Ist die Datenschutzschulung für Mitarbeiter Pflicht?

30. Juni 2020 - Minuten Lesezeit

Um der Frage nachzugehen, ob die Datenschutzschulung für Mitarbeiter Pflicht ist, ist es wichtig zu betonen, dass die Hauptverantwortung bezüglich des Datenschutzes bei der Geschäftsführung liegt.

Sie ist dafür verantwortlich sicherzustellen, dass die Verarbeitung personenbezogener Daten durch die Mitarbeiter entsprechend der Bestimmungen aus der Datenschutz-Grundverordnung (DSGVO) gewährleistet ist. Mit der Datenschutzschulung soll sichergestellt werden, dass die Mitarbeiter ihre Pflichten nach der DSGVO kennen und wissen, wie sie diese einhalten müssen.

Datenschutzschulung-fuer-Mitarbeiter-Pflicht
Doch Datenschutz bleibt nicht ausschließlich Chef-Sache!

Wo ist die Pflicht zur Datenschutzschulung für Mitarbeiter gesetzlich geregelt?

Laut der DSGVO besteht für den Verantwortlichen eines Unternehmens keine explizite Pflicht, die Mitarbeiter im Datenschutz zu schulen. So kann pauschal auch erstmal kein Bußgeld verhangen werden, wenn keine Schulung im Datenschutz durchgeführt wurde. Wenn es jedoch zu einer Datenpanne oder einem Datenschutzverstoß kommt, weil die Mitarbeiter nicht über die Verordnung und deren Inhalte unterrichtet und somit das Thema Datenschutz sensibilisiert wurden, kann das Unternehmen zur Verantwortung gezogen werden.

Daraus ergibt sich für den Verantwortlichen eine indirekte Pflicht zur Datenschutzschulung der Mitarbeiter, um die Einhaltung der Datenschutzverordnung in seinem Unternehmen zu gewährleisten (vgl. z.B. Art. 32 Abs. 4 DSGVO).

Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Die Mitarbeiterschulung im Datenschutz ist also eine Präventivmaßnahme.

Mit der Datenschutzschulung reduzieren Sie die DS-GVO Panikmache und erfüllen in unter einer Stunde Ihre gesetzliche Schulungspflicht. Informieren Sie sich über unser eLearning und fordern Sie Ihren kostenlosen Testaccount zu der Online-Datenschutzschulung für Mitarbeiter an!

Wer ist für die Datenschutzschulung der Mitarbeiter zuständig?

Anders als viele Unternehmer denken, gehört die Schulung der Mitarbeiter im Datenschutz nicht zu den gesetzlich festgelegten Aufgaben eines Datenschutzbeauftragten (DSB).
Der Verantwortliche hat für die Organisation der Datenschutzschulung seiner Mitarbeiter zu sorgen, denn die Datenverarbeitung unter Beachtung der Datenschutzgrundsätze liegt in seiner Verantwortung.
Dennoch überwacht der Datenschutzbeauftragte gemäß Art. 39 Abs. 1 der DSGVO den Verantwortlichen bei der Umsetzung und Organisation des Datenschutzes, also auch der Durchführung von Mitarbeiterschulungen oder anderen Sensibilisierungsmaßnahmen. In der Praxis zeigt sich aber, dass ein Datenschutzbeauftragter die Aufgabe bzw. Organisation der Schulungen oftmals übernimmt, was in vielen Fällen naheliegend ist, da der DSB über das nötige Fachwissen verfügt.

Was empfehlen die Behörden zur Mitarbeiterschulung im Datenschutz?

Obwohl laut der DS-GVO keine direkte Schulungspflicht besteht, bietet die Mitarbeiterschulung im Datenschutz viele Vorteile für das Unternehmen und wird deshalb von den Aufsichtsbehörden und Datenschutz-Experten mit Nachdruck empfohlen.

Geschulte und sensibilisierte Mitarbeiter entwickeln ein stärkeres Bewusstsein für datenschutzrelevante Vorgänge im Unternehmen und reagieren bewusster und sensibler bei Unregelmäßigkeiten in solchen Vorgängen. Dadurch wird das Risiko einer Datenpanne oder eines sonstigen Verstoßes minimiert.

Hinzu kommt, dass die Mitarbeiter bei der Verarbeitung personenbezogener Daten wichtige Vorgaben der DS-GVO beachten müssen, wie zum Beispiel die Meldepflicht bei Datenpannen, die Auskunftspflicht gegenüber Betroffenen und die Regeln zu Löschpflichten. Durch die Datenschutzschulung werden die Mitarbeiter über diese Vorgaben unterrichtet.

Datenschutzschulung für Mitarbeiter: Wie oft muss sie durchgeführt werden?

Bezüglich des Wiederholungsrhythmus der Datenschutzschulung der Mitarbeiter machen die Behörden ebenfalls keine Vorgaben. Es wird allgemein empfohlen, die Schulung jährlich zu wiederholen, damit die Inhalte und das Fachwissen in den Köpfen der Mitarbeiter präsent bleiben. 

Darüber hinaus bietet es sich an, eine Mitarbeiterschulung durchzuführen, wenn es zu einem auschlaggebenden Urteil im Datenschutz oder zu einer relevanten Gesetzesänderung kommt.

Datenschutzschulung der Mitarbeiter: Pflicht über Nachweise & Dokumentation

Die Datenschutzschulung der Mitarbeiter muss als Nachweis für die Behörden dokumentiert werden. Auf diese Weise kommt der Verantwortliche seiner Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nach und minimiert sein Haftungsrisiko. 

Üblicherweise werden die Schulung inklusive der Teilnehmer und der vermittelten Inhalte dokumentiert und die Teilnehmer bekommen optional nach erfolgreichem Abschluss der Schulung Zertifikate.

Welche Mitarbeiter müssen geschult im Datenschutz werden?

Grundsätzlich müssen alle Mitarbeiter (inklusive der Geschäftsleitung) eines Unternehmens im Bereich Datenschutz geschult werden, die regelmäßig im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten.
Unter den Begriff "Datenverarbeitung" zählen das Erheben, Erfassen, Ordnen,  die Speicherung, Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung, den Abgleich oder die Verknüpfung, die Einschränkung und das Löschen von Daten mit Personenbezug.

Hier stellt sich nun die folgende Frage:
Was genau sind denn personenbezogene Daten?

Personenbezogene Daten sind alle Angaben, die sich auf natürliche Personen beziehen.
Darunter fallen Angaben zu persönlichen Verhältnissen (z.B. Name, Alter, Anschrift, Nummer, Beruf, Hobbies, Bankverbindung, etc.) und Angaben zu sachlichen Verhältnissen (z.B. Einkommen, Kennzeichen, Steuern, Internetnutzung, etc.). Hinzu kommen außerdem die sensiblen Daten (wie ethnische Herkunft, Religionszugehörigkeit, politische Meinung und Gesundheitsdaten), die besonders geschützt werden müssen.

Schulung-fuer-Mitarbeiter-im-Datenschutz

Wie können Mitarbeiter im Datenschutz geschult werden?

Für die Art und Weise der Mitarbeiterschulung gibt es verschiedenste Möglichkeiten, denn auch hierzu stellen die Behörden den Unternehmen keine Vorgaben. Letztendlich muss jedes Unternehmen individuell entscheiden, welche Schulungsart sich am besten eignet.

Die üblichen Schulungsmöglichkeiten bieten jeweils sowohl Vorteile, als auch Nachteile:

eLearning vs. Präsenzschulung

Finden Sie heraus, welche Schulungsmethode für Ihr Unternehmen am besten geeignet ist und was jeweils die Vor- und Nachteile einer Onlineschulung bzw. einer Präsenzschulung sind.

e-Learning-vs-Praesenzschulung-Vorteile-und-Nachteile-einer-Onlineschulung--exkulpa-gmbh
e-Learning-vs-Praesenzschulung-Vorteile-und-Nachteile-einer-Onlineschulung--exkulpa-gmbh

Live-Schulung (inhouse, außer Haus)

Vorteile
  • Es bietet sich die Möglichkeit, bei Ungewissheiten direkt Fragen zu stellen.
  • Die Live-Schulung in der Gruppe gestaltet sich interaktiv.
  • Es besteht eine gewisse Gruppendynamik, die den Lernprozess unterstützen kann.
  • Die Schulung einer Gruppe kann eine teambildende Maßnahme sein.
Nachteile
  • Die Organisation der Live-Schulung ist mit einem sehr hohen Aufwand verbunden (von der Terminfindung und dem Aussuchen der passenden Location, bis hin zur Anreise, Verpflegung evtl. Übernachtung in Hotels, etc.).
  • Live-Seminare können u.U. sehr kostspielig werden.
  • Die Mitarbeiter können den ganzen Tag nicht ihrer Tätigkeit nachgehen. Die Schulungsteilnehmer sind i.d.R. für einen Tag  außer Haus und können ihrer Kerntätigkeit nicht nachgehen.
  • Auch der Nachweis sowie die Dokumentation und Nachbereitung der Schulung ist sehr verwaltungsintensiv und kostet dem Unternehmen viel Zeit.

Onlineschulung/eLearning

Vorteile
  • Der Aufwand für die Organisation ist deutlich geringer als bei der Liveschulung.
  • Die Inhalte der Schulung lassen sich individuell an das Unternehmen anpassen.
  • Die Mitarbeiter sind sehr flexibel in der Durchführung der Schulung, sie können sie zu jeder Zeit und von jedem Ort/Gerät absolvieren.
  • Die vermittelten Inhalte werden durch kurze Abfragen und Abschlusstests direkt kontrolliert und gefestigt.
  • Die Absolvierung der Schulung wird in der Software automatisch dokumentiert und als Nachweis gespeichert.
  • eLearning ist sehr preiswert und effizient.
  • Die Schulung kann nach Buchung des Kurses sofort beginnen.
  • Das Tagesgeschäft des Unternehmens wird nicht unnötig  beeinflusst.
Nachteile
  • Der Erfahrungsaustausch unter den Schulungsteilnehmern ist nicht direkt gegeben, im Gegensatz zur Liveschulung.
  • Der Umgang mit der Software muss im ersten Schritt erlernt werden, allerdings sind die eLearning-Plattformen meist sehr einfach und intuitiv konzipiert.
  • Es können nicht direkt Fragen an den Schulungsleiter gestellt werden (Das Stellen von Fragen zu den Inhalten ist im Nachgang immer über ein Kontaktformular möglich).

Broschüre

Vorteile
  • Die Schulungsteilnehmer können die Inhalte immer wieder in der Broschüre nachlesen.-
  • Die Durchführung der Schulung ist ähnlich wie die Onlineschulung zu jeder Zeit und an jedem Ort möglich.
  • Diese Art der Schulung ist preiswerter als eine Liveschulung. 
Nachteile
  • Es ist keine Interaktion mit anderen Teilnehmern gegeben.
  • Die Teilnehmer können nicht direkt Fragen zu den Inhalten stellen.
  • Der Lernprozess wird nicht durch Austausch oder Interaktion unterstützt.

PowerPoint-Präsentation

Vorteile
  • Ähnlich wie bei der Möglichkeit der Broschüre können die Inhalte immer wieder nachgelesen werden.
  • Diese Art der Schulung ist preiswerter als eine Liveschulung. 
Nachteile
  • Genau wie bei der Schulung durch eine Broschüre ist keine Interaktion, kein Stellen von Fragen und kein Erfahrungsaustausch mit anderen Teilnehmern möglich.

Interaktiver Workshop

Vorteile
  • Es bietet sich die Möglichkeit, bei Ungewissheiten direkt Fragen zu stellen und sich mit anderen Teilnehmern auszutauschen.
  • Bei einem Workshop ist häufig eine starke Gruppendynamik zu erkennen und der Zusammenhalt der Gruppe wird nebenbei gestärkt.
  • Die Schulungsteilnehmer können bei Ungewissheiten direkt nachfragen.
Nachteile
  • Genau wie bei der Liveschulung ist die Organisation eines Workshops mit sehr hohen Kosten und Verwaltungsaufgaben verbunden.
  • Für einen interaktiven Workshop ist viel Initiative und Motivation der Mitarbeiter gefragt, fehlt diese, wird der Workshop langweilig und für die Teilnehmer erfolgslos.

Sind Sie noch auf der Suche nach der richtigen Schulungsmöglichkeit für Ihre Mitarbeiter?

Die exkulpa bietet Ihnen in dem Bereich der Mitarbeiterschulung verschiedene Möglichkeiten - von unserer Datenschutzbroschüre über allgemeine und themenbezogene sowie zielgruppengerichtete Live-Schulungen und Seminare bis hin zu unserem eLearning-Angebot.

exkulpa Akademie

 eLearning-Angebote für Mitarbeiter & Entscheidungsträger

Erhalten Sie einen kostenlosen Test-Account für unsere Onlineschulung im Datenschutz!

Folgen bei nicht oder nicht ausreichender Datenschutzschulung der Mitarbeiter

Welche Konsequenzen hat es, wenn der Verantwortliche nicht für die (ausreichende) Schulung seiner Mitarbeiter sorgt?

Da es offiziell keine Schulungspflicht im Sinne der DS-GVO gibt, können hierfür auch keine Bußgelder verhangen werden. Allerdings kann die fehlende Schulung dazu führen, dass ein Mitarbeiter aufgrund von fehlendem Fachwissen eine Datenpanne verursacht. In diesem Fall kann der Verantwortliche wegen nicht Einhaltung der DS-GVO zur Rechenschaft gezogen werden und es können Bußgelder von bis zu 20 Millionen Euro beziehungsweise bis zu 4% des weltweit erzielten Jahresumsatzes drohen.

Hier ein Beispiel aus England:

Die britische Datenschutzbehörde ICO ("Information Comissioner´s Office") beabsichtigt die Fluggesellschaft British Airways wegen eines Datenschutzvorfalls, bei dem unter anderem gegen den Artikel 32 der DS-GVO verstoßen wurde, mit einem Bußgeld in Höhe von über 200 Millionen Euro zu bestrafen.

Die vorgeschlagene Geldstrafe bezieht sich auf einen Cybervorfall, der der ICO im September 2018 von British Airways gemeldet wurde. Bei diesem Vorfall ging es zum Teil darum, dass der Besucherverkehr auf der Website von British Airways auf eine betrügerische Seite umgeleitet wurde. Über diese falsche Website wurden Kundendaten von den Angreifern gesammelt. Bei diesem Vorfall, der vermutlich im Juni 2018 begann, wurden die persönlichen Daten von etwa 500.000 Kunden gestohlen.

Grund für den Datenangriff seien laut Untersuchungen des ICO schlechte Sicherheitsvorkehrungen im Unternehmen.

Es lässt sich vermuten, dass zu den mangelnden Sicherheitsvorkehrungen unter anderem auch eine nicht ausreichende Schulung der Mitarbeiter beigetragen hat.

Anmerkung: Diese Geldbuße ist nicht endgültig, sondern wird entschieden, wenn das Unternehmen und andere beteiligte Aufsichtsbehörden anderer Mitgliedsstaaten ihre Stellungnahmen abgegeben haben.

Fazit

Der Verantwortliche eines Unternehmens ist laut der DS-GVO nicht offiziell zur Datenschutzschulung seiner Mitarbeiter verpflichtet. Allerdings besteht eine indirekte Pflicht zur Schulung, um die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und um den Schutz personenbezogener Daten im Unternehmen zu gewährleisten.

Zur Art und Weise der Schulung gibt es keine gesetzlichen Vorgaben, jedes Unternehmen kann für sich selbst entscheiden, welche Schulungsart sich am besten eignet.

Die Datenschutzschulung sollte im besten Falle jährlich wiederholt werden und muss als Nachweis für die Rechenschaftspflicht des Verantwortlichen dokumentiert werden.

Wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten und noch nicht für die Schulung Ihrer Mitarbeiter gesorgt haben, empfehlen wir Ihnen dringend, sich zu Ihrem eigenen Schutz und den Schutz Ihrer Kunden und Mitarbeiter darum zu kümmern.

Gerne helfen wir Ihnen in dieser Sache weiter und unterstützen Sie mit unseren Schulungsangeboten.


Sprechen Sie uns gerne an!

Jenny Weigandt

Jenny Weigandt
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>