DSGVO – Warum besteht Schulungspflicht der Mitarbeiter im Datenschutz

 DSGVO steht für die ab dem 25. Mai 2018 eingeführte europaweite Datenschutzgrundverordnung. Die größte Änderung im Vergleich zu dem bisher gültigen Bundesdatenschutzgesetzt liegt in der Höhe der Bußgelder der Datenschutzgrundverordnung. Die Höhe liegt bei bis zu 4 % des jährlichen Umsatzes bzw. 20 Millionen €. Verstöße, die von dieser Verordnung mit Bußgeldern fahndet werden, werden erfahrungsgemäß von Mitarbeitern verschuldet.

 

Eine Mitarbeiterschulung und somit das rechtzeitige Unterrichten der Mitarbeiter über sensible Prozesse des Datenschutzes sowie dem notwendigen Know-How zu versorgen ist von enormer Bedeutung. Nur so können die Vorgaben der Verordnung von den Mitarbeitern umgesetzt werden. Im Gastartikel geht es deshalb zu Recht der Frage nach, ob es für die Mitarbeiterschulung der DSGVO eine Schulungspflicht gibt. Außerdem die Fragen, welche Vorteile eine regelmäßige Mitarbeiterschulung bringe und in welchen Abteilungen besonders sensibel mit dem Thema umzugehen ist.

 

Besteht nach der Verordnung zum Datenschutz eine Schulungspflicht für Mitarbeiter?

Es besteht laut DSGVO keine „offizielle Pflicht“, Mitarbeiter zu schulen. Genau so wenig besteht eine Pflicht, wie es im aktuellen BDSG §5 vorgesehen ist, die Mitarbeiter vor Aufnahme der Tätigkeit auf zur Geheimhaltung von Daten zu verpflichten. Die Vorschriften der Verordnung schaffen jedoch für Unternehmen eine „indirekte Verpflichtung“, seine Mitarbeiter zu schulen. Es kann zwar kein Bußgeld verhängt werden, wenn keine Schulung laufend erfolgt ist, jedoch kann bei einer Datenpanne oder einer anderen Auswirkung in Zusammenhang mit einer fehlenden Schulung, dass Unternehmen zur Verantwortung gezogen werden.

Wenn ein Verstoß gegen die datenschutzrechtlichen Verordnungen ein hohes Risiko der Missachtung von Freiheiten und Rechten von natürlichen Personen erzeugt, gibt es laut §33 und §34 der DSGVO Nachweispflichten des Verantwortlichen gegenüber den betroffenen Personen sowie gegenüber Aufsichtsbehörden. Haltet man diese Meldepflicht nicht ein, kann man mit Bußgeld sanktioniert werden. Datenschutz-Kenntnisse und somit eine Schulung der Mitarbeiter ist eine Voraussetzung hierfür. Liegt eine Datenschutzpanne vor? Sind Sie in der Lage ein bestehendes hohes Risiko einer Verletzung der Freiheiten und Rechte von natürlichen Personen zu lokalisieren und zu bewerten?

 

Ist ein Datenschutzverantwortlicher/Datenschutzbeauftrager in der Pflicht?

Ein Datenschutzverantwortlicher bzw. Datenschutzbeauftragter ist laut Artikel 37 DSGVO in der Pflicht, wenn die Kerntätigkeit eines Unternehmens hauptsächlich aus dem Verarbeiten von sensiblen personenbezogenen Daten besteht. Besonders sensible Daten definiert die DSGVO als Gesundheitsdaten, Gewerkschaftszugehörigkeit, Daten zur Konfession und Herkunft und vieles mehr.

Des Weiteren ist bei einer systematischen Überwachung von Personen sowie bei weiteren bestimmten Behördenaktivitäten zur Wahrung der IT-Sicherheit auch ein Datenschutzbeauftragter notwendig. Das deutsche Recht regelt diese Bestellung im BDSG §38 Absatz 1. Demnach müssen nichtöffentliche und öffentliche Stellen einen Datenschutzbeauftragten bestellen, wenn sensible Daten automatisch verarbeitet werden. Das ist heute in vielen Unternehmen der Fall. Falls eine Datenschutz-Folgeabschätzung notwendig ist, ist ebenfalls ein Datenschutzverantwortlicher zu bestellen. In diesem Fall ist die Pflicht auch nicht mehr davon abhängig, dass über zehn Mitarbeiter für die Verarbeitung personenbezogener Daten beschäftigt werden.

 

Vorteile der Schulung von Mitarbeitern

Mit den heutigen IT-Systemen werden in fast jedem Unternehmen tagtäglich gemäß Artikel 4 DSGVO Personenbezogene Daten verarbeitet. Es ist eine dringende Pflicht von jedem Unternehmen, die datenschutzrechlichen Vorschriften der Verordnung unbedingt einzuhalten. Primär müssen diese Verordnungen durch die Mitarbeiter eines Unternehmens beachtet und eingehalten werden. Bei nicht Einhaltung der Regeln drohen zivilrechtliche oder strafrechtliche Sanktionen. Damit diese Vorgaben eingehalten werden können, ergibt sich automatisch eine Schulungspflicht.

Weiterhin kann eine Schulung zum Thema Datenschutz mit anderen Themen wie Richtlinien zur Datensicherheit sowie dem Umgang mit Unternehmensgeheimnissen verknüpft werden. Die Grenzen der Themenbereiche können dabei auch unverwässert bleiben. Das hat den Vorteil, dass Mitarbeiter zwischen Unternehmensgeheimnisse, Fragen der Sicherheit und personenbezogene Daten unterscheiden können. Zusätzlich können dadurch die Mitarbeiter im Umgang mit personenbezogenen Daten sensibilisiert werden. Nur dadurch kann ein Verstoß gegen die Verordnung zum Datenschutz vermieden werden.

 

Inhalte der Mitarbeiter-Schulung

Kernthemen in der Schulung ist das Grundverständnis personenbezogener Daten, die Rechte und Freiheiten von natürlichen Personen sowie die Verarbeitung personenbezogener Daten. Dabei werden auch Fälle betrachten, wann solche Prozesse vorliegen und warum diese Prozesse besonders geschützt werden sollten.

 

 

Beratungsstelle:

Da die Datenschutzgrundverordnung und das Telemediengesetz oft nicht einfach umzusetzen ist, gibt es viele Dienste, welche im Bezug auf die Verarbeitung personenbezogener Daten eine Handlungsempfehlung geben.

Bei weiteren Fragen wenden Sie sich gern an unseren Datenschutzbeauftragten von Max2-Consulting UG: https://datenschutzbeauftragter-dsgvo.com/