Die DS-GVO & die Mitarbeiterschulung

Die besten Maßnahmen zum Datenschutz greifen nicht, wenn die Mitarbeiter im Unternehmen nicht für den Umgang mit personenbezogenen Daten sensibilisiert sind.

DS-GVO Mitarbeiterschulung Datenschutz

Die Datenschutzgrundverordnung

Dass sich ab dem 25.5.2018 das deutsche Datenschutzrecht grundlegend ändert, ist mittlerweile in aller Munde. Denn ab diesem Tag gilt die Datenschutzgrundverordnung (DS-GVO) unmittelbar in allen EU-Mitgliedstaaten. Sie löst die bislang geltende Datenschutzrichtlinie ab, die in den einzelnen Staaten zum Teil unterschiedlich interpretiert und umgesetzt wurde. Mit der DS-GVO soll das Datenschutzrecht in der Union vereinheitlicht und reformiert werden. Das erfordert im Unternehmen jede Menge Anpassungen an die neue Rechtslage und die zum Teil mit ihr einhergehende geänderte Zuständigkeitsverteilung.

Bislang oblag etwa die Aufgabe der Mitarbeiterschulung in Deutschland originär dem bestellten Datenschutzbeauftragten (§ 4g Abs. 1 Nr. 2 BDSG). Mit der DS-GVO ist dieser nunmehr lediglich für eine arbeitsplatzbezogene Erstinformation zuständig und hat die ordnungsgemäße Durchführung einer ausreichenden Mitarbeiterschulung nur zu überwachen (Art 39 Abs. 1 lit. b) DS-GVO). Die betreffenden Mitarbeiter können sowohl betriebsintern von anderen Mitarbeitern als auch durch externe Dienstleister zum Datenschutz am Arbeitsplatz geschult werden. Es wird sich zumeist aber empfehlen dem Datenschutzbeauftragten die Schulungsfunktion zu übertragen. Zum einen, da die Grenze zwischen Erstinformation und Schulung nicht leicht zu finden sein wird, zum anderen, weil der Datenschutzbeauftragte mit dem entsprechenden Fachwissen und der beruflichen Qualifikation ausgestattet ist und aufgrund seiner Stellung zumeist bereits Kenntnis über die Unternehmensabläufe erlangt hat.

Die Mitarbeiterschulung

Ziel einer Mitarbeiterschulung ist es nicht, den Beteiligten detaillierte Kenntnisse des Datenschutzrechts zu vermitteln. Vielmehr geht darum, sie für den Umgang mit personenbezogenen Daten im Unternehmen zu sensibilisieren. Sie sollen erkennen können, wann ein Vorgang datenschutzrechtlich relevant und in welchen Fällen die Einbeziehung des Datenschutzbeauftragten zur weiteren Prüfung angeraten ist. Wird dem Datenschutzbeauftragten die Aufgabe der Mitarbeiterschulung übertragen, ist zu beachten, dass er sie nach Art. 38 Abs. 3 S. 1 DS-GVO weisungsfrei zu erbringen hat. Der Datenschutzbeauftragte hat dann die Mitarbeiter in die datenschutzrechtlichen und praktischen Aspekte ihrer Tätigkeit einzuweisen und fortzubilden. Das erfordert neben einem gewissen datenschutzrechtlichen Grundwissen vor allem, den Beschäftigen ein auf ihre spezifischen Funktionen bei der Datenverarbeitung zugeschnittenes Fachwissen zu vermitteln. Dementsprechend sollten Grundlagenschulungen und themenspezifische Schulungen im Angebot enthalten sein.

Umsetzung von Mitarbeiterschulungen

Werden die Mitarbeiter an einem oder mehreren Tagen im Unternehmen geschult, bedeutet dies nicht nur jede Menge Koordinierungsaufwand (Terminfindung, Bereitstellung nötiger Ressourcen wie Raum inkl. EDV- und Mobiliar-Ausstattung evtl. Verpflegung etc.), auch der tägliche Betriebsablauf wird im Regelfall nicht unerheblich gestört. Vieles spricht dafür, nicht die gesamte Belegschaft zu einer gemeinsamen face-to-face Unterrichtung zu versammeln. Nicht jeder ist gleichermaßen im Berufsalltag mit personenbezogenen Daten konfrontiert. Handelt es sich möglicherweise um besonders sensible Daten, wie Gesundheitsdaten, muss der Verarbeitung eine besondere Aufmerksamkeit gewidmet werden. Maßgeblich ist auch, inwieweit die Mitarbeiter bereits Vorkenntnisse besitzen, ob es sich um eine aktualisierende, kenntnisauffrischende, in regelmäßigen Zeitabständen stattfindende (z.B. jährliche) Schulung handelt oder ob die Schulung durch Gründe wie Stellenwechsel, Neueinstellung oder Änderungen im Unternehmensablauf veranlasst ist.

Vorteile einer Online-Datenschutzschulung

Schon aus organisatorischen sowie ökonomischen Gründen bietet sich daher häufig eine Online-Schulung an. Sie ist kostengünstiger, ermöglicht den Mitarbeitern eine individuelle Zeiteinteilung und stört den täglichen Betriebsablauf nicht. Darüber hinaus bedarf sie außer einem internetfähigen Computer oder Tablet bzw. Smartphone keiner besonderen Ressourcen.

Sinnvoll ist es auch, den individuellen Erfolg der Online-Schulung jeweils durch begleitende Multiple-Choice Tests zu überprüfen. Die Testergebnisse der einzelnen Mitarbeiter können sodann der Nachweispflicht gegenüber den Aufsichtsbehörden dienen und nebenbei aufkommender Langeweile vorbeugen. Auch weitere Maßnahmen wie Arbeitsanweisungen und Merkblätter zum Datenschutz können als praktische Hilfe die Online-Schulungen ergänzen.

Agenda einer Online-Schulung

Zur Etablierung eines angemessenen Datenschutzniveaus können Online-Schulungen die Basis bilden, wenn sie folgenden Themen abdecken:

  • Grundlegendes zum Datenschutzrecht, zur DS-GVO
  • Rechtmäßigkeit der Verarbeitung – Verbot mit Erlaubnisvorbehalt, Einwilligung des Betroffenen
  • Besondere Kategorien personenbezogener Daten
  • Hinweise zu technischen und organisatorischen Maßnahmen
  • datenschutzgerechter Einsatz mobiler Geräte
  • Betroffenenrechte: Auskunftsrechte und Informationspflichten
  • Löschfristen und -maßnahmen
  • Das neue Bundesdatenschutzgesetz
  • Aufgaben zur Einführung und Umsetzung
  • Verhalten bei Datenpannen

Fazit

Ein angemessenes Datenschutzniveau im Unternehmen lässt sich nur erreichen, wenn auch die Mitarbeiter ausreichend für den Umgang mit personenbezogenen Daten und den eingesetzten EDV-Systeme geschult sind. In regelmäßigen Abständen stattfindende Online-Schulungen tragen einen wichtigen Teil dazu bei. Diese wie weitere Maßnahmen zur Datenschutz Compliance müssen dokumentiert und gegebenenfalls nachgewiesen werden. Sollten Sie Fragen zu Online-Mitarbeiterschulungen haben oder Hilfestellung bei der Umsetzung benötigen, kontaktieren Sie uns. Wir beraten Sie gerne!