Datenschutzschulung durchführen

Datenschutzschulung für Mitarbeiter: Pflicht, Schritte & Inhalte

Der Schutz von personenbezogenen Daten sollte in Unternehmen aller Größenordnungen Priorität haben. Ein professioneller Fokus auf Datenschutzrichtlinien der DSVO und BDSG und eine verantwortliche Umsetzung ist für jeden Betrieb aus im Mindestfall zwei Gründen wichtig. Einerseits drohen mit der Einführung der Europäischen Datenschutzgrundverordnung bei Verstößen gegen die datenschutzrechtlichen Bestimmungen hohe Bußgelder. Andererseits drohen signifikante Sach- und Reputationsschäden, wenn Mitarbeiter- oder Kundendaten durch Datenpannen in die falschen Hände gelangen. Eine fortlaufende Schulung zu datenschutzrechtlichen Fragen und zur DSGVO sichert eine hohe Qualifikation aller Beschäftigten in Datenschutzfragen. Was eine Datenschutzschulung ist, ob und wann diese für Mitarbeiter Pflicht ist, wie oft Datenschutzschulungen durchgeführt werden müssen und welche Schulungsthemen essenziell sind, erfahren Sie in diesem Artikel.
Inhaltsverzeichnis

Was ist eine Datenschutzschulung? 

Der Begriff Datenschutzschulung beschreibt innerbetriebliche Fortbildungen, die Mitarbeitern helfen sollen, ihre Rolle und Verantwortung im Umgang mit Kunden-, Mitarbeiter- oder Unternehmensdaten zu verstehen. 

In Datenschutzschulungen können unterschiedliche datenschutzrechtliche Themen behandelt werden. Unter anderem werden in einer Datenschutzschulung die folgenden Punkte thematisiert:

  • betriebsinterne Verfahren für die Speicherung personenbezogener Daten, 
  • ein einheitliches Verständnis der Bedeutung von Datenschutzgesetzen und 
  • die ordnungsgemäße Verwaltung von Zugriffsrechten.

Was sind die Ziele der Datenschutzschulung?

Das Ziel jeder Datenschutzschulung besteht darin, sicherzustellen, dass alle Mitarbeiter die geltenden Datenschutzgesetze verstehen und anwenden können. Durch eine kontinuierliche und professionelle Datenschutzschulung ist sichergestellt, dass Mitarbeiter ausreichend sensibilisiert sind, wie Kunden-, Mitarbeiter- oder Unternehmensdaten vorausschauend und korrekt geschützt werden. 

Ist eine Datenschutzschulung für Mitarbeiter Pflicht?

Die Datenschutzgrundverordnung sieht keine grundsätzliche Pflicht zur Mitarbeiterschulung vor. Da gleichzeitig die meisten Mitarbeiter mit personenbezogenen Daten arbeiten, ergibt sich aber eine Notwendigkeit der fortlaufenden Schulung. Diese indirekte Schulungspflicht legt der Artikel 5 der DSGVO nahe, wenn es dort heißt: 

„Der Verantwortliche (Datenschutzbeauftragte) ist für die Einhaltung (der Grundsätze für die Verarbeitung personenbezogener Daten) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ 

Daraus folgt, dass Mitarbeiter Kenntnis von den Inhalten der DSGVO und von der Anwendung von Maßnahmen im Unternehmen haben müssen. 

Zum Beispiel besteht nach der DSGVO eine Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten. Im Artikel 33 DSGVO wird erklärt, dass der verantwortliche Datenschutzbeauftragte im Unternehmen die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörden melden sollte. Dies ist nur möglich, wenn eine Sensibilisierung erfolgt ist und Mitarbeiter die Vorgaben der DSGVO verstehen. Ohne eine intensive Schulung der datenschutzrechtlichen Vorgaben erkennen Mitarbeiter Verstöße nicht. In diesem Fall drohen dem Arbeitgeber und den Mitarbeitern abhängig von der Schwere der Datenpannen Geld- oder Gefängnisstrafen. Aus diesem Grund sollten Unternehmen Datenschutzschulungen – trotz fehlender gesetzlicher Schulungspflicht – als unternehmerische Pflicht betrachten.

Wer sollte an der Datenschutzschulung teilnehmen?

Es ist zielführend, alle Mitarbeiter eines Unternehmens im Rahmen einer Grundunterweisung mit den allgemeinen Datenschutzregeln im Betrieb bekannt zu machen. Jeder Angestellte, der regelmäßig personenbezogene Daten erhebt oder verarbeitet sollte darüber hinaus spezifisch und fortlaufend im Umgang mit den Datenschutzgesetzen unterrichtet werden. 

Wer darf Datenschutzschulungen durchführen?

Grundsätzlich ist der Arbeitgeber als datenschutzrechtlich Verantwortlicher in der Pflicht, die Datenschutzschulung durchzuführen. Er kann diese Aufgabe an geeignete interne oder externe Stellen weiterleiten. Im ersten Moment mag es aus Sicht der Geschäftsleitung praktikabel sein, alle internen Datenschutzschulungen vom Datenschutzbeauftragten des Unternehmens durchführen zu lassen. Dies ist, vor allem in kleineren Betrieben in den meisten Fällen die zweitbeste Lösung. 

Vor dem Hintergrund der Wichtigkeit der Mitarbeiterschulungen zum Datenschutz sollte die Professionalität der Schulung absoluten Vorrang haben. In kleineren Unternehmen sind Datenschutzbeauftragte häufig neben dem Datenschutz mit vielen anderen Aufgaben beschäftigt und haben ihrer Expertise ebenfalls durch Weiterbildungen und Schulungen erhalten. Ob sie in der Lage sind, die Mitarbeiter mit der notwendigen Expertise und dem erforderlichen Hintergrundwissen zu schulen, sollte objektiv hinterfragt werden. 

Erfolgreiche Unternehmen setzen aus Gründen der Transparenz und Professionalität daher häufig auf zertifizierte Datenschutz-Experten, die als externe Trainer hauptberuflich Datenschutzthemen schulen und auf betriebsspezifische datenschutzrechtliche Besonderheiten reagieren können. 

Wie häufig muss eine Datenschutzschulung erfolgen?

Es ist wichtig, regelmäßige Datenschutzschulungen abzuhalten. Neue Mitarbeiter profitieren zu Beginn ihrer Tätigkeit von einer Grundunterweisung, in der sie die Grundlagen der DSGVO und ihre Umsetzung im Unternehmen kennenlernen. Darauf aufbauend sollten halbjährliche oder jährliche Schulungen der Mitarbeiter erfolgen, die das Datenschutzwissen vermehren. Eine Schulung pro Jahr oder bei Änderungen der Vorschriften ist in jedem Fall empfehlenswert. 

Mitarbeiter, die in besonderem Maße mit personenbezogenen Daten arbeiten, können zusätzlich spezifisch geschult werden. Aus motivatorischen Gründen und als Nachweis ist es sinnvoll, zu jeder Schulung ein Zertifikat auszustellen. Durch diese Visualisierung können Beschäftigte und Datenschutzbeauftragte nachweisen, dass ein starker Fokus auf die Sensibilisierung in Datenschutzfragen gesetzt wird. 

Wie wird eine Datenschutzschulung durchgeführt? 

Eine Datenschutzschulung für Mitarbeiter muss grundsätzlich an die innerbetrieblichen Gegebenheiten angepasst werden. Folgende Schritte zur Durchführung einer internen Datenschutzschulung haben sich jedoch in der Praxis bewährt und können als Rahmen für Ihre eigene Datenschutzschulung verwenden.

  1. Bestimmen Sie das Ziel der Datenschutzschulung
  2. Erstellen Sie einen Schulungsplan 
  3. Wählen Sie einen Leiter der Datenschutzschulung aus
  4. Bestimmen Sie die Teilnehmer der Datenschutzschulung
  5. Legen Sie den Zeitpunkt der Datenschutzschulung fest
  6. Bereiten Sie Schulungsmaterialien vor
  7. Führen Sie die Datenschutzschulung
  8. Überprüfen Sie das Verständnis

Schritt 1: Bestimmen Sie das Ziel der Datenschutzschulung

Bevor Sie mit der Durchführung der Datenschutzschulung beginnen, müssen Sie das Schulungsziel festlegen. Indem Sie das Schulungsziel definieren, können Sie sicherstellen, dass die Schulung effektiv ist und die gewünschten Ergebnisse erzielt.

Schritt 2: Erstellen Sie einen Schulungsplan

Sobald das Ziel der Datenschutzschulung definiert wurde, ist es an der Zeit, einen Schulungsplan zu erstellen. Der Schulungsplan sollte detailliert sein und alle Aspekte der Datenschutzschulung abdecken. Hier sind einige Dinge, die im Schulungsplan enthalten sein sollten:

  • Datum, Zeit und Dauer der Schulung,
  • Ort der Schulung,
  • Schulungsziele und -inhalte,
  • Schulungsunterlagen und -materialien sowie die 
  • Methoden zur Bewertung des Lernfortschritts.

Schritt 3: Wählen Sie einen Leiter der Datenschutzschulung aus

Der Schulungsleiter spielt eine wichtige Rolle bei der Durchführung der Datenschutzschulung. Der Verantwortliche sollte über ein tiefes Verständnis für Datenschutzverordnungen und -richtlinien verfügen. Der Schulungsleiter sollte auch in der Lage sein, komplexe Informationen in einfacher Sprache zu vermitteln.

Schritt 4: Bestimmen Sie die Teilnehmer der Datenschutzschulung

Im vierten Schritt müssen Sie die Teilnehmer der Datenschutzschulung bestimmen. Denn die Schulungsinhalte können je nach Zielgruppe variieren. Die Schulung für Mitarbeiter, die mit personenbezogenen Daten arbeiten, sollte sich beispielsweise auf die Sicherheitsaspekte konzentrieren. Für Führungskräfte hingegen sollte die Schulung sich auf die rechtlichen Anforderungen konzentrieren.

Schritt 5: Legen Sie den Zeitpunkt der Datenschutzschulung fest

Der Zeitpunkt der Schulung sollte so gewählt werden, dass möglichst viele Mitarbeiter daran teilnehmen können. Es ist wichtig, sicherzustellen, dass die Schulung nicht in Konflikt mit anderen wichtigen Terminen oder Projekten steht. Es kann auch sinnvoll sein, die Schulung in mehrere Sitzungen aufzuteilen, um sicherzustellen, dass alle Mitarbeiter die Datenschutzschulung besuchen können.

Schritt 6: Bereiten Sie Schulungsmaterialien vor

Die Qualität der Schulungsmaterialien spielt eine wichtige Rolle bei der Durchführung einer erfolgreichen Datenschutzschulung. Die Materialien sollten klar und präzise sein und alle wichtigen Aspekte des Datenschutzes abdecken. Hier sind einige Dinge, die in den Schulungsmaterialien enthalten sein sollten:

  • ein Überblick über Datenschutzverordnungen und -richtlinien,
  • praktische Tipps zur Handhabung personenbezogener Daten,
  • Beispiele für Datenschutzverletzungen,
  • Maßnahmen zur Vermeidung von Datenschutzverletzungen und
  • eine Zusammenfassung der wichtigsten Punkte.

Schritt 7: Führen Sie die Datenschutzschulung durch

Wenn alle Vorbereitungen getroffen wurden, ist es an der Zeit, die Datenschutzschulung durchzuführen. Der Schulungsleiter sollte sicherstellen, dass die Teilnehmer aktiv in die Schulung einbezogen werden. Folgende Tipps sollten dabei berücksichtigt werden:

  • Stellen Sie sicher, dass alle Teilnehmer die Schulungsmaterialien erhalten haben.
  • Verwenden Sie Beispiele, um komplexe Themen zu erklären.
  • Lassen Sie Zeit für Fragen und Diskussionen.
  • Ermutigen Sie die Teilnehmer, ihre Erfahrungen und Bedenken zu teilen.

Schritt 8: Überprüfen Sie das Verständnis

Es ist wichtig, sicherzustellen, dass die Teilnehmer die Schulungsinhalte verstanden haben. Mit diesen Möglichkeiten können Sie prüfen, ob die Teilnehmer der Datenschutzschulung die Inhalte verstanden und gegebenenfalls bereits verinnerlicht haben:

  • Verwenden Sie Quizfragen, um das Verständnis der Teilnehmer zu testen.
  • Bitten Sie die Teilnehmer, Feedback zur Schulung zu geben.
  • Führen Sie eine Nachbesprechung durch, um sicherzustellen, dass alle Fragen beantwortet wurden.

Wie können Unternehmen sicherstellen, dass ihre Mitarbeiter die Schulung verstanden haben?

Um sicherzustellen, dass die Mitarbeiter die Schulung verstanden haben, sollten Unternehmen eine Bewertung oder Prüfung durchführen, um das Wissen der Mitarbeiter zu testen. Dies kann in Form eines Quiz oder einer mündlichen Prüfung geschehen.

Welche Inhalte muss eine Datenschutzschulung aufweisen?

Die folgenden 10 aufeinander aufbauenden Schulungspunkte können einen guten Rahmen für eine Mitarbeiterschulung im Datenschutz darstellen: 

SchulungsinhalteErklärung
Einführung in den DatenschutzIn diesem Teil der Schulung kann ein allgemeiner Überblick über den rechtlichen Rahmen der Datenschutzgrundverordnung und über die Rechte und Pflichten von Mitarbeitern gegeben werden. 
Definition von personenbezogenen DatenMitarbeiter erfahren in diesem Teil der Schulung, was der Begriff „personenbezogene Daten“ aus Sicht des Gesetzgebers bedeutet. Im Artikel 4 der DSGVO wird ausgeführt, dass mit personenbezogenen Daten alle Informationen zusammengefasst werden, die sich auf eine identifizierte oder identifizierbare natürliche Person oder betroffene Person beziehen. Neben der Begriffserklärung ist auch zu verdeutlichen, was bei der Verarbeitung von personenbezogenen Daten zu beachten ist.
Rechte von betroffenen PersonenIn der Mitarbeiterschulung sollte erklärt werden, welche Rechte Mitarbeiter, Kunden und andere Personengruppen im Sinne der DSGVO haben. Unter anderem sollten das Recht auf Auskunft, das Recht auf Berichtigung und das Recht auf Löschung oder „Vergessen werden“ im betrieblichen Kontext thematisiert werden. 
Die Datenschutzgrundsätze des UnternehmensDie Sensibilisierung der Mitarbeiter beim Umgang und bei der Verarbeitung personenbezogener Daten ist das wichtigste Ziel jeder Datenschutzschulung. Verstehen die Beschäftigten die wichtigsten Datenschutzgrundsätze und ihre Anwendung, können Datenpannen wirksam verhindert werden.  
Datensicherheitsmaßnahmen und bewährte VerfahrenDiskutieren Sie in diesem Teil der Schulung die innerbetrieblichen Maßnahmen zum Schutz personenbezogener Daten, beispielsweise die Verschlüsselung, Pseudonymisierung und Protokollierung von Benutzeraktionen. Zeigen Sie auf, wie Daten im Unternehmen geschützt werden und welche Maßnahmen als bewährte Verfahren gelten.  
Anforderungen an Berichterstattung, Kontrolle und Meldung von Verletzungen des Datenschutzes In diesem Teil der Datenschutzschulung kann thematisiert werden, wie der Datenschutz im Betrieb wirksam kontrolliert wird und wie die Meldung von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO im Unternehmen gewährleistet wird.
Datenverarbeitung durch DritteDie wenigsten Unternehmen verarbeiten alle personenbezogenen Daten ausschließlich intern. In den meisten Fällen arbeiten Betriebe mit Auftragsverarbeitern zusammen. Im Artikel 28 DSGVO wird erklärt, dass Unternehmen ausschließlich mit Auftragsverarbeitern zusammenarbeiten dürfen, die hinreichend Garantien dafür bieten, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Internationale Übermittlung von personenbezogenen DatenGlobal agierende Unternehmen stehen in der Verantwortung, bei der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen ebenfalls die datenschutzrechtlichen Vorgaben zu beachten. Das Kapitel 5 der DSGVO erklärt, welche verbindlichen Datenschutzvorschriften und welche Ausnahmen gelten. 
Sensibilisierung der Mitarbeiter anhand von Praxisbeispielen Neben der theoretischen Schulung ist es essenziell, anhand von Praxisbeispielen zu üben, wie die Datenschutzgrundsätze im Unternehmen angewandt werden. Auf Praxisschulung sollte genügend Zeit verwendet werden, da die Behaltensleistung der Mitarbeiter gestärkt wird. 
Haftung und SanktionenErklären Sie in diesem Schulungspunkt, wie Mitarbeiter und Unternehmen haftbar gemacht werden, wenn nachweislich gegen die Vorgaben der DSGVO verstoßen wird. 

In welcher Form muss die Datenschutzschulung durchgeführt werden? 

Die Bestimmungen der DSGVO und des BDSG können im ersten Moment für Mitarbeiter verwirrend und komplex sein. Datenschutzschulungen für Mitarbeiter werden aus diesem Grund individuell und in den verschiedenen Formaten angeboten. Ob Inhouse als Präsenzschulung, extern, online oder aufgezeichnet – die Form der Schulung ist zweitrangig, solange gewährleistet ist, dass Mitarbeiter durch die Schulung das nötige Wissen erwerben und es in ihrem Arbeitsalltag umsetzen können. 

Wie viel kostet eine externe Datenschutzschulung?

Für externe Datenschutzschulungen werden unterschiedliche Preismodelle angeboten, die sich nach dem Umfang, den Inhalten der Schulung und dem Aufwand richten. Eine Präsenzschulung ist in der Regel kostenintensiver als eine externe Onlineschulung. 

Eine Datenschutz-Onlineschulung, die die Grundlagen des Datenschutzes beleuchtet und Mitarbeitern hilft, ein Basiswissen zu den Aufgaben und Grundsätzen der DSGVO aufzubauen, kostet beispielsweise bei der Akademie des TÜV Rheinland 34,51 Euro pro Mitarbeiter. Im Gegensatz schlägt ein Seminar „Datenschutz und Homeoffice“ mit mehr als 650 Euro pro Person zu buche.  

Warum sind Datenschutzschulungen wichtig?

Datenschutzschulungen sind wichtig, um sicherzustellen, dass die Mitarbeiter eines Unternehmens die Gesetze und Vorschriften verstehen und die Richtlinien auch einhalten. Wenn Mitarbeiter die Datenschutzgesetze nicht verstehen, können sie die Vorschriften der DSGVO nicht einhalten und geben versehentlich personenbezogene Daten preis, was zu Verletzungen des Datenschutzes und Bußgeldern führen kann.

Was sind die Vorteile einer Datenschutzschulung?

Eine Datenschutzschulung bietet mehrere Vorteile, wie z.B.:

  • die Verringerung von Datenschutzverletzungen,
  • schnellere und korrekte Meldung von Datenschutzverletzungen,
  • Steigerung des Vertrauen von Kunden,
  • geringeres Risiko von Bußgeldern.