Die Mitarbeiterschulung im Datenschutz ist ein zentraler Baustein in deinem Datenschutzmanagement. In diesem Blogartikel erfährst du, was zum Thema Mitarbeiterschulung wissen solltest: Du erfährst, was die Ziele einer Datenschutzschulung sind, wie oft sie durchgeführt werden sollte, welche Inhalte abgedeckt werden sollten, an wen sich die Schulung richtet und welche Vor- und Nachteile Präsenz- und Onlineschulungen haben.

Besteht eine Pflicht zur Mitarbeiterschulung?

Am Anfang stellst du dir vielleicht die Frage, ob du überhaupt verpflichtet bist, eine Mitarbeiterschulung im Datenschutz für deine Mitarbeitenden durchzuführen. Kurze Antwort: Es besteht keine explizite gesetzliche Pflicht zur Durchführung einer Mitarbeiterschulung im Datenschutz. Allerdings lässt sich eine indirekte Pflicht aus verschiedenen Vorgaben der DSGVO ableiten.

Nach Art. 5 Abs. 2 DSGVO bist du verpflichtet, die Einhaltung der Datenschutzgrundsätze nachzuweisen (Rechenschaftspflicht). Mit einer Mitarbeiterschulung im Datenschutz kannst du nachweisen, dass deine Mitarbeitenden für Datenschutz sensibilisiert wurden.

Außerdem ist der Datenschutzbeauftragte verpflichtet, die Mitarbeiter über ihre Pflichten nach der DSGVO zu unterrichten (Art. 39 Abs. 1 Buchst. b DSGVO).

Weiterhin musst du geeignete technische und organisatorische Maßnahmen zum Datenschutz ergreifen (Art. 32 DSGVO). Deine Mitarbeiterschulung im Datenschutz ist eine solche organisatorische Maßnahme zur Risikominimierung.

Obwohl du damit keine explizite Pflicht zur Mitarbeiterschulung im Datenschutz hast, erwarten Aufsichtsbehörden, dass du deine Mitarbeitenden im Datenschutz schulst, um Verstöße zu vermeiden.

Was sind die Ziele einer Mitarbeiterschulung im Datenschutz?

Bei einer Mitarbeiterschulung im Datenschutz geht es nicht darum, deine Mitarbeitenden zu Datenschutzprofis zu machen. Das schafft eine Schulung nicht. Das Hauptziel einer Datenschutzschulung ist es, das Bewusstsein deiner Mitarbeitenden für den Datenschutz zu schärfen. Sie sollen verstehen, wie wichtig der Schutz personenbezogener Daten ist und welche Konsequenzen Verstöße haben können. Außerdem sollen sie lernen, wie man Daten sicher verarbeitet, speichert und weitergibt. Ein weiteres Ziel ist es, deinen Mitarbeitenden die rechtlichen Grundlagen des Datenschutzes näher zu bringen. Einen eigenen Artikel zum Thema findest du ebenfalls hier auf unserem Blog, ein Video auf unserem Kanal bei YouTube.

Wie oft solltest du die Mitarbeiterschulung im Datenschutz durchführen?

Es gibt keine konkrete Pflicht die Schulung zu wiederholen, oder wie oben geschrieben, überhaupt eine Schulung durchzuführen. Deinen Pflichten aus der DSGVO wirst du aber vermutlich nur nachkommen, wenn du deine Mitarbeitenden überhaupt schulst und diese Schulung auch wiederholst. Als Faustformel gilt, dass du eine Schulung wenigstens einmal im Jahr durchführen solltest. Je nachdem, wie sensibel die Verarbeitung der Daten ist, kannst du auch öfter schulen. Länger als ein Jahr sollte zwischen den Schulungen nicht vergehen. Mitarbeitende in Abteilungen, die mit sensiblen personenbezogenen Daten umgehen, wie die Personalabteilung, IT oder Marketing sollten dabei ggf. häufiger geschult werden.

Außerdem sollte jede Mitarbeitende eine Basisschulung zum Datenschutz erhalten, sobald er seine Tätigkeit in deinem Unternehmen aufnimmt. Die Durchführung der Schulung solltest du dokumentieren.

Dein Schulungsmaterial sollte regelmäßig aktualisiert werden, um neue Entwicklungen im Datenschutzrecht und in der IT-Sicherheit zu berücksichtigen.

Was sollten die Inhalte der Schulung sein?

Deine Schulung sollte nicht zu vollgepackt sein. Schließlich geht es um das Sensibilisieren und nicht darum, deine Mitarbeitenden zu „Datenschutzprofis“ zu machen. Letzteres wäre schön, ist aber unrealistisch. Konzentriere dich also auf Kernthemen, die deine Mitarbeitenden betreffen. Dabei musst du zum Beispiel nicht auf die Details eines Verzeichnisses der Verarbeitungstätigen eingehen. Dessen Pflege ist in der Regel nicht Sache der Mitarbeitenden. Aber die Mitarbeitenden sollten wissen, dass es so etwas gibt und neue Verarbeitungstätigkeiten dort aufgeführt werden müssen.

Ich empfehle folgende Themen:

• Grundlagen des Datenschutzes: Was ist Datenschutz und warum ist er wichtig?
• Eine – wirklich kurze – Einführung und die rechtlichen Grundlagen: Einführung in die Datenschutzgesetze, wie die DSGVO.
• Grundbegriffe: Was sind personenbezogene Daten, wer ist Verantwortlicher und betroffene Person usw.
• Prinzipien des Datenschutzes: wie Rechtmäßigkeit, Transparenz, Datensparsamkeit und Zweckbindung
• Technische und organisatorische Maßnahmen
• Umgang mit Datenpannen und Auskunftsanfragen: Was tun, wenn es zu einem Datenschutzvorfall kommt?
• Hinweis und Erläuterung der Leitlinie und interne Richtlinien, sofern du welche hast (was ich empfehle)

An wen richtet sich die Schulung?

Du solltest grundsätzlich alle Mitarbeitenden deines Unternehmens schulen, die personenbezogene Daten verarbeiten. Besonders wichtig ist die Schulung für Mitarbeiter in der IT, Personalabteilung und Kundenservice. Diese Mitarbeitenden haben oft direkten Zugang zu sensiblen Daten.

Mitarbeitende, die keine personenbezogenen Daten verarbeiten, müssen nicht geschult werden. Hier solltest du aber sehr vorsichtig sein, wer nicht darunter fällt. Den Begriff der „Verarbeitung“ solltest du sehr weit auslegen. Grundsätzlich fällt alles darunter, was du mit personenbezogenen Daten machen kannst. Das geht bereits los, wenn ein Mitarbeiter E-Mails empfängt oder sende. Keine personenbezogenen Daten verarbeiten in der Regel Produktionsmitarbeiter. Auch Handwerker verarbeiten in der Regel keine personenbezogenen Daten, wenn diese „nur“ auf die Baustelle fahren und dort keinen weiteren Kontakt haben.

Vor- und Nachteile von Präsenz- und Onlineschulungen

Wenn alles steht, kommt immer wieder die Frage auf, ob die Schulung analog oder online und in diesem Fall vielleicht sogar als e-Learning-Format stattfinden soll. Dabei ist alles denkbar. Eine Vorgabe gibt es nicht. Die Schulung kann analog vor Ort oder auch via einer Videokonferenz oder sogar als e-Learning-Format bei dem die Teilnehmenden die Schulung jederzeit durchführen können.

Bei einer Präsenzschulung findet oft ein direkter Austausch mit dem Trainer und anderen Teilnehmern statt. Allerdings sind solche Schulungen zeitaufwendig, da diese an einem bestimmten Termin stattfinden. Es müssen alle Mitarbeitenden Zeit haben oder man muss die Schulung an mehreren Terminen durchführen. Dadurch entstehen oft höhere Kosten durch Anreise und eventuell Raummiete und man ist weniger flexibel, da alle Teilnehmer gleichzeitig vor Ort sein müssen.

Onlineschulungen sind flexibel in Bezug auf Zeit und Ort, deine Mitarbeitenden können lernen, wann und wo es ihnen passt.

Außerdem sind Onlineschulungen oft kostengünstiger. Sofern du die Mitarbeiterschulung im Datenschutz sogar als e-Learning-Format durchführst, sparst du auch noch die Kosten für Dozenten.

Für unsere Kunden, bei denen wir als Datenschutzbeauftragter bestellt sind, ist eine jährliche Mitarbeiterschulung im Datenschutz übrigens inklusive, egal ob live vor Ort oder per Videokonferenz oder als e-Learning. Aber auch wenn du uns nicht als Datenschutzbeauftragter bestellt hast, kannst du unsere Schulungen buchen. Schreib uns bei Interesse einfach an.

Fazit

Die Mitarbeiterschulung im Datenschutz gehört zu einem guten Datenschutzmanagement. Du solltest sie regelmäßig durchführen, für alle Mitarbeiter, die mit personenbezogenen Daten arbeiten. Ob du dich für eine Präsenz- oder Onlineschulung entscheidest, hängt von deinen individuellen Bedürfnissen und den Gegebenheiten deines Unternehmens ab. Bei der Schulung geht es nicht darum, deine Mitarbeitenden zu Experten zu machen, sondern sie zu sensibilisieren.