Die DSGVO enthält keine konkrete Anforderung, Mitarbeiter zum Datenschutz zu schulen. Allerdings legt die DSGVO dem Verantwortlichen (also dem Unternehmen vertreten durch die Geschäftsführung) wesentliche Pflichten auf, aus der die Notwendigkeit von Schulungen abzuleiten sind. Ergibt sich daraus eine Verpflichtung, Mitarbeiter zum Datenschutz zu schulen?
Welche Pflichten sind das?
Verantwortliche dürfen personenbezogene Daten nur „auf rechtmäßige Weise und nach Treu und Glauben“ verarbeiten (Art. 5 Abs. 1 lit. a DSGVO). Dies ist nur möglich, wenn die Beschäftigten wissen, wie und wann eine Verarbeitung rechtmäßig ist.
Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche nachweisen können, dass die Datenschutzgrundsätze bei der Verarbeitung personenbezogener Daten eingehalten werden. Diese sog. Rechenschaftspflicht beinhaltet folgerichtig auch den Nachweis, dass die Personen, die die Verarbeitung durchführen, diese Grundsätze kennen und einhalten können.
Nach der DSGVO dürfen Verantwortliche personenbezogene Daten nur verarbeiten, wenn technische und organisatorische Maßnahmen das Risiko von Datenschutzverletzungen minimieren (Art. 32 DSGVO). Eine der organisatorischen Maßnahmen ist die Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter zum Datenschutz.
Wer führt diese Schulungen durch?
Eine Schulung kann grundsätzlich von jeder Person durchgeführt werden, die die entsprechende Fachkenntnis und Expertise hat. In der Regel ist das der Datenschutzbeauftragte, sofern er ordnungsgemäß benannt wurde und der Verantwortliche sicher ist, dass er (oder sie) über die notwendige Fachkunde verfügt und aktuelle Entwicklungen des Datenschutzes kennt und schult.
Aufgabe des Datenschutzbeauftragten ist es, die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zu überwachen und zu überprüfen (Art. 39 Abs. 1 lit. b DSGVO).
Wer muss in Datenschutzfragen geschult werden?
Mindestens die Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben, müssen geschult und sensibilisiert werden. Dies sind zum Beispiel die Mitarbeiter der Personalabteilung, Systemadministratoren und Kundenbetreuer. Denn bei ihnen besteht ein hohes Risiko, gegen die Vorgaben der DSGVO und anderer Datenschutzvorschriften zu verstoßen. Soweit möglich, sollten jedoch alle Mitarbeiter des Unternehmens geschult werden, sofern nicht ausgeschlossen werden kann, das sie personenbezogene Daten verarbeiten.
Wie oft müssen Mitarbeiter geschult werden?
Wir empfehlen Schulungen für Mitarbeiter mindestens einmal jährlich durchzuführen: So wird sichergestellt, dass auch neue Mitarbeiter zuverlässig geschult werden. Außerdem erhalten Mitarbeiter, die bereits geschult wurden, wichtige Updates zu Veränderungen im Datenschutz oder den innerbetrieblichen Prozessen Prozessen. Unsere Schulungen für Mitarbeiter berücksichtigen die Schulungshäufigkeit und umfassen regelmäßig neue und interessante Themen auch für bereits geschulte Mitarbeiter.
Sind Datenschutzschulungen auch spannend?
Wenn Sie glauben sich verlesen zu haben: Nein, wir legen viel wert darauf, dass Schulungen die Mitarbeiter ansprechen. Das gelingt nicht nur durch die spanende Aufbereitung der betrieblich relevanten Themen - wir sprechen auch interessante Fakten zum persönlichen Datenschutz im privaten Bereich an. Ist das sinnvoll? Ja, denn nur wer für sich als Betroffenen den Datenschutz als wichtigen Schutz erkennt, kann auf der Seite des Verantwortlichen verstehen, was der Datenschutz leisten soll.