Datenschutzsensibilisierung, -Training und Schulungen | Beitrag von Klaudia Suska, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,
junger Männerkopf bis zur Schulter, nachdenkliche Pose und ein sportlicher Mann der innerhalb dieses Kopfes Treppen raufläuft

Die Sicherstellung der Datenschutzvorschriften hängt im hohen Maße von einem angemessenen Umgang mit personenbezogenen Daten ab. Es gilt als eine Binsenweisheit, dass viele Datenschutzverletzungen auf ein mangelndes Problembewusstsein der verarbeitenden Personen in Unternehmen zurückzuführen sind. Die einfachste und daher sehr sinnvolle Maßnahme zur Reduzierung von Datenschutzrisiken im Unternehmen besteht somit darin, die Datenschutzsensibilisierung bei den Mitarbeitern (das Bewusstsein und die Awareness) regelmäßig zu erneuern.

Dementsprechend zählt es gem. Art. 39 Abs. 1 lit. b zu den zentralen Aufgaben des Datenschutzbeauftragten zu überprüfen, ob die Mitarbeiter ausreichend sensibilisiert und geschult worden sind. Die Schwierigkeit besteht dabei darin sicherzustellen, dass die richtigen Personen entsprechend ihrer Rolle bei der Verarbeitung der ihnen anvertrauten Daten geschult werden. Nachfolgend sollen noch einmal die Notwendigkeit von sogenannten Awareness-Trainings sowie Möglichkeiten der Umsetzung aufgezeigt werden.

Notwendigkeit von Schulungen als organisatorische Maßnahme

Der Verantwortliche soll nicht nur geeignete technische Maßnahmen treffen, um die Einhaltung der Datenschutzvorschriften sicherzustellen, sondern eben auch organisatorische (Art. 24, 25, 28 und 32 DSGVO). Allein durch technische Maßnahmen lässt sich keine 100%ige Datenschutzkonformität und Sicherheit erreichen. Dies liegt an einer Vielzahl von unterschiedlichen Gründen:

  • Unbestimmtheit einiger Vorschriften und Begriffe sowie deren Auslegungsmöglichkeiten
  • Zunehmende Durchdringung der Unternehmen mit personenbezogenen Daten und ein nicht klar abgrenzbarer Personenkreis von mit der Verarbeitung befassten Personen
  • Unzureichendes Verständnis und Bewusstsein für die Hintergründe und Motivation von Datenschutzrichtlinien und Arbeitsanweisungen und daraus resultierend eine beschränkte Fähigkeit, Datenschutzvorschriften angemessen anzuwenden bzw. auf Angriffe entsprechend reagieren zu können.

Datenschutzbewusstsein (Awareness)

Um die Compliance zu erreichen, bedarf es neben dem Bewusstsein auch der Befähigung, dies tun zu können und der Bereitschaft, dies tun zu wollen. Unter Datenschutzbewusstsein bzw. Datenschutz-Awareness lässt sich eine Art von Bewusstseinsbildung und Sensibilität für das Thema Datenschutz verstehen. Ohne dieses Bewusstsein ist die Erfüllung der Datenschutz-Compliance nicht möglich, denn diese bedeutet einen angemessenen Umgang mit personenbezogenen Daten und setzt besonderes Datenschutzwissen sowie spezielle Fähigkeiten und ein gewisses Bewusstsein für Datenschutz voraus, beispielweise über:

  • Die Bedeutung der Datenschutzleitlinie
  • Ein Verständnis über die eigene Rolle und deren Beitrag sowie
  • Das Wissen über die Folgen und die Konsequenzen bei Nichteinhaltung

Maßnahmen zur Förderung des Datenschutzbewusstseins

Mangelndes Bewusstsein drückt sich bei Mitarbeitern dadurch aus, dass sie

  • Nichts mit dem Thema Datenschutz anfangen können,
  • sich bei ihrer Arbeit gestört oder behindert fühlen oder
  • besondere Anreize bestehen, existierende Vorkehrungen zu unterlaufen.

Das Bewusstsein und auch die Befähigung lassen sich durch regelmäßige Sensibilisierung, Schulung und Training verbessern. Dies bedeutet im Einzelnen, das folgende drei Maßnahmen zyklisch verfolgt werden müssen:

  • Sensibilisieren, d.h. auf etwas aufmerksam machen,
  • Schulen, um Lösungen für ein Problem zu vermitteln, und
  • Trainieren, um Lösungen in der Praxis einzuüben.

Datenschutzschulung und -training

Datenschutzschulungen sollen den Mitarbeitern in geeigneter Weise notwendiges Wissen – in Bezug auf die Tätigkeit des Einzelnen – vermitteln, damit diese den Datenschutz konkret umsetzen können. Das heißt, Datenschutzschulungen müssen, um diesen Anforderungen gerecht zu werden, personalisiert und zielgruppengerecht organisiert sein. Dies könnte z.B. durch eine Aufteilung der Inhalte in allgemeine Grundlagen und spezielle Themen erreicht werden, wie durch eine Basisschulung, gefolgt von einer Schwerpunktschulung.

Weitergehende Maßnahmen

Die positiven Effekte dieser Schulungs- und Trainingsmaßnahmen nehmen mit der Zeit ab. Um das erreichte Niveau aber zu erhalten, sollte der Verantwortliche durch weitergehende Maßnahmen zur Verbesserung der Datenschutz-Awareness beitragen. Diese sind auf die individuellen Gegebenheiten abzustimmen. Dabei sollten die Mitarbeiter miteinbezogen werden, die Themen risikobasiert ausgewählt und die Maßnahmen in einer gewissen Regelmäßigkeit durchgeführt und interessant gestaltet werden, um die Aufmerksamkeit der Mitarbeiter zu erhalten.