Datenschutzschulung (für Beschäftigte)

Für Mitarbeitende, die personenbezogene Daten verarbeiten, sollten regelmäßig Datenschutzschulungen durchgeführt werden.

Es gibt laut Datenschutzgrundverordnung (DSGVO) keine offizielle Verpflichtung, Mitarbeitende zu schulen. Dennoch ergibt sich aus den Verordnungen für Unternehmen eine „indirekte Verpflichtung“ damit die Mitarbeitenden für Ihre Tätigkeiten ausreichend qualifiziert sind. Diese müssen wissen, worauf bei einem Umgang mit personenbezogenen Daten zu achten ist, welche Maßnahmen und Meldewege bei einer Datenpanne einzuhalten sind (72 Stundenfrist) und wie die Rechte der Betroffenen umgesetzt werden können.

Der Verantwortliche, also das Unternehmen bzw. dessen Vertretung, ist in der Nachweispflicht. In Artikel 24 (1) DSGVO heißt es: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorischeMaßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Die Schulungen gehören somit sicherlich zu den organisatorischen Maßnahmen und sind im Übrigen durch den Verantwortlichen umzusetzen. Ohne entsprechende Kenntnisse ist man nicht in der Lage zu beurteilen, ob eine Datenpanne vorliegt. Ebenso ist es schwer zu bewerten, ob ein hohes Risiko oder eine Verletzung der Freiheiten und Rechte von natürlichen Personen vorliegt.

Dabei entstehen häufig einige Fragen:

Ist die Schulung eine Aufgabe des/der Datenschutzbeauftragten?

Nein, diese ist nicht für die Datenschutzschulungen verantwortlich. In Artikel 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten beschrieben. Eine Schulung ist hier nicht aufgeführt.
Auch einige Aufsichtsbehörden sind der Meinung, dass der/die Datenschutzbeauftragte die Schulungen nur durchführen kann, wenn er/sie ausreichende Zeitkontingente für seine/ihre eigentlichen Aufgaben hat und noch Zeit für ebendiese Schulungen bleibt.
 

Was genau ist meine Aufgabe als Datenschutzbeauftragte/r diesbezüglich?

Die Aufgabe des/der Datenschutzbeauftragten ist sehr wohl die „Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;“ so Artikel 39 (1) lit. a) der DSGVO.

Hieraus kann auch eine Schulung, dann jedoch speziell auf die Abteilungen bzw. Verarbeitungen, und daher eher vielleicht eine konkrete Beratung, abgeleitet werden.
 

Was sollte denn Inhalt einer allgemeinen Datenschutzschulung sein?

Mit Einführung des Datenschutzmanagements empfiehlt sich eine allgemeine Präsenzschulung zum Datenschutz mit Frage- und Antwortmöglichkeiten. Hieraus ergibt sich, dass die Mitarbeitenden, die sich zum ersten Mal mit dem Thema beschäftigen, eingehender informiert werden, als wenn sie die Schulung rein online oder in ähnlicher Weise selbst durchlaufen müssen. Ein Frage- und Antwortdialog mit einem Datenschutzbeauftragten und das Einbringen einiger Beispiele, in denen man sich auch in seinem privaten Umfeld wiederfindet, ist hier sehr sinnvoll.

Folgende Themenbereiche sollten in der Schulung behandelt werden:

• Warum Datenschutz?
• Sanktionen bei Verstößen; Beispiele Verstöße und Strafen
• Rechtsgrundlagen, welche Verarbeitungen sind wann und warum erlaubt?
• Zu welchen Zwecken dürfen Daten erhoben werden (Zweckbindung)?
• Welchem Schutz unterliegen die erhobenen und gespeicherten Daten?
• Was sind technische und organisatorische Maßnahmen (TOM)?
• Was ist damit gemeint, wenn diese „verhältnismäßig“ und „Stand der Technik“ sein sollen?
• Bußgelder und Schadenersatz
• Was ist das Verzeichnis der Verarbeitungstätigkeiten (VVT) und warum muss es geführt werden?
• Was sind Auftragsverarbeiter (AVV) und JointController (JC26) und wann müssen entsprechende Verträge geschlossen werden?
• Welche Aufgabe hat der DSB?
• Wo und wie kann er unterstützen?
• Wie kann er angesprochen und erreicht werden.
• Meldepflichten bei einer Datenpanne
• Informationspflichten vor/während der Verarbeitung
• Was ist der Unterschied zwischen Information und Einwilligung?
• Umgang mit Auskunftsersuchen.
• Sensibilisierung durch Praxisbeispiele

Wer sollte alles im Unternehmen geschult werden?

Geschult werden sollten Mitarbeitende im Verwaltungsbereich sowie Abteilungsleiter/innen in Produktionsbereichen, die Daten direkt erheben, eingeben oder verarbeiten. Das kann insbesondere in der Arbeitsvorbereitung der Fall sein wenn es um Qualifikationen, Krankmeldungen oder Einstellungen geht. Ebenso sollten Mitarbeitende geschult werden, die über ein E-Mail-Postfach verfügen.

Die Schulungen sind nicht zwingend notwendig für Mitarbeitende im Produktionsbereich, die lediglich gelegentlich Versandpapiere ausdrucken oder Versandaufkleber anbringen bzw. Kundendaten auf ihren Auftragspapieren sehen und deren Haupttätigkeit die Versandabwicklung ist. An diesen Stellen findet in den meisten Fällen keine direkte Datenverarbeitung personenbezogener Daten statt.

Wer sollte die Schulungen koordinieren?

Verantwortlich für die Schulungen ist die Geschäftsführung. Diese sollte einen Prozess definieren, welcher idealerweise bei der Personalabteilung verantwortet wird. Denn diese weiß in der Regel als erste wenn neue Mitarbeitende eingestellt werden oder die Abteilung wechseln.

In dem Prozess sollte der Ablauf beschrieben werden, in welchen Intervallen die Schulungen durchgeführt und wie die Dokumentation bzw. der Nachweis zu erfolgen hat.

Empfehlung wäre, die Schulungen spätestens alle zwei Jahre wiederkehrend durchzuführen. Dieses kann dann ebenfalls über Präsenzschulungen erfolgen, die z.B. der Datenschutzbeauftragte des Unternehmens durchführen könnte. Alternativ können Sie eine Schulung auch bei uns beauftragen.

Bei einer Präsenzschulung würde der Nachweis dann über eine Teilnehmerliste erfolgen. Diese ist zu Dokumentationszwecken und als Nachweis (je nach Struktur im Unternehmen; z.B. in der Personalabteilung oder in der QS-Abteilung) abzulegen, je nachdem wo idealerweise Schulungsmaßnahmen fortlaufend dokumentiert werden. Hieraus ergibt sich automatisch, wann die Mitarbeitenden nach zwei Jahren erinnert werden sollten, um die Schulung zu wiederholen. Auch die wiederkehrenden Schulungen sind dann entsprechend zu dokumentieren und darüber nachzuweisen.

Alternativ zur Präsenzschulung kann auch eine Onlineschulung besucht werden.

U.a. bieten auch wir derartige Onlineschulungen an. Der Ablauf in dem Fall wäre, dass der Mitarbeitende an die Notwendigkeit zur Schulung über die dokumentierende Stelle, also QS oder Personalabteilung, informiert werden würde, dass eine Wiederholung ansteht.

Zeitlich wären die Mitarbeitenden bei einer Onlineschulung flexibel. Sie könnten ihre Teilnahme frei einteilen. Es ist ein PC oder Laptop mit Internetanschluss notwendig. Am Ende sollte die Möglichkeit bestehen, die Teilnahme über eine entsprechende Teilnahmebescheinigung, die unterschrieben in der QS oder der Personalabteilung abgegeben wird, zu dokumentieren. Die Bescheinigung wird als Nachweis abgeheftet und die Teilnahme in die Liste eingetragen.

Aus der Nachweispflicht des Verantwortlichen ergibt sich automatisch, dass die Schulungsmaßnahmen entsprechend dokumentiert werden müssen, sobald Schulungen durchgeführt wurden. Nur so ist es möglich, der entsprechenden Nachweispflicht nachzukommen.

Haben Sie weitere Fragen oder gar Themenwünsche, die wir in unserer Reihe „Coaching für Datenschutzbeauftragte“ aufnehmen sollten?

Melden Sie sich gerne oder besuchen Sie auch unsere regelmäßige offene Datenschutzsprechstunde.

Vielleicht sehen wir uns auch bei einem 1:1 Datenschutzcoaching?