Datenschutzschulung und -sensibilisierung von Mitarbeitenden und Ehrenamtlichen
Die Sensibilisierung von Mitarbeitenden und Ehrenamtlichen gehört zu den wichtigsten organisatorischen Maßnahmen, die Datenschutzbeauftragte und Verantwortliche zur Vermeidung von Datenschutzverletzungen einsetzen können. Die Erfahrungen zeigen, dass die meisten Datenschutzverletzungen durch Unwissenheit oder mangelnde Sensibilität der Mitarbeitenden erfolgen. Gleichzeitig besteht hier großer Nachholbedarf.
Worum geht es?
Es steht zwar in keinem Datenschutzgesetz direkt geschrieben, dass die Sensibilisierungs- und geeignete Schulungsmaßnahmen verpflichtend für die Mitarbeitenden durchzuführen sind (vgl. Arbeitssicherheit). Allerdings ergibt sich aus den in der DSGVO geregelten Aufgaben von Datenschutzbeauftragten (Art. 39) und der Pflicht von Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24), dennoch eine Verpflichtung, die Belegschaft zu schulen und zu sensibilisieren.
Ob mit oder ohne gesetzliche Verpflichtung. Sie sollten für alle Mitarbeitenden und Ehrenamtlichen, die mit personenbezogenen Daten agieren und in Kontakt kommen, die Sensibilisierungs- und Schulungsmaßnahmen zur „Pflichtveranstaltung“ erklären. Bedenken Sie: „Eine Kette ist immer nur so stark wie ihr schwächtes Glied!“
Dabei gilt: Es geht nicht darum, nur den gesetzlichen Anforderungen Genüge zu tun. Es geht darum, die Mitarbeitenden für das Thema zu sensibilisieren um Schäden – z. B. durch eine unrechtmäßige Datenverarbeitung – von Betroffenen und somit auch von Ihrer Organisation fernzuhalten.
1. Machen Sie die Schulung nachweisbar
Aus Art. 5 Abs. 2 DSGVO ergibt sich für Verantwortliche eine Rechenschaftspflicht. Das heißt, sie müssen nachweisen können, dass sie die Vorgaben des Datenschutzgesetzes einhalten. Dazu zählen auch Schulungs- und Sensibilisierungsmaßnahmen.
Den Nachweis können Sie auf unterschiedliche Weise erbringen. Beim E-Learning z. B. ist technisch leicht nachvollziehbar, welche Mitarbeitenden wann die Schulung durchgeführt haben. Bei Präsenzschulungen können Sie unterschriebene Anwesenheitslisten führen.
2. Geben Sie praktische Hinweise
Datenschutz kann ein abstraktes Thema sein – muss es aber nicht. Beziehen Sie daher die gesetzlichen Vorgaben auf Ihre individuelle Situation und geben Sie praktische Tipps für den Arbeitsalltag. Wie sollen sich Ihre Mitarbeitenden am Arbeitsplatz verhalten? Wie können sie Datenschutzverletzungen erkennen und damit umgehen? Und wo finden sie Informationen dazu? In diesem Schritt können Sie direkt auf Ihr Datenschutzmanagement und Ihre organisationsspezifischen Prozesse eingehen. An wen soll sich Ehrenamtliche bei Datenschutzpannen oder Betroffenenanfragen beispielsweise wenden?
3. Führen Sie Sensibilisierungen regelmäßig durch
Eine Schulung beim Arbeitsantritt und fertig – das reicht in der Regel nicht aus. Inhalte und Anforderungen sind schnell wieder vergessen. Deshalb sollten Sie Ihre Mitarbeitenden und Ehrenamtlichen regelmäßig sensibilisieren und die Inhalte auffrischen. Wir empfehlen einen jährlichen bzw. maximal zweijährlichen Turnus.
4. Setzen Sie zusätzliche Materialien zur Auffrischung ein
Damit der Datenschutz zwischen geplanten Schulungen nicht untergeht, können Sie zudem weitere Sensibilisierungsmaterialien einsetzen. Dabei können Sie ruhig kreativ sein – dann bleibt es in der Regel auch besser hängen. Von regelmäßigen themenbezogenen Mails, zu Selbsttests oder Postern: Die Möglichkeiten sind vielfältig und sollten auf die jeweilige Organisation angepasst werden.

5. Besondere Abteilungen erfordern besondere Inhalte
Die Datenschutz-Anforderungen können sich je nach Abteilung deutlich unterscheiden. Ihre Personalabteilung beispielsweise verarbeitet täglich eine Vielzahl personenbezogener Daten, teils sensibler Natur. Auf diese Unterschiede sollten Sie bei Ihren Sensibilisierungsmaßnahmen eingehen und die Inhalte den Anforderungen der jeweiligen Zielgruppe anpassen. Gleichzeitig sollten Sie Schulungen nicht unnötig aufblähen, sondern kompakt halten und Themen, die für den Arbeitsalltag keine Rolle spielen, auslassen. Daher bietet es sich in vielen Fällen an, gesonderte Sensibilisierungs- und Schulungsmaßnahmen für die einzelnen Abteilungen oder Ehrenamtlichen anzubieten.
6. Leben Sie den Datenschutz
Datenschutz kann nur funktionieren, wenn er aktiv gelebt wird. Gehen Sie hier mit gutem Beispiel voran. Wenn Datenschutzbeauftragte und Verantwortliche den Datenschutz vorleben, wird den Mitarbeitenden die Dringlichkeit des Themas bewusst und sie merken, dass der Datenschutz nicht optional ist.
Fazit
Durch regelmäßige und umfassende Sensibilisierungsmaßnahmen können Sie das Risiko von Datenschutzverletzungen, Datenverlust und IT-Sicherheits-Vorfällen erheblich reduzieren. Zudem kann ein Nachweis über die Sensibilisierung die Sanktionen von Aufsichtsbehörden bei Datenschutzvorfällen abmildern. Können Sie die Sensibilisierung Ihrer Mitarbeitenden hingegen nicht nachweisen, droht Ihnen im Umkehrschluss in der Regel ein höheres Bußgeld. Die Sensibilisierung der Belegschaft ist also nicht nur Pflicht, sondern bietet ganz praktische Vorteile.
Quelle: Impulsbeitrag von Claus Wissing im DSP Live-Chat vom 13. März 2023
Der DSP Live-Chat ist ein Angebot der Führungs-Akademie im Rahmen des Datenschutzportal-Abonnements. Hier können Mitglieder der Datenschutzcommunity Fragen an unseren Datenschutzexperten stellen, die live im Chat beantwortet werden.