Datenschutzschulung und -sensibilisierung von Mitarbeitenden und Ehrenamtlichen

Die Sensibilisierung von Mitarbeitenden und Ehrenamtlichen gehört zu den wichtigsten organisatorischen Maßnahmen, die Datenschutzbeauftragte und Verantwortliche zur Vermeidung von Datenschutzverletzungen einsetzen können. Die Erfahrungen zeigen, dass die meisten Datenschutzverletzungen durch Unwissenheit oder mangelnde Sensibilität der Mitarbeitenden erfolgen. Gleichzeitig besteht hier großer Nachholbedarf.

Worum geht es?

Es steht zwar in keinem Datenschutzgesetz direkt geschrieben, dass die Sensibilisierungs- und geeignete Schulungsmaßnahmen verpflichtend für die Mitarbeitenden durchzuführen sind (vgl. Arbeitssicherheit). Allerdings ergibt sich aus den in der DSGVO geregelten Aufgaben von Datenschutzbeauftragten (Art. 39) und der Pflicht von Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24), dennoch eine Verpflichtung, die Belegschaft zu schulen und zu sensibilisieren.

Ob mit oder ohne gesetzliche Verpflichtung. Sie sollten für alle Mitarbeitenden und Ehrenamtlichen, die mit personenbezogenen Daten agieren und in Kontakt kommen, die Sensibilisierungs- und Schulungsmaßnahmen zur „Pflichtveranstaltung“ erklären. Bedenken Sie: „Eine Kette ist immer nur so stark wie ihr schwächtes Glied!“

Dabei gilt: Es geht nicht darum, nur den gesetzlichen Anforderungen Genüge zu tun. Es geht darum, die Mitarbeitenden für das Thema zu sensibilisieren um Schäden – z. B. durch eine unrechtmäßige Datenverarbeitung – von Betroffenen und somit auch von Ihrer Organisation fernzuhalten.

1. Machen Sie die Schulung nachweisbar

Aus Art. 5 Abs. 2 DSGVO ergibt sich für Verantwortliche eine Rechenschaftspflicht. Das heißt, sie müssen nachweisen können, dass sie die Vorgaben des Datenschutzgesetzes einhalten. Dazu zählen auch Schulungs- und Sensibilisierungsmaßnahmen.

Den Nachweis können Sie auf unterschiedliche Weise erbringen. Beim E-Learning z. B. ist technisch leicht nachvollziehbar, welche Mitarbeitenden wann die Schulung durchgeführt haben. Bei Präsenzschulungen können Sie unterschriebene Anwesenheitslisten führen.

2. Geben Sie praktische Hinweise

Datenschutz kann ein abstraktes Thema sein – muss es aber nicht. Beziehen Sie daher die gesetzlichen Vorgaben auf Ihre individuelle Situation und geben Sie praktische Tipps für den Arbeitsalltag. Wie sollen sich Ihre Mitarbeitenden am Arbeitsplatz verhalten? Wie können sie Datenschutzverletzungen erkennen und damit umgehen? Und wo finden sie Informationen dazu? In diesem Schritt können Sie direkt auf Ihr Datenschutzmanagement und Ihre organisationsspezifischen Prozesse eingehen. An wen soll sich Ehrenamtliche bei Datenschutzpannen oder Betroffenenanfragen beispielsweise wenden?

3. Führen Sie Sensibilisierungen regelmäßig durch

Eine Schulung beim Arbeitsantritt und fertig – das reicht in der Regel nicht aus. Inhalte und Anforderungen sind schnell wieder vergessen. Deshalb sollten Sie Ihre Mitarbeitenden und Ehrenamtlichen regelmäßig sensibilisieren und die Inhalte auffrischen. Wir empfehlen einen jährlichen bzw. maximal zweijährlichen Turnus.

4. Setzen Sie zusätzliche Materialien zur Auffrischung ein

Damit der Datenschutz zwischen geplanten Schulungen nicht untergeht, können Sie zudem weitere Sensibilisierungsmaterialien einsetzen. Dabei können Sie ruhig kreativ sein – dann bleibt es in der Regel auch besser hängen. Von regelmäßigen themenbezogenen Mails, zu Selbsttests oder Postern: Die Möglichkeiten sind vielfältig und sollten auf die jeweilige Organisation angepasst werden.