Ihr Datenschutz­konzept
Innovativ. Individuell.
 


Was verlangt die DSGVO?




Die DSGVO bestimmt, wie personenbezogene Daten erhoben und verarbeitet werden dürfen (Abs. 1, Art. 5 DSGVO).


Der Verantwortliche für den Datenschutz muss für die Einhaltung der Regeln sorgen. Die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben ist ohne ein datenschutzkonformes Verhalten der Mitarbeiter nicht zu erreichen. Damit zählt das aktive und nachweisbare Bemühen der Geschäftsführung um das datenschutzkonforme Verhalten der Mitarbeiter unmittelbar zu den Nachweispflichten des Verantwortlichen (Abs. 2, Art. 5 DSGVO).






Was droht bei einem Verstoß?



Wenn es zu einem Datenschutzverstoß kommen sollte und eine angemessene Schulung der Mitarbeiter nicht erfolgte oder nicht nachweisbar ist, besteht unmittelbar die Gefahr eines Bußgeldes. Nach Art. 83, Abs. 5 DSGVO drohen bei einem solchen Verstoß gegen die Grundsätze der Verarbeitung Geldbußen von bis zu 20 Mio. € beziehungsweise bis zu 4% des Jahresumsatzes.
Geschäftsführer können im Falle einer nicht nachweisbaren Mitarbeiter­schulung bei einem Datenschutz-Bußgeld auch persönlich haftbar gemacht werden. Dieses Risiko wird oft unterschätzt. Hierzu zählen nicht nur das Risiko, für Bußgelder in Regress genommen zu werden, sondern auch die Gefahr, einen großen Teil der Kosten für Rechtsvertretung in einem eventuellen zivilrechtlichen oder strafrechtlichen Verfahren oder einem Bußgeldverfahren selber tragen zu müssen.

Wenn Verstöße gegen das Datenschutzrecht dazu führen, dass das IT-System einer Firma als nicht mehr State-Of-The-Art oder Up-To-Date einzuschätzen ist, kann das im Extremfall sogar zu einem Wegfall des Versicherungsschutzes führen.


Im Interesse des Unternehmens und zur Vermeidung einer persönlichen Haftung ist es also dringend geboten, eine aktuelle, auf die neue Rechtslage angepasste Datenschutzschulung für alle Mitarbeiter durchzuführen und sie auch auf Ebene des einzelnen Teilnehmers zu dokumentieren.






Auswirkungen der Datenschutz-Kenntnisse auf die IT-Sicherheit!




Die Schulung von Mitarbeitern im Datenschutz dient nicht allein der Einhaltung der DSGVO-Vorgaben. Wenn Mitarbeiter im Datenschutz geschult sind, verbessert das auch die IT-Sicherheit. Der Datenschutzbeauftragte allein kann kaum für datenschutzkonforme Prozesse sorgen. Ob aus Unwissen oder Bequemlichkeit: Wenn Mitarbeiter mit personenbezogenen Daten zu tun haben, können sich leicht Prozesse einstellen, die zu Datenschutzpannen führen. Der externe oder betriebliche Datenschutzbeauftragte wird zwar entgegensteuern, hat aber nicht die praktische Endverantwortung für alle Prozesse im Betrieb, die datenschutzrechtlich relevant sind. Der Datenschutzbeauftragte kennt die rechtlichen Vorgaben, weiß aber nicht, wie die Prozesse von den Mitarbeitern in der Praxis gestaltet werden.






Was sollten die Mitarbeiter wissen?

 

In einer Mitarbeiterschulung sollten folgende Kernthemen vermittelt werden:



Grundlagen zu personenbezogenen Daten und dem Schutzniveau


die wichtigsten Neuerungen der DSGVO im direkten Vergleich zur vorherigen Gesetzgebung


ein Bewusstsein für Arbeitssituationen, in denen Datenschutz  relevant ist


Sensibilisierung für Datenschutz im Berufsalltag

Arbeitsvertragliche Pflichten, berufsrechtliche Pflichten, Strafvorschriften


Datenschutzkonformes Verhalten auch außerhalb der Dienstzeiten


Grundregeln zum Datenschutz am Arbeitsplatz und bei der IT-Nutzung







Auch der tägliche Umgang mit den IT-Systemen sollte datenschutz­freundlich gestaltet werden. Alle zuständigen Mitarbeiter sollten mit Fokus auf Datenschutz eingewiesen werden, aber auch die übrigen Mitarbeiter sollten explizit geschult werden. Schließlich muss für den Fall vorgesorgt sein, dass Mitarbeiter fehlen, zum Beispiel wegen Erkrankung, Urlaub oder Fortbildung.


Die Mitarbeiter sollten nicht nur einmalig geschult werden. Der Kenntnisstand der Mitarbeiter muss laufend an aktuelle gesetzliche Entwicklungen angepasst werden. Dabei sollte die Schulung die Auswirkungen im konkreten Arbeitsalltag der Mitarbeiter ansprechen.

Nur die laufende Schulung der Mitarbeiter sichert den Wissensstand im Unternehmen und gibt dem Unternehmen den größtmöglichen Schutz vor Datenpannen.

Die Datenschutz-Sensibilisierung kann auch von externen Dienstleistern durch Präsenz- oder Onlineschulungen erreicht werden. Das erleichtert nicht nur die Umsetzung der DSGVO sondern auch die Dokumentation dieser Maßnahme für den Nachweis gegenüber den Behörden. Der Lerneffekt ist natürlich höher, wenn die Teilnehmer dabei ihre persönlichen Fragen beantwortet bekommen.