Die Technikabhängigkeit sowie deren komplexe Informationssysteme nehmen im Zeitalter der Digitalisierung permanent zu. Das Bewusstsein in Bezug auf die Verletzlichkeit von Systemen erhöht sich kontinuierlich und gewinnt in Unternehmen an Präsenz. Die Zahl der Cyberangriffe durch Mitarbeiter („interne Täter“) wächst jährlich rasant und umfasst – je nach Studie – mindestens 60 % der Täter (IBM 2016, S. 12)*. Hinzu kommen Risiken durch Fehlverhalten von Nutzern.
Aufgrund dieser Entwicklungen ist eine kontinuierliche Sensibilisierung der Mitarbeiter unerlässlich. Regelmäßige Schulungen im Datenschutz sind elementar wichtig für das Unternehmen, um Mitarbeiter zu sensibilisieren, Awareness zu schaffen und um Fahrlässigkeit und somit das Risiko einer Datenschutzverletzung zu reduzieren.
Der Verantwortliche und der Auftragsverarbeiter (Artt. 24, 32 DSGVO) haben darüber hinaus organisatorische Maßnahmen zur Einhaltung der Vorgaben der Datenschutzgrundverordnung (DSGVO) und zur Sicherstellung der Sicherheitsanforderungen der DSGVO umzusetzen und unterliegen einer Nachweispflicht. Es ist wichtig, dass eine Dokumentation über die Durchführung der Schulung (Zeit, Inhalte, Teilnehmer) geführt wird. Die Dokumentation der Teilnahme einzelner Mitarbeiter kann im Anschluss an eine Präsenzschulung in schriftlicher Form erfolgen. Die Regelmäßigkeit der Schulung jedes einzelnen Mitarbeiters ist zu dokumentieren.
Empfehlenswert ist die Durchführung einer routinemäßigen Schulung im Turnus von zwölf Monaten. Eine Risikobetrachtung hilft bei der Beurteilung der Frage, welche periodische Häufigkeit im konkreten Fall angemessen ist. Diese Bedarfserhebung sollte auf einer Risikobetrachtung basieren. Es sollte dabei darauf abgestellt werden, welches Risiko mit Blick auf eine konkrete Position bzw. Aufgabenstellung für personenbezogene Daten besteht. Geeignet ist hier z. B. die PDCA-Methode. Danach ist in einem Zyklus mit den vier Phasen Plan, Do, Check und Act zu erheben, wer in welchem Bereich mit welcher Intensität zu schulen ist. Eine individualisierte Betrachtungsweise ist wichtig. Insbesondere können konkrete Anlässe eine außerplanmäßige Schulung erforderlich machen wie u. a. bei Gesetzesänderungen oder Veränderungen im Datenschutzmanagement des Unternehmens. Aber auch ein Wechsel des Aufgabenbereiches, die Tätigkeit mit einer besonderen Zugriffsmöglichkeit, oder die Tätigkeit in einem besonders sensiblen Geschäftsfeld, wie dem Gesundheitsmanagement.
Es gehört zu den Aufgaben des Datenschutzbeauftragten (DSB), neben vielen anderen Aufgaben, Beschäftigte (auch Auszubildende, Teilzeitkräfte, Werkstudenten, etc.) im Datenschutz zu sensibilisieren und Mitarbeiter im Umgang mit personenbezogenen Daten auch im Hinblick auf ihre konkreten Aufgaben und abgestimmt auf ihre Verarbeitungsvorgänge zu schulen (Art. 38 Abs. 1 lit. b DSGVO).
Drei Ziele stehen im Vordergrund:
• Bewusstsein für Datenschutz und den Anforderungen zu schaffen
• Mitarbeiter zu datenschutzkonformen Verhalten befähigen und zu sensibilisieren
• Datenschutzkonformes Verhalten fördern
Eine „one size fits all“-Schulung ist daher nicht zielführend und langweilt mehr als sie nützt. Die Herausforderungen in der Verarbeitung von personenbezogenen Daten im Personalbereich sind andere als z. B. im Vertrieb oder Projektmanagement.
Letztendlich können nur aufmerksame und geschulte Mitarbeiter effektiv auf die Einhaltung der Datenschutzvorgaben und den Datenschutzprozessen hinwirken.
(Autorin: Regina Mühlich: Als Expertin für Datenschutz, Datenschutz-Auditorin sowie Compliance Officer berät und unterstützt sie Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist Lehrbeauftragte an der Hochschule Furtwangen und Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschland (BvD) e. V.)
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
Wir unterstützen mit Vorträgen und Schulungen bei der Sensibilisierung.
* Der Mensch als Risikofaktor bei Wirtschaftskriminalität, Sonja Stirnimann, S. 111
21. Mai 2019