Die Tech­nik­ab­hän­gig­keit sowie deren kom­ple­xe In­for­ma­ti­ons­sys­te­me nehmen im Zeit­al­ter der Di­gi­ta­li­sie­rung per­ma­nent zu. Das Be­wusst­sein in Bezug auf die Ver­letz­lich­keit von Sys­te­men erhöht sich kon­ti­nu­ier­lich und gewinnt in Un­ter­neh­men an Präsenz. Die Zahl der Cy­ber­an­grif­fe durch Mit­ar­bei­ter („interne Täter“) wächst jähr­lich rasant und umfasst – je nach Studie – min­des­tens 60 % der Täter (IBM 2016, S. 12)*. Hinzu kommen Risiken durch Fehl­ver­hal­ten von Nutzern.

Auf­grund dieser Ent­wick­lun­gen ist eine kon­ti­nu­ier­li­che Sen­si­bi­li­sie­rung der Mit­ar­bei­ter un­er­läss­lich. Re­gel­mä­ßi­ge Schu­lun­gen im Daten­schutz sind ele­men­tar wichtig für das Un­ter­neh­men, um Mit­ar­bei­ter zu sen­si­bi­li­sie­ren, Awa­re­ness zu schaf­fen und um Fahr­läs­sig­keit und somit das Risiko einer Da­ten­schutz­ver­let­zung zu re­du­zie­ren.

Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter (Artt. 24, 32 DSGVO) haben darüber hinaus or­ga­ni­sa­to­ri­sche Maß­nah­men zur Ein­hal­tung der Vor­ga­ben der Da­ten­schutz­grund­ver­ord­nung (DSGVO) und zur Si­cher­stel­lung der Si­cher­heits­an­for­de­run­gen der DSGVO um­zu­set­zen und un­ter­lie­gen einer Nach­weis­pflicht. Es ist wichtig, dass eine Do­ku­men­ta­ti­on über die Durch­füh­rung der Schu­lung (Zeit, Inhalte, Teil­neh­mer) geführt wird. Die Do­ku­men­ta­ti­on der Teil­nah­me ein­zel­ner Mit­ar­bei­ter kann im An­schluss an eine Prä­senz­schu­lung in schrift­li­cher Form er­fol­gen. Die Re­gel­mä­ßig­keit der Schu­lung jedes ein­zel­nen Mit­ar­bei­ters ist zu dokumentieren.

Emp­feh­lens­wert ist die Durch­füh­rung einer rou­ti­ne­mä­ßi­gen Schu­lung im Turnus von zwölf Monaten. Eine Ri­si­ko­be­trach­tung hilft bei der Be­ur­tei­lung der Frage, welche pe­ri­odi­sche Häu­fig­keit im kon­kre­ten Fall an­ge­mes­sen ist. Diese Be­darfs­er­he­bung sollte auf einer Ri­si­ko­be­trach­tung ba­sie­ren. Es sollte dabei darauf ab­ge­stellt werden, welches Risiko mit Blick auf eine kon­kre­te Po­si­ti­on bzw. Auf­ga­ben­stel­lung für per­so­nen­be­zo­ge­ne Daten besteht. Ge­eig­net ist hier z. B. die PDCA-Methode. Danach ist in einem Zyklus mit den vier Phasen Plan, Do, Check und Act zu erheben, wer in welchem Bereich mit welcher In­ten­si­tät zu schulen ist. Eine in­di­vi­dua­li­sier­te Be­trach­tungs­wei­se ist wichtig. Ins­be­son­de­re können kon­kre­te Anlässe eine au­ßer­plan­mä­ßi­ge Schu­lung er­for­der­lich machen wie u. a. bei Ge­set­zes­än­de­run­gen oder Ver­än­de­run­gen im Da­ten­schutz­ma­nage­ment des Un­ter­neh­mens. Aber auch ein Wechsel des Auf­ga­ben­be­rei­ches, die Tä­tig­keit mit einer be­son­de­ren Zu­griffs­mög­lich­keit,  oder die Tä­tig­keit in einem be­son­ders sen­si­blen Ge­schäfts­feld, wie dem Gesundheitsmanagement.

Es gehört zu den Auf­ga­ben des Da­ten­schutz­be­auf­trag­ten (DSB), neben vielen anderen Auf­ga­ben, Be­schäf­tig­te (auch Aus­zu­bil­den­de, Teil­zeit­kräf­te, Werk­stu­den­ten, etc.) im Daten­schutz zu sen­si­bi­li­sie­ren und Mit­ar­bei­ter im Umgang mit per­so­nen­be­zo­ge­nen Daten auch im Hin­blick auf ihre kon­kre­ten Auf­ga­ben und ab­ge­stimmt auf ihre Ver­ar­bei­tungs­vor­gän­ge zu schulen (Art. 38 Abs. 1 lit. b DSGVO).

Drei Ziele stehen im Vor­der­grund:
• Be­wusst­sein für Daten­schutz und den An­for­de­run­gen zu schaffen
• Mit­ar­bei­ter zu da­ten­schutz­kon­for­men Ver­hal­ten be­fä­hi­gen und zu sensibilisieren
• Da­ten­schutz­kon­for­mes Ver­hal­ten fördern

Eine „one size fits all“-Schulung ist daher nicht ziel­füh­rend und lang­weilt mehr als sie nützt. Die Her­aus­for­de­run­gen in der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Per­so­nal­be­reich sind andere als z. B. im Ver­trieb oder Projektmanagement.

Letzt­end­lich können nur auf­merk­sa­me und ge­schul­te Mit­ar­bei­ter ef­fek­tiv auf die Ein­hal­tung der Da­ten­schutz­vor­ga­ben und den Da­ten­schutz­pro­zes­sen hin­wir­ken.

(Autorin: Regina Mühlich: Als Ex­per­tin für Daten­schutz, Da­ten­­­schutz-Au­­di­­to­rin sowie Com­pli­ance Officer berät und un­ter­stützt sie Un­ter­neh­men im Bereich Daten­schutz, Com­pli­ance und Qualitäts­management in Deutsch­land, Ös­ter­reich sowie der Schweiz. Sie ist Lehr­be­auf­trag­te an der Hoch­schu­le Furt­wan­gen und Vor­stands­mit­glied des Be­rufs­ver­ban­des für Datenschutz­beauftragte Deutsch­land (BvD) e. V.)

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
Wir un­ter­stüt­zen mit Vor­trä­gen und Schu­lun­gen bei der Sensibilisierung.

* Der Mensch als Ri­si­ko­fak­tor bei Wirt­schafts­kri­mi­na­li­tät, Sonja Stir­ni­mann, S. 111

21. Mai 2019

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!