DSGVOWarum die Mitarbeiter im Datenschutz geschult werden müssen

Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass Mitarbeiter regelmäßig zum Datenschutz am Arbeitsplatz geschult werden. Das gilt für alle Mitarbeiter, die personenbezogene Daten verarbeiten – und das trifft schon zu, wenn man eine E-Mail versendet. Es drohen weitere zivilrechtliche oder strafrechtliche Sanktionen, wenn es wegen fehlender Schulung zu schweren Datenschutzverstößen kommt.

Die DSGVO bestimmt, wie personenbezogene Daten erhoben und verarbeitet werden dürfen (Abs. 1, Art. 5 DSGVO). Der Verantwortliche für den Datenschutz muss für die Einhaltung der Regeln sorgen. Die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben ist ohne ein datenschutzkonformes Verhalten der Mitarbeiter nicht zu erreichen. Damit zählt das aktive und nachweisbare Bemühen der Geschäftsführung um das datenschutzkonforme Verhalten der Mitarbeiter unmittelbar zu den Nachweispflichten des Verantwortlichen (Abs. 2, Art. 5 DSGVO).

Wenn es zu einem Datenschutzverstoß kommen sollte und eine angemessene Schulung der Mitarbeiter nicht erfolgte oder nicht nachweisbar ist, besteht unmittelbar die Gefahr eines Bußgeldes. Nach Art. 83, Abs. 5 DSGVO drohen bei einem solchen Verstoß gegen die Grundsätze der Verarbeitung Geldbußen von bis zu 20 Mio. Euro beziehungsweise bis zu 4 Prozent des Jahresumsatzes.

Geschäftsführer können im Falle einer nicht nachweisbaren Mitarbeiterschulung bei einem Datenschutz-Bußgeld auch persönlich haftbar gemacht werden. Dieses Risiko wird oft unterschätzt. Hierzu zählen nicht nur das Risiko, für Bußgelder in Regress genommen zu werden, sondern auch die Gefahr, einen großen Teil der Kosten für Rechtsvertretung in einem eventuellen zivilrechtlichen oder strafrechtlichen Verfahren oder einem Bußgeldverfahren selber tragen zu müssen. Wenn Verstöße gegen das Datenschutzrecht dazu führen, dass das IT-System einer Firma als nicht mehr State-Of-The-Art oder Up-To-Date einzuschätzen ist, kann das im Extremfall sogar zu einem Wegfall des Versicherungsschutzes führen.

Im Interesse des Unternehmens und zur Vermeidung einer persönlichen Haftung ist es also dringend geboten, eine aktuelle, auf die neue Rechtslage angepasste Datenschutzschulung für alle Mitarbeiter durchzuführen und sie auch auf Ebene des einzelnen Teilnehmers zu dokumentieren.

Die Schulung von Mitarbeitern im Datenschutz dient nicht allein der Einhaltung der DSGVO-Vorgaben. Wenn Mitarbeiter im Datenschutz geschult sind, verbessert das auch die IT-Sicherheit.

Der Datenschutzbeauftragte allein kann kaum für datenschutzkonforme Prozesse sorgen. Ob aus Unwissen oder Bequemlichkeit: Wenn Mitarbeiter mit personenbezogenen Daten zu tun haben, können sich leicht Prozesse einstellen, die zu Datenschutzpannen führen. Der externe oder betriebliche Datenschutzbeauftragte wird zwar entgegensteuern, hat aber nicht die praktische Endverantwortung für alle Prozesse im Betrieb, die datenschutzrechtlich relevant sind. Der Datenschutzbeauftragte kennt die rechtlichen Vorgaben, weiß aber nicht, wie die Prozesse von den Mitarbeitern in der Praxis gestaltet werden.

In einer Mitarbeiterschulung sollten folgende Kernthemen vermittelt werden:

• Grundlagen zu personenbezogenen Daten und dem Schutzniveau
• die wichtigsten Neuerungen der DSGVO im direkten Vergleich zur vorherigen Gesetzgebung
• ein Bewusstsein für Arbeitssituationen, in denen Datenschutz relevant ist
• Sensibilisierung für Datenschutz im Berufsalltag
• Arbeitsvertragliche Pflichten, berufsrechtliche Pflichten, Strafvorschriften
• Datenschutzkonformes Verhalten auch außerhalb der Dienstzeiten
• Grundregeln zum Datenschutz am Arbeitsplatz und bei der IT-Nutzung

Auch der tägliche Umgang mit den IT-Systemen sollte datenschutzfreundlich gestaltet werden. Alle zuständigen Mitarbeiter sollten mit Fokus auf Datenschutz eingewiesen werden, aber auch die übrigen Mitarbeiter sollten explizit geschult werden. Schließlich muss für den Fall vorgesorgt sein, dass Mitarbeiter fehlen, zum Beispiel wegen Erkrankung, Urlaub oder Fortbildung.

Die Mitarbeiter sollten nicht nur einmalig geschult werden. Der Kenntnisstand der Mitarbeiter muss laufend an aktuelle gesetzliche Entwicklungen angepasst werden. Dabei sollte die Schulung die Auswirkungen im konkreten Arbeitsalltag der Mitarbeiter ansprechen. Nur die laufende Schulung der Mitarbeiter sichert den Wissensstand im Unternehmen und gibt dem Unternehmen den größtmöglichen Schutz vor Datenpannen.

Die Datenschutz-Sensibilisierung kann auch von externen Dienstleistern durch Präsenz- oder Onlineschulungen erreicht werden. Das erleichtert nicht nur die Umsetzung der DSGVO sondern auch die Dokumentation dieser Maßnahme für den Nachweis gegenüber den Behörden. Der Lerneffekt ist natürlich höher, wenn die Teilnehmer dabei ihre persönlichen Fragen beantwortet bekommen.