenschutz-Schulungen für Mitarbeiter können Spaß machen

Wir von lawpilots haben es uns zum Ziel gesetzt, Online-Schulungen bereitzustellen, die nicht ausschließlich dem Zweck der Aufklärung und Sensibilisierung von Mitarbeitern dienen.

Stattdessen konzipieren wir auf Basis von forschungsbasierten Lernmodellen E-Learnings, die mit einem interaktiven Ansatz die Vermittlung von relevanten Wissensinhalten, wie die Themen Datenschutz, Compliance oder IT-Sicherheit, für Mitarbeiter deutlich vereinfacht.

Datenschutzschulung für Mitarbeiter leicht gemacht

Datenschutz-Compliance muss nicht langweilig sein – setzen Sie sich mit uns in Verbindung, damit wir Ihnen erklären können, wie der Datenschutz in Ihrer Organisation mit Leben erfüllt werden kann.
Hier können Sie einen Blick in die Demo zur Schulung “Datenschutz für Mitarbeiter” werfen und sich selbst überzeugen.

Datenschutz für Mitarbeiter Banner
06. August 2020
EU-US Privacy Shield vom EU-Gericht für ungültig erklärt
21. Juli 2020
Whitepaper Korruptionsprävention: Leitfaden zum Umgang mit Einladungen und Geschenken

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 22 18 22 80
[email protected]

Andreas Grau
Relationship Manager & sein Team sind
Mo – Fr von 8:30 – 18:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.