Muss das sein und wenn ja warum und wie?
Es gibt eine rechtliche Grundlage für die Schulung von Beschäftigten zum Thema Datenschutz! Wie schulen und zu welchen Themen?
In der DSGVO Art 39 und dem BDSG §7 werden die Aufgaben eines Datenschutzbeauftragten (DSB) dargestellt und dort fällt in beiden Fällen das Wort “Schulung”. In beiden Gesetzen ist der Wortlaut exakt der gleiche und es wird dargestellt das der DSB die Beschäftigten im Unternehmen, bezogen auf die Einhaltung der gesetzlichen Vorschriften und sonstiger Vorschriften zum Datenschutz sensibilisieren und schulen muss.
Kein Datenschutzbeauftragter, keine Schulung?
Im Umkehrschluss könnte man annehmen, dass man seine Beschäftigten nicht schulen muss, wenn man keinen DSB bestellt hat und/oder das auch nicht muss!? Wir empfehlen aber auf jeden Fall eine Schulung für die Beschäftigten und die Geschäftsführung bzw. Verantwortlichen durchzuführen. Vor allem, weil in Bezug auf die Drittlandweiterleitung in Art. 47 der DSGVO, auch dargestellt wird, dass die Verantwortlichen ihre Beschäftigten, die mit der Verarbeitung personenbezogener Daten ständig oder regelmäßig zu tun haben schulen müssen.
Bei dem “wie”, gibt es unterschiedliche Ansätze. Wir bevorzugen einen Ansatz, bei dem nicht alle Mitarbeiter einer Firma gleichzeitig denselben Vortrag erhalten. Was natürlich auch auf die Größe einer Firma ankommt, wenn eine Firma nur eine Handvoll Beschäftigte hat, dann muss eine Schulung anders strukturiert und vermittelt werden als in Großunternehmen oder Konzernen mit mehreren Abteilungen und ggf. Standorten. Wir gehen bei dieser Darstellung von einem mittelgroßen Unternehmen aus, das mehrere Abteilungen und ca. 100 Beschäftigten an einem Standort hat. In der Regel gibt es eine Geschäftsführung, Verwaltung, einen Vertrieb/Einkauf, das Marketing, die Produktion und Warenwirtschaft/Lager und ggf. noch eine IT/EDV-Abteilung.
Maßnahmen darstellen
Der Geschäftsführung muss man die rechtlichen Grundlagen, die Verantwortlichkeit, den Geltungsbereich und die nötigen Maßnahmen darstellen. Die Verwaltung möchte gerne wissen, ob das was sie tun richtig ist und wie man mit möglichen Bedrohungen umgeht, eine IT-Abteilung hat sehr viel weitergehende Anforderungen als die Verwaltung und die Produktion sowie das Lager interessieren sich in der Regel eher weniger für den Datenschutz. Hier gilt es also die Informationen auf die Personengruppen so zuzuschneiden, dass man alle wichtigen Infos rüber bringt und dabei keinen überfordert oder langweilt.
Wir trennen zwei Ansätze “recht” und “praxis” je weiter man in der Hierarchie eines Unternehmens von der Geschäftsführung weg geht, desto mehr zählt für die Beschäftigten der praxisnahe Ansatz. Insofern kann man zwar eine Präsentation/Schulung erstellen die beide Ansätze darstellt, aber wenn man der Geschäftsführung einen Vortrag dazu hält benötigt diese weniger Infos über die IT-Ansätze und die Produktion benötigt wiederum weniger Infos zu den von der IT zu berücksichtigenden Vorgaben. In der Verwaltung und der IT sind allerdings Kenntnisse zu dem wie und warum der Verarbeitung personenbezogener Daten und den technischen und organisatorischen Maßnahmen zu vermitteln.
Aus unserer Sicht ist für alle Beschäftigten wichtig zu wissen, was mache ich im Tagesgeschäft bei Bedrohungen, die nicht immer direkt erkennbar sind, also z. B. schadhafte Mail´s oder Anrufe und wie kann ich mich durch technische und organisatorische Maßnahmen so gut wie möglich schützen oder einer Datenschutzverletzung vorbeugen.