Pflicht und Kür: Warum müssen Mitarbeiter im Datenschutz geschult werden?

Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) wirksam. Eine der wesentlichen Änderungen im Vergleich zum bisher geltenden Bundesdatenschutzgesetz besteht in den erhöhten Bußgeldern der DSGVO. Diese können bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen. Bußgeldbewehrte Verstöße gegen die DSGVO werden in der Regel von Mitarbeitern begangen. Es ist daher von großer Wichtigkeit, diese rechtzeitig für sensible datenschutzrechtliche Prozesse zu sensibilisieren und mit dem nötigen Wissen auszustatten, um die Vorgaben der DSGVO einhalten zu können. In unserem Gastartikel klären wir von lawpilots daher folgende Fragen: Besteht eine gesetzliche Schulungspflicht nach der DSGVO? Welche Vorteile bieten regelmäßige Datenschutz-Schulungen? Welche Inhalte müssen zwingend thematisiert werden? Welche Unternehmensbereiche sollten besonders in den Fokus genommen werden?

Weshalb sollten Mitarbeiter im Datenschutz geschult werden und welche Vorteile ergeben sich daraus?

In nahezu jedem Unternehmen werden personenbezogene Daten gemäß Artikel 4 DSGVO mit IT-Systemen jeden Tag mehrfach verarbeitet. Die Einhaltung der datenschutzrechtlichen Vorschriften der DSGVO folgt für Unternehmen in ihrem Geltungsbereich daher als dringende Pflicht. Wie bereits geschildert, werden die Vorgaben primär durch Mitarbeiter einzuhalten sein. Demgemäß ist ihre Schulung logische Voraussetzung für die Einhaltung der Vorgaben der DSGVO. Darüber hinaus lassen sich datenschutzrechtliche Schulungen der Mitarbeiter leicht mit weiteren Lehrinhalten - wie z.B. Vorgaben über die Datensicherheit und Unternehmensgeheimnisse - verbinden, ohne die Grenzen zwischen beiden Bereichen zu verwässern. Auf diese Weise lernen Mitarbeiter personenbezogene Daten zu erkennen und von Sicherheitsfragen- und Unternehmensgeheimnissen zu trennen. Dabei entwickeln sie außerdem eine besondere Sensibilität im Umgang mit personenbezogenen Daten. Nur auf diese Weise kann eine ganzheitliche Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO gewährleistet sein.

Besteht nach der DSGVO die Pflicht, Mitarbeiter im Datenschutz zu schulen?

Eine ausdrückliche „Pflicht“, Mitarbeiter zu schulen, besteht nach der DSGVO nicht. Eine Pflicht die Mitarbeiter zu Beginn ihrer Tätigkeit auf das Datengeheimnis zu verpflichten, wie sie das aktuell noch geltende BDSG in §5 enthält, hat die DSGVO ebenfalls nicht. Allerdings ergeben sich aus anderen Vorschriften der DSGVO indirekte Verpflichtungen für Unternehmen ihre Mitarbeiter entsprechend zu schulen. Zwar kann die unterlassene Schulung an sich nicht mit Bußgeldern belegt werden, sehr wohl aber die aus dem Fehlen einer solchen Schulung folgenden Datenschutzverstöße.

Die Artikel 33 und 34 DSGVO enthalten Meldepflichten für Unternehmen gegenüber Aufsichtsbehörden und betroffenen Personen, wenn die Verletzung datenschutzrechtlicher Vorschriften ein hohes Risiko für die Verletzung der Rechte und Freiheiten von natürlichen Personen zur Folge hat. Die Verletzung dieser Meldepflichten ist nach der DSGVO bußgeldbewehrt. Unternehmen können dieser Meldepflicht effektiv betrachtet aber nur dann nachkommen, wenn die Mitarbeiter entsprechend geschult sind: Erkennen sie eine Verletzung datenschutzrechtlicher Vorschriften? Können Sie das Vorliegen eines hohen Risikos für die Verletzung der Rechte und Freiheiten natürlicher Personen abschätzen und bewerten?

Vor allem, wenn die Kerntätigkeit eines Unternehmens in der umfangreichen Verarbeitung besonders sensibler personenbezogener Daten besteht, ist ein Datenschutzbeauftragter zu bestellen (Artikel 37. DSGVO) - Zu den besonders sensiblen Daten gehören gemäß der Artikel 9 und 10 DSGVO u.a. Gesundheitsdaten, Daten zur Herkunft oder Religion, zur Gewerkschaftszugehörigkeit, etc.

Artikel 37 DSGVO nennt zudem weitere Fälle, in denen eine solche Bestellung erforderlich ist, bspw. bei der systematischen Überwachung von Personen oder bei bestimmten Behördentätigkeiten. Art 37 Abs.4 DSGVO enthält eine so genannte Öffnungsklausel mittels derer die nationalen Gesetzgeber die Bestellplichten für Datenschutzbeauftragte konkretisieren können. Der deutsche Gesetzgeber nimmt diese Konkretisierung in § 38 Abs.1 BDSG-neu vor. Diese Regelung ist weitestgehend an § 4f Abs.1 BDSG-alt angelehnt, sodass öffentliche wie nicht-öffentliche Stellen immer dann einen Datenschutzbeauftragten bestellen müssen, wenn sie Daten automatisiert verarbeiten. Dies trifft heute auf eine Vielzahl von Unternehmen zu. Vor allem ist ein Datenschutzbeauftragter dann zu bestellen, wenn ein Fall vorliegt, der nach der DSGVO eine Datenschutz-Folgenabschätzung erforderlich machen würde. Dies ist vor allem bei besonders sensiblen Daten oder sonstigen hohen Risiken für die Rechte des Betroffenen der Fall. Anders als in den übrigen Fällen des § 38 BDSG-neu kommt es dann für die Bestellpflicht nicht mehr darauf an, ob mehr als 10 Mitarbeiter personenbezogene Daten verarbeiten.

Gemäß Art. 39 DSGVO hat der Datenschutzbeauftragte dabei eine Unterrichtung „der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich“ ihrer datenschutzrechtlichen Verpflichtungen nach der DSGVO durchzuführen. Unter bestimmten Umständen können Verstöße des Datenschutzbeauftragten auch dem Unternehmen zugerechnet werden und damit bußgeldbewehrt sein. Das trifft vor allem dann zu, wenn das Unternehmen seiner Pflicht gemäß Art. 38 DSGVO den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben zu unterstützen, nicht hinreichend nachkommt.

Welche Unternehmensbereiche sollten datenschutzrechtlich unbedingt geschult werden?

Neben dem Datenschutzbeauftragten selbst kommt dabei vor allem die IT in Betracht, da diese die Anforderungen der DSGVO v.a. hinsichtlich der Grundsätze der Datensparsamkeit und datenschutzfreundlicher technischer Voreinstellungen (Privacy by design, Privacy by default) umsetzen muss. Gleiches gilt für Produktentwickler. Daneben sollten alle Mitarbeiter ein datenschutzrechtliches Grundwissen besitzen, da nicht nur Kundenberater- und Betreuer, sondern grundsätzlich alle Mitarbeiter an der Verarbeitung personenbezogener Daten beteiligt sein können. Wichtig ist es für die Einhaltung des innerbetrieblichen Datenschutzes Personalabteilung und Betriebsrat gesondert zu schulen.

Welche Inhalte sollten bei einer Mitarbeiterschulung vermittelt werden?

Zunächst sollte ein Grundverständnis für „personenbezogene Daten“, „Verarbeitung“ und „Rechte und Freiheiten natürlicher Personen“ vermittelt werden. Wann liegen solche Prozesse vor? Weshalb sind solche Prozesse besonders schützenswert?
Sodann sollten die wichtigsten datenschutzrechtlichen Grundprinzipien wie die Grundsätze der Datensparsamkeit, Transparenz, Informationspflichten vorgestellt werden.

Außerdem gilt es die Leitlinien für eine rechtmäßige Datenverarbeitung aufzuzeigen, also das Prinzip des Verbots mit Erlaubnisvorbehalt durch Einwilligung und Interessenabwägung zu schildern.

Abschließend sollte auf die Besonderheit der Datenverarbeitung nach der DSGVO im Vergleich zur alten Rechtslage eingegangen werden.
Insgesamt sollten unternehmens- und branchenspezifische Besonderheiten stets berücksichtigt werden, wie z.B. besondere Regelungen für personenbezogene Daten, die über Server in den USA transferiert werden.

Wie sollten Mitarbeiter datenschutzrechtlich geschult werden?

Grundsätzlich sollten Mitarbeiter sowohl bezüglich des Vorliegens der Verarbeitung personenbezogener Daten als auch bezüglich der technischen Möglichkeiten zur Umsetzung der Vorgaben der DSGVO geschult werden. Dabei bietet es sich an, sowohl Online-Kurse als auch Rollenspiele, Vorträge usw. in regelmäßigen Abständen zu wiederholen, um einerseits neueste Entwicklungen nicht zu verpassen und andererseits nach den Grundsätzen der Lernspirale das Wissen bei Mitarbeitern langfristig zu verfestigen.
Online-Kurse bieten dabei die Möglichkeit einfach und unkompliziert ohne Software-Installation und große Vorbereitungszeit mit der Schulung der eigenen Mitarbeiter zu beginnen und die genannten Vorteile datenschutzrechtlicher Schulungen wahrzunehmen.
Dringend abzuraten ist Unternehmen von der Möglichkeit, Schulungen von nicht fachkundigen Mitarbeitern durchführen zu lassen, die selbst an externen Schulungen teilgenommen haben. Die Einhaltung der teils komplexen Vorgaben der DSGVO dürfte auf diese Weise kaum gelingen. Die Zertifizierung für Schulungen im Bereich des Datenschutzes dient gerade dem Zweck, eine den Anforderungen der DSGVO entsprechende Schulung der Mitarbeiter zu ermöglichen.

Fazit und Handlungsempfehlung

Da die DSGVO bereits wirksam ist, sollten Unternehmen spätestens jetzt aktiv werden, um ihre Mitarbeiter datenschutzrechtlich zu schulen. Nicht nur die hohen Bußgelddrohungen der DSGVO, sondern auch die leichte Umsetzbarkeit von datenschutzrechtlichen Schulungen verbunden mit Möglichkeiten, die Grundsätze der Datensicherheit zu integrieren, sollten Unternehmen dazu ermutigen, entsprechende Angebote fachkundiger Beratung wahrzunehmen.

„Viele Unternehmen wollen ihre Mitarbeiter im Datenschutz schulen, sind jedoch oft unentschlossen, welche Methode sie wählen sollen. Präsenzschulungen sind viel zu aufwändig und zu teuer für alle Mitarbeiter, jedoch sind bei vielen klassischen E-Learning-Kursen das Design veraltet, der Inhalt wenig relevant für die wirklichen Herausforderungen der Mitarbeiter und die Einrichtung aufwändig. lawpilots schließt diese Lücke und bietet praxisnahe und wirklich innovative Datenschutz-Kurse an, die leicht zu verstehen sind und Spaß machen.“

Dr. Dieter Kerkfeld, CEO von lawpilots.

Über lawpilots

lawpilots bietet innovative und praxisnahe Onlinetrainings rund um die rechtlichen Fragestellungen der Digitalisierung. Die Devise von lawpilots "Recht. Einfach. Verstehen." ist dabei unser zentrales Versprechen. Unsere praxisnahen Inhalte und relevanten Handlungsempfehlungen entwickeln wir mit unseren renommierten Partnern Schürmann Rosenthal Dreyer Rechtsanwälte und der Beratung ISiCO Datenschutz.