Machen Sie Ihre Mitarbeiter fit für den Datenschutz!
In einem 1-stündigen Video-Kurs wird das Datenschutz-Grundwissen gemäß DSGVO vermittelt, das Mitarbeitern zum rechtskonformen Umgang mit personenbezogenen Daten verhilft.
» Vom Rechtsanwalt und Datenschutzbeauftragten (TÜV) «
Arbeitgeber haben gemäß Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht hinsichtlich des datenschutzkonformen Verhaltens der Mitarbeiter. Ohne regelmäßige Schulung zur DSGVO droht Bußgeld.
Sie brauchen keine eigene DSGVO-Schulung zu entwickeln oder externe Referenten zu beauftragen. Zudem lässt sich eine Onlineschulung für jeden Mitarbeiter orts- und zeitunabhängig durchführen.
Unsere Datenschutz Schulung für Mitarbeiter wurde von einem Rechtsanwalt und Datenschutzbeauftragten (TÜV) entwickelt und entspricht der aktuellen Rechtslage, inkl. Schulungsnachweis durch Teilnahmezertifikat.
Dipl.-Jur. Sebastian Einbock
Quelle: Google My Business
Seit dem 25. Mai 2018 gilt die europäische Datenschutzgrundverordnung. Diese Grundverordnung legt eine einheitliche Regelung zum Datenschutz fest, die in allen Mitgliedstaaten der EU, unmittelbare Geltung hat. Sie hat den Rechtscharakter einer Verordnung, das bedeutet, dass sie nicht durch innerstaatliche Gesetze umgesetzt werden muss, wie es bei EU-Richtlinien der Fall ist.
Diese Grundverordnung hat den Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten im Fokus. Es handelt sich dabei um ein Grundrecht gemäß Artikel 8 Absatz 1, der Charta der Grundrechte der Europäischen Union. Zusätzlich zum Tragen kommt Artikel 16 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV).
Das Bundesdatenschutzgesetz (BDSG) beschreibt die landesspezifischen Regelungen zum Datenschutz für Deutschland, die aufgrund der Öffnungsklauseln der DSGVO möglich sind.
Die Datenschutzgrundverordnung hat das Ziel Informationen über natürlicher Personen zu schützen, wenn sie in Verkehr gebracht sind. Dies ist bezogen auf die Datenverarbeitung und Weitergabe.
Im Erwägungsgrund 1 wird beschrieben, dass der Datenschutz ein Grundrecht ist. Damit erhalten natürliche Personen hinsichtlich der Verarbeitung von Personendaten Schutzstatus. Dieser Schutz muss in jedem Land der Union, also unabhängig von der Staatsangehörigkeit und des Aufenthaltsortes, gewährleistet sein (Erwägungsgrund 2).
Die Einhaltung der grundlegenden Datenschutzbestimmungen in einem Unternehmen ist nur durch ein datenschutzkonformes Verhalten aller Mitarbeiter zu erreichen. Die Pflicht zur Durchführung einer Mitarbeiterschulung zum Datenschutz wird nicht explizit im Gesetz genannt. Die Schulungspflicht lässt sich jedoch aus den Vorschriften der Verordnung ableiten und obliegt dem Verantwortlichen. Bei Datenschutzverstößen kann dieser sogar persönlich haftbar gemacht werden.
Die Bestimmungen der Grundverordnung gelten für alle Unternehmen, Einrichtungen und Vereine in der EU - unabhängig von Branche, Rechtsform oder Mitarbeiterzahl. Damit ist jedes Unternehmen von der Schulungspflicht der Mitarbeiter im Datenschutz betroffen.
Die Verpflichtung seine Mitarbeiter zu schulen, ergibt sich für Arbeitgeber / Verantwortliche aufgrund folgender Bestimmungen:
Der Verantwortliche ist die Person, die Entscheidungen trifft und für diese auch einstehen muss. Verantwortliche können natürliche und juristische Personen sein, in dem Fall also Ämter und Behörden ebenso, wie andere Einrichtungen, die über Zwecke und Mittel der Datenverarbeitung eigenständig entscheiden. Die Benennung oder Bestimmung des Verantwortlichen auf diese Position, die Kriterien dazu, orientieren sich am Unionsrecht oder dem Recht des Mitgliedsstaates. Die Definition des Verantwortlichen findet sich in den Begriffsbestimmungen zur DSGVO, Artikel 4, Punkt 7. Unter Zweck wird das „erwartete Ergebnis“ verstanden, das heißt der Begriff kann als Synonym für Ziel gesehen werden. Der Verantwortliche ist jener Akteur, der deshalb über das „Wie“ und das „Warum“ der Verarbeitung personenbezogener Daten entscheidet.
In seinem Verantwortungsbereich sind unter anderem diese Fragestellungen angesiedelt:
Fehler beim Datenschutz, die oft von Mitarbeitern ausgehen, können kostspielig werden. Das Bußgeld bei Verstößen kann bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Im Falle eines datenschutzrechtlichen Verstoßes können die Aufsichtsbehörden eine Auskunft darüber verlangen, ob entsprechende Datenschutzschulungen der Mitarbeiter stattgefunden haben. Ist dies nicht der Fall bzw. sind die Schulungen nicht nachweisbar, kann das Unternehmen zur Verantwortung gezogen werden. Geschäftsführer oder Vorstände können dabei auch persönlich haftbar gemacht werden.
Arbeitnehmer haben, sofern sie mit Tätigkeiten der Datenverarbeitung betraut sind, die Datenschutzgrundsätze und das Datengeheimnis rechtlich verbindlich zu beachten. Die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen ist ohne Datenschutz-Kenntnisse der Mitarbeiter jedoch nicht möglich. Damit sind regelmäßige Sensibilisierung und Schulung der Mitarbeiter im Datenschutz unerlässlich.
Alle Mitarbeiter müssen wissen, was in Hinblick auf den Datenschutz erlaubt bzw. verboten ist. Dies bezieht sich auf das Grundverständnis u.a. darüber was personenbezogene Daten sind, welche Rechte betroffene Personen haben sowie welche Pflichten bei der Datenverarbeitung zu beachten sind.
An einer Schulung sollten demzufolge grundsätzlich alle Mitarbeiter teilnehmen, die mit Daten von Kunden, Patienten, Lieferenten etc. arbeiten oder auch intern Mitarbeiterdaten verarbeiten.
Abhängig von der Kernkompetenz und -tätigkeit des Unternehmens und dem erforderlichen Umfang der Datenverarbeitung, d.h. wenn besonders sensible und / oder umfangreiche Datenverarbeitung stattfindet, muss ein Datenschutzbeauftragter bestellt werden. Der interne oder externe Datenschutzbeauftragte ist auch dazu verpflichtet, die Mitarbeiter bezüglich des Datenschutzes zu sensibilisieren und zu schulen (Art. 39 Abs. 1 DSGVO).
Im Kapitel 1, Artikel 4 (1) ist die Definition der betroffenen Person hinterlegt. Das klassische Amtsdeutsch spricht vom Datensubjekt, wenn es den „Betroffenen“ im Sinne der Grundverordnung meint. Dabei handelt es sich um natürliche Personen. Eine juristische Person kann nicht im Sinne der Datenschutzgrundverordnung „betroffen“ sein. Im Umkehrschluss bedeutet dies, dass Angaben über Behörden, Unternehmen, Institutionen, Vereinen, etc. nicht dem Schutzmechanismus der Grundverordnung unterliegen.
Personenbezogene Daten beschreiben oder beziehen sich auf eine identifizierbare oder identifizierte natürliche Person (betroffene Person). Die Identifikation oder Zuordnung dieser kann auch durch Zuordnung zu einer Kennung (zum Beispiel Namen, Kennnummer, Standortdaten, Online-Kennung, besondere Merkmale) erfolgen.
Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist besonders eingeschränkt, denn sie definieren Personen über ihre Zugehörigkeit, Herkunft und Anschauung. Dazu zählen:
• rassische oder ethnische Herkunft
• politische Meinungen
• religiöse und weltanschauliche Überzeugungen
• Zugehörigkeit zu einer Gewerkschaft
• Gesundheit
• Sexualleben, sexuelle Orientierung
• genetische oder biometrische Merkmale
Der Umgang mit solchen Informationen ist besonders sensibel, da Datenpannen erhebliche Schäden bei den betroffenen Personen verursachen können.
Zur Verarbeitung zählen insbesondere das Erheben, Erfassen, Organisieren, Speichern, Verändern, Auslesen und Abfragen von Daten, inkl. Offenlegung durch Übermittlung, Verbreitung, sowie jede andere Form der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung.
Die Datenschutzgrundverordnung findet Anwendung im Bereich der nicht-, teil- oder vollautomatisierten Datenverarbeitung, die in einem Dateisystem gespeichert sind und künftig aus diesem heraus verarbeitet werden. Das heißt, die manuelle Verarbeitung ist genauso betroffen, wie die digitale Speicherung.
Mitarbeiter und Arbeitnehmer haben, sofern sie mit Tätigkeiten der Datenverarbeitung betraut sind, die Datenschutzgrundsätze und das Datengeheimnis rechtlich verbindlich zu beachten. Grundsätzlich werden alle Beschäftigten zur Einhaltung der Verschwiegenheitspflicht und Wahrung des Datenschutzgeheimnisses zu verpflichten sein. Dem Abschluss dieser Vereinbarung geht eine Aufklärung voran, die die datenschutzrechtlichen Grundlagen zum Thema hat und die Beschäftigten sensibilisiert. Diese Erklärung wirkt auch nach dem Ende des Beschäftigungsverhältnisses fort. Ein Verstoß dagegen kann mit einer Schadenersatzklage bedroht sein.
Zu beachten ist, dass die Mitarbeiter durch die Schulungen nicht zu "Datenschutzexperten" ausgebildet werden sollen. Sie sollten jedoch auf datenschutzrechtliche Belange und Informationssicherheit im Betrieb sensibilisiert und zum datenschutzkonformen Verhalten bei der Ausführung ihrer Aufgaben befähigt werden. Dazu gehören z.B. ein verantwortungsvoller Umgang mit personenbezogenen Informationen, Auskunfts- und Löschungsanfragen sowie Meldung von Datenpannen. Spezielle Schulungen sind ggf. für Betriebsräte oder Mitarbeiter erforderlich, die mit besonders sensiblen Informationen i.S. des Art. 9 DSGVO, wie zum Beispiel Gesundheitsdaten, arbeiten.
Datenschutz-Kenntnisse helfen nicht nur Datenpannen zu verhindern. Ein weiterer Vorteil: Sie verleihen den Mitarbeitern mehr Sicherheit im Umgang mit Kunden und Geschäftspartnern, steigern deren Souveränität und Kompetenz, wecken Vertrauen.
Die Schulung sollte durch qualifizierte Personen (Datenschutzbeauftragter oder Rechtsanwalt) erfolgen. Die Verordnung legt aber keine Anforderungen bezüglich der Form, Dauer und Lerninhalte der Datenschutzschulung fest. Demzufolge kann die Maßnahme sowohl als Präsenzveranstaltungen (Seminar, Training) mit einem Vortrag bzw. einer PowerPoint Präsentation (ppt) als auch schriftlich oder als Onlineschulung, zum Beispiel als ein Webinar oder auf einer eLearning-Plattform, erfolgen.
Der Einsatz von Onlineschulungen bzw. e-Learning hat viele Vorteile: Sie lassen sich für jeden Mitarbeiter orts- und zeitunabhängig durchführen. Terminkoordination, Nachholtermine wegen Krankheit oder Urlaub, räumliche Engpässe, die bei Präsenzveranstaltungen oft zu Problemen führen, lassen sich durch eine Onlineschulung einfach umgehen. Lernzeit, Lernabschnitte und Wiederholungen der Inhalte können individuell durch die Teilnehmer gestaltet werden.
Eine Datenschutz Schulung der Mitarbeiter sollte vor der Aufnahme der datenverarbeitenden Tätigkeit erfolgen, z.B. als Einführung, wenn neue Mitarbeiter eingestellt oder neue Aufgaben übernommen werden.
Wir empfehlen - auch wenn es dazu keine gesetzlichen Vorgaben gibt - die online Schulung zum Datenschutz jährlich zu wiederholen. Dies fördert den Lerneffekt und stärkt die Sensibilisierung der Mitarbeiter im Arbeitsalltag. Treten datenschutzrechtliche Neuerungen oder betriebliche Änderungen ein, sollte eine erneute Schulung der Mitarbeiter zum Datenschutz vorgezogen werden.
Die Dokumentation ist in Hinblick auf den Datenschutz von großer Bedeutung: Der Verantwortliche muss jederzeit in der Lage sein, die Einhaltung der Datenschutzgrundsätze verbindlich nachzuweisen, auch bezüglich der Schulungspflicht.
Die Durchführung der Datenschutz Schulung der Mitarbeiter soll aus Haftungsgründen immer dokumentiert werden, sei es in Form von Schulungsprotokollen, Unterschriften auf einer Teilnehmerliste oder einem Zertifikat für die Teilnahme an der Schulung. Eine Lernkontrolle bzw. ein Nachweis des Lernerfolgs ist dabei nicht erforderlich.
Darüber hinaus sollte jeder Mitarbeiter eine Verpflichtung auf den Datenschutz und auf die Vertraulichkeit unterschreiben.
*) Unser Angebot richtet sich ausschließlich an Gewerbetreibende, Freiberufler und öffentliche Einrichtungen (alle Preise sind Nettopreise und verstehen sich zzgl. gesetz. USt.). Das Angebot für 19.90 € pro Teilnehmer gilt ab einer Mindestbuchung für 5 Teilnehmer.
Schulen Sie Ihre Mitarbeiter jetzt!
Überlassen Sie die Datensicherheit in Ihrem Unternehmen keinem Zufall
Bildnachweis: Robert Kneschke / stock.adobe.com