Neben den technischen und organisatorischen Schwachstellen im Datenschutz gibt es selbstverständlich auch die menschlichen. Da nichts normaler ist, als menschliche Fehlbarkeit, muss die Unternehmensführung dem durch Schulung von Mitarbeitern und insbesondere Betriebsräten entgegenwirken. Unser Ratgeber erklärt, worauf Sie laut Datenschutz-Grundverordnung (DSGVO) bei Datenschutz- und Informationssicherheitsschulungen im Unternehmen achten sollten.
Wer ist für Schulungen von Beschäftigten verantwortlich?
Entgegen der allgemeinen Auffassung ist der betriebliche Datenschutzbeauftragte nicht verantwortlich für die Durchführung von Schulungen. Es zählt nichtsdestotrotz gemäß Art. 39 Abs. 1 lit. b DSGVO zu seinen Aufgaben, die Strategien des Verantwortlichen bezüglich der Schulung von Mitarbeitern zu überwachen. Verantwortlich für die Datenverarbeitung ist deshalb in der Regel die Gesellschaft und damit deren Geschäftsführung.
Die betriebliche Praxis zeigt jedoch, dass die Durchführung von Mitarbeiterschulungen in der Regel an den Datenschutzbeauftragten delegiert wird. Dieses Vorgehen deckt sich mit der Pflicht des Datenschutzbeauftragten aus Art. 39 Abs. 1 lit. a DSGVO, die ihm die Unterrichtung und Beratung von Beschäftigten auferlegt.
Der Verantwortliche hat die nötigen Ressourcen zur Verfügung zu stellen, damit Mitarbeiter in ihrer Arbeitszeit geschult werden können und der Datenschutzbeauftragte (oder sonstige mit der Schulung beauftragte Stellen) die Mitarbeiter zum Datenschutz sensibilisieren kann.
Welche Mitarbeiter sollen geschult werden?
Alle Mitarbeiter, die an Verarbeitungen von personenbezogenen Daten beteiligt sind, müssen geschult werden. Zunächst sollte sich der Verantwortliche also die Frage stellen, was überhaupt „verarbeiten“ im Sinne der Datenschutz-Grundverordnung ist. Der Gesetzgeber gibt in Art. 4 Nr. 2 DSGVO folgende Beispiele, die so ziemlich jede Handhabung von personenbezogenen Daten einschließt: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Doch diese Vorgabe schließt nicht jede Art von Daten ein. Nur personenbezogene Daten lösen die Schulungspflicht aus. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele für solche Informationen sind Namen, Kennnummern, IP-Adressen, Standort- und Körperdaten sowie sonstige identifizierende Merkmale.
Das bedeutet in der Praxis, dass ein Fantasie-Benutzername in einem Internetportal selbst noch kein personenbezogenes Datum ist, aber sich durch die verknüpfte IP-Adresse ein Personenbezug herstellen lässt. Im Ergebnis handelt es sich also auch dabei um personenbezogene Daten.
Einen Programmierer, der nur Software erstellt, wird keine Schulungspflicht treffen, weil er zwar Daten verarbeitet, diese aber nicht personenbezogen sind. Es ist aber allgemein bekannt, dass Bürojobs heutzutage diversifiziert sind und auch Programmierer durchaus in Kontakt mit Kunden kommen. Sobald der Programmierer dafür Zugriff auf ein Kontaktadressbuch hat oder Gesprächsnotizen in ein Dateisystem einpflegt, werden personenbezogene Daten verarbeitet und der Mitarbeiter muss geschult werden.
Andererseits müssen z. B. Reinigungskräfte und Mitarbeiter an Produktionslinien nicht unbedingt geschult werden, wenn sie nicht Leiter eines Teams sind und keinen Kundenkontakt haben. Nichtsdestotrotz solle man diese Mitarbeiter z. B. über den Zutrittsschutz belehren.
Wie sollten Mitarbeiter geschult werden?
Die Inhalte einer Schulung sollten auf das Zielpublikum zugeschnitten und nah am täglichen Berufsalltag sein. In einem Freizeitpark ist die Verarbeitung von Besucherdaten an der Anmeldung wesentlich wichtiger für die Belegschaft, als der Umgang mit Gesundheitsdaten, die von der DSGVO besonders schützenswert behandelt werden. Gesundheitsdaten hätten dagegen hohe Brisanz bei medizinischen Fachangestellten, die in einer Arztpraxis arbeiten.
Schließlich ist der Umgang mit Beschäftigtendaten und insbesondere Daten von Kollegen ein Thema, das in jeder Organisation angesprochen werden sollte. Dauerbrenner sind dabei häufig der Einsatz von WhatsApp zu betrieblichen Zwecken und Gruppenchats in Abteilungen.
Die Gliederung einer Schulung kann wie folgt aussehen, um die relevanten Inhalte zu vermitteln:
- Einführung in den Datenschutz: Warum ist Datenschutz wichtig, wen schützt der Datenschutz, Stellung und Kontaktdaten des Datenschutzbeauftragten
- Anwendungsbereich des Datenschutzes im Unternehmen: Was ist ein personenbezogenes Datum, was sind besondere personenbezogene Daten, Haftung bei Verstößen durch Mitarbeiter, Bedeutung der Verpflichtungserklärung
- Kundendatenschutz: Handlungshinweise bei Datenschutzpannen, Beantwortung von Betroffenenanfragen, Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und Erfüllung der Informationspflichten
- Datenschutz in der Praxis: Unternehmensinterne Richtlinien zum Datenschutz, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, IT-Angriffsszenarien
Sollte Ihr Unternehmen Auftragsverarbeiter für andere Verantwortliche sein, sollte die Schulung ein Kapitel enthalten, das den Mitarbeitern nahelegt, was eine Auftragsverarbeitung ist und die Weisungsgebundenheit erklärt (Auftragskontrolle).
Online-Schulungen zum Datenschutz bzw. zur Informationssicherheit sind effizient und schaffen einen guten Beitrag zur Sensibilisierung von Mitarbeitern. Es sollte darauf geachtet werden, dass die oben genannten Punkte gebührend vermittelt werden. Demnach kann es hilfreich sein, den Mitarbeitern zusätzliche relevante Informationen z. B. auf einem Informationsblatt nachzureichen.
Nachweispflicht und Turnus der Schulung
Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die sogenannte Rechenschaftspflicht. Diese verpflichtet den Arbeitgeber unter anderem dazu, die Teilnahme an der Schulung zu dokumentieren. Dabei sollte beachtet werden, dass auch Schulungsteilnahmeaufzeichnungen bestimmten Löschfristen unterliegen und nach Austritt eines Mitarbeiters vernichtet werden müssen. Deshalb bietet es sich an, die Listen in einer Excel-Tabelle zu führen, wo Mitarbeiternamen leicht entfernt werden können. Zudem ist es sinnvoll, auch den jeweiligen Schulungsinhalt für spätere Nachweise zu dokumentieren.
Auch der Nachweis einer regelmäßigen Durchführung muss vom Verantwortlichen erbracht werden können. Gesetzlich ist dazu keine Frist angegeben. Es bietet sich also an, den Turnus dem betrieblichen Hintergrund anzupassen. Wenn es sich um ein datengetriebenes Unternehmen handelt, in dem z. B. die Offenlegung von sensiblen Daten großen Schaden für Betroffene anrichten kann, ist ein drei- bis sechsmonatiger Turnus angeraten. Als Beispiele seien hier Gesundheits-App- oder Datingplattform-Anbieter genannt. Sofern das Unternehmen z. B. in der Baubranche tätig ist und nur wenige Ansprechpartnerdaten in unverfänglichen Kontexten anfallen, ist ein Schulungsturnus von ein bis eineinhalb Jahren durchaus angemessen.
Schulung von Betriebsräten
Der Betriebsrat hat im Unternehmen eine besondere Stellung. Als Gegenspieler des Arbeitgebers ist er weitestgehend autonom in seinen Handlungen. Der Arbeitgeber hat in der Regel keine Einsicht, wie der Betriebsrat personenbezogene Daten verarbeitet. Nach seiner Rechtsprechung ging das Bundesarbeitsgericht davon aus, dass der Betriebsrat kein Verantwortlicher ist, aber mit dem Arbeitgeber zusammen für die Einhaltung des Datenschutzes zuständig ist.
Aufgrund der zumindest gemeinsamen Zuständigkeit für den Datenschutz ist momentan anzunehmen, dass der Betriebsrat datenschutzrechtliche Anforderungen eigenständig erfüllen muss. Somit reicht eine allgemeine Schulung für Betriebsräte wie oben beschrieben nicht aus. Es ist empfohlen einen „Datenschutzexperten“ im Betriebsrat zu benennen und diesem ein tiefergehendes Schulungsangebot zugänglich zu machen.
Die erhöhten Anforderungen an das datenschutzrechtliche Betriebsratswissen rühren daher, dass für den Verantwortungsbereich außerhalb der Einsicht des Arbeitgebers (z. B. für Kommunikation und Veranstaltung von Versammlungen sowie Entgegennahme von Anregungen Beschäftigter) Maßnahmen im Datenschutz durch den Betriebsrat selbst getroffen werden sollten.
Deswegen ist zu empfehlen, alle Betriebsräte an den oben beschriebenen Mitarbeiterschulungen teilnehmen zu lassen sowie zumindest einem Betriebsrat eine Weiterbildung bezüglich folgender Fragestellungen zu ermöglichen:
- Sicherstellung eigener Rechtsgrundlage gem. Art. 6 DSGVO
- Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO gegenüber den Betroffenen;
- Beantwortung von Betroffenenanfragen / Sicherstellung von Betroffenenrechten gem. Art. 15 ff. DSGVO
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten über die Verarbeitungen als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO
- Wahrung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO
- Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpanne) gem. Art. 33 und 34 DSGVO
- Durchführung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
- Durchführung von vorherigen Konsultationen gem. Art. 36 DSGVO
Fazit: Systematische Schulungen helfen allen
Die systematische Schulung von Mitarbeitern zum sicheren Umgang mit Daten ist einer der wichtigsten Bestandteile des unternehmerischen Datenschutzes. Viele Datenpannen oder Verstöße gegen die DSGVO passieren aufgrund von Unkenntnis und fehlender Achtsamkeit. Mit Schulungen lassen sie beide Ursachen wirksam reduzieren; Wissen und Sensibilisierung rund um Datenschutz und Informationssicherheit werden verbessert.
Für die Datenschutzschulung von Mitarbeitern haben sich insbesondere Onlineschulungssysteme als praktikabel erwiesen, da sie individuelle Trainingsinhalte und -zeiten ermöglichen und zugleich die Dokumentation sicherstellen. Interaktive Elemente sowie zu erwerbende Zertifikate können zudem die Motivation der Mitarbeiter erhöhen.
Um einen oder mehrere Betriebsräte angemessen auf die datenschutzrechtlichen Aufgaben vorzubereiten, empfehlen sich ausführlichere Schulungen, wie sie zum Beispiel Industrie- und Handelskammern anbieten.