Erfüllen Sie Ihre Pflicht zur Schulung Ihrer Mitarbeiter gemäß DSGVO? Datenschutz-Schulung ist Pflicht des Arbeitgebers. Arbeitgeber haben gemäß Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht hinsichtlich des datenschutzkonformen Verhaltens der Mitarbeiter. Ohne regelmäßige Schulung zur DSGVO droht ein Bußgeld.

Was ist die europäische Datenschutzverordnung (DSGVO)?

Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung in Kraft. Diese Grundverordnung legt ein einheitliches Regelwerk für den Datenschutz fest, das in allen EU-Mitgliedsstaaten direkt anwendbar ist. Sie hat den Rechtscharakter einer Verordnung, d.h. sie muss nicht in nationale Gesetze umgesetzt werden.

Im Mittelpunkt dieser EU-Verordnung steht der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Datenschutz ist ein Grundrecht nach Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union. Darüber hinaus kommt in diesem Zusammenhang der Artikel 16 Abs. 1 des Vertrags über die Arbeitsweise der EU (AEUV) zum Tragen. Das Bundesdatenschutzgesetz (BDSG) beinhaltet weitere deutschlandspezifischen Datenschutzbestimmungen, die durch die Öffnungsklauseln der Datenschutzgrundverordnung möglich sind.

JuraForum.de-Tipp: Hier finden Sie die wichtigsten DSGVO-Vorlagen zusammengestellt, die Ihnen bei der Erarbeitung Ihres Datenschutzkonzeptes gemäß DSGVO / BDSG helfen: DSGVO Vorlagen / Muster erstellt vom Rechtsanwalt – Ihr Datenschutzkonzept von A bis Z zum Download

DSGVO Schulung der Mitarbeiter ist Pflicht des Arbeitgebers

Die Einhaltung der Datenschutzgrundverordnung in einem Unternehmen ist nur möglich, wenn sich alle Mitarbeiter datenschutzkonform verhalten.

Die Verpflichtung, Mitarbeiter im Datenschutz zu schulen, wird im Gesetz zwar nicht explizit erwähnt. Diese lässt sich jedoch aus den Bestimmungen der Verordnung ableiten und liegt in der Verantwortung des sog. Verantwortlichen. Im Falle eines Datenschutzverstoßes kann der Verantwortliche sogar persönlich haftbar gemacht werden, wenn er entsprechende Maßnahmen nicht ergriffen hat.

Die Bestimmungen der Grundverordnung gelten für alle Unternehmen, Institutionen und Verbände in der EU, unabhängig von Branche, Rechtsform oder Anzahl der Mitarbeiter.

JuraForum.de-Tipp: Das bedeutet, dass alle Unternehmen von der Verpflichtung betroffen sind, ihre Mitarbeiter im Datenschutz zu schulen.

Die Verpflichtung zur kontinuierlichen Schulung und Sensibilisierung auf den Datenschutz obliegt den Arbeitgebern/Verantwortlichen aufgrund der folgenden Bestimmungen:

  • Art. 5 Abs. 2 DSGVO - Rechenschaftspflicht und Nachweispflicht über das datenschutzkonforme Verhalten der Mitarbeiter
  • Art. 32 Abs. 1 - Verpflichtung zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Gewährleistung eines angemessenen Datenschutzniveaus
  • Art. 83 Abs. 5 - Gefahr von Bußgeldern bei Datenschutzverstößen, wenn Mitarbeiter nicht ausreichend über den Datenschutz belehrt wurden

Wer ist der Verantwortliche?

Die Definition des Verantwortlichen findet sich in den Begriffsbestimmungen der Datenschutz-Grundverordnung, Artikel 4 Absatz 7.

Der Verantwortliche ist die Person, die die Entscheidungen trifft und für diese Verantwortung trägt. Verantwortliche können sowohl natürliche als auch juristische Personen sein, d.h. auch Ämter und Behörden sowie andere Institutionen, die eigenständig über die Zwecke und Mittel der Datenverarbeitung entscheiden.

Der Verantwortliche im Sinne der Verordnung ist also der Akteur, der über das "Wie" und "Warum" der Verarbeitung personenbezogener Daten entscheidet. Ihm obliegen folgende Entscheidungen:

  • Welche Personendaten werden verarbeitet?
  • Wer sollte Zugriff auf diese Informationen haben (interne / externe Datenverarbeiter)?
  • Wie lange und in welcher Form sollen sie verarbeitet / gespeichert werden?
  • Wann werden sie gelöscht (im Sinne des Rechts auf „vergessen werden“)?
  • Wie wird die Datenverarbeitung durchgeführt (Hardware, Software, technische und organisatorische Fragen)?

Was droht im Falle eines Verstoßes?

Verstöße gegen den Datenschutz, die in der Regel von Mitarbeitern verursacht werden, können teuer für das Unternehmen werden. Das Bußgeld für Verstöße kann bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.

Die Aufsichtsbehörden können im Falle eines Datenschutzverstoßes Auskunft darüber verlangen, ob Schulungen zum Datenschutz regelmäßig stattfanden. Ist dies nicht der Fall oder kann entsprechende Schulung nicht nachgewiesen werden, kann das Unternehmen haftbar gemacht werden, dabei können Geschäftsführer oder Vorstandsmitglieder sogar persönlich haftbar gemacht werden.

Welche Mitarbeiter müssen an einer Datenschutzschulung teilnehmen?

Alle Mitarbeiter, soweit sie für die Datenverarbeitung in jeglicher Form zuständig sind, müssen die Grundsätze des Datenschutzes und des Datengeheimnisses rechtsverbindlich einhalten. Die Einhaltung des Datenschutzes im Unternehmen ist jedoch kaum möglich, wenn die Angestellten nicht ausreichend über den Datenschutz und die Anforderungen der DSGVO informiert sind. Daher ist es unerlässlich, diese regelmäßig für das Thema Datenschutz zu sensibilisieren und zu schulen.

Alle Mitarbeiter müssen wissen, was im Sinne des Datenschutzes erlaubt ist und was nicht. Dazu gehört ein Grundverständnis dafür, was personenbezogene Daten sind, welche Rechte die Betroffenen haben und welche Pflichten bei der Datenverarbeitung zu beachten sind. Deshalb sollten alle Personen, die mit Kunden-, Patienten-, Lieferantendaten etc. arbeiten oder intern Mitarbeiterdaten verarbeiten, regelmäßig eine Schulung absolvieren.

JuraForum.de-Tipp: Je nach Tätigkeit des Unternehmens und dem Umfang der Datenverarbeitung, d. h. bei besonders sensiblen Informationen und/oder umfangreicher Datenverarbeitung, muss ein Datenschutzbeauftragter bestellt werden. Darüber hinaus besteht eine Benennungspflicht ab einer Anzahl von 20 Mitarbeitern, die personenbezogene Daten verarbeiten. Der interne oder externe Datenschutzbeauftragte hat auch die Pflicht, die Mitarbeiter für den Datenschutz zu sensibilisieren, zu schulen und für datenschutzrechtliche Anfragen zur Verfügung zu stehen (Artikel 39 (1) DSGVO).

Wer ist mit "betroffene Person" gemeint?

Im Amtsdeutsch spricht man in diesem Zusammenhang vom sog. Datensubjekt. Die Definition der „betroffenen Person“ ist im Kapitel 1, Artikel 4(1) der DSGVO zu finden. Damit sind ausschließlich natürliche Personen gemeint. Eine juristische Person kann nicht "betroffene Person" im Sinne der Datenschutz-Grundverordnung sein. Im Umkehrschluss bedeutet dies, dass Daten von Behörden, Unternehmen, Institutionen, Vereinen etc. nicht dem Schutzmechanismus der Verordnung unterliegen.

Was sind personenbezogene Daten überhaupt?

Dabei handelt es sich um Informationen, die sich auf eine identifizierte oder identifizierbare (natürliche) Person beziehen. Die Identifikation oder Zuordnung dieser Person kann durch eine bestimmte Kennung erfolgen. Dazu zählen zum Beispiel: Namen, Identifikationsnummer, Standortdaten, Online-Kennungen, besondere persönliche Merkmale.

Die Verarbeitung besonderer Datenkategorien ist noch weiter eingeschränkt, wenn diese Personen durch ihre Herkunft, Zugehörigkeit oder Anschauung definieren. Dazu gehören:

  • rassische oder ethnische Herkunft
  • politische Besinnung
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • physische und psychische Gesundheit
  • sexuelle Orientierung / Sexualleben,
  • genetische und biometrische Merkmale

Der Umgang mit solchen Informationen ist besonders sensibel, da Datenschutzverletzungen den betroffenen Personen erheblichen Schaden zufügen können.

Was ist mit "Verarbeitung" gemeint?

Dieser Begriff umfasst das Erheben, das Erfassen, die Organisation, die Speicherung, die Veränderung, das Auslesen und das Abrufen von Daten, einschließlich der Offenlegung durch Übermittlung, Verbreitung und jede andere Form der Bereitstellung, des Abgleichs, der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung.

Die Datenschutzgrundverordnung gilt für die nicht automatisierte, teil- oder vollautomatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind und/oder in diesem verarbeitet werden können. Das bedeutet, dass die manuelle Verarbeitung genauso betroffen ist wie die digitale Speicherung.

Verantwortung der Mitarbeiter für den Datenschutz

Alle Mitarbeiter, die mit Datenverarbeitung zu tun haben, müssen die Grundsätze des Datenschutzes und des Datengeheimnisses rechtsverbindlich beachten. Grundsätzlich sind auch alle Arbeitnehmer zur Einhaltung der Verschwiegenheitspflicht und des Datengeheimnisses verpflichtet. Vor dem Abschluss einer entsprechenden Vereinbarung sollte eine Aufklärung erfolgen, die die Grundlagen des Datenschutzrechts vermittelt und die Mitarbeiter sensibilisiert. Diese Vereinbarung gilt auch nach Beendigung des Arbeitsverhältnisses weiter. Ein Verstoß gegen diese Bestimmung kann Gegenstand einer Schadensersatzklage sein.

Es ist zu beachten, dass die Datenschutzschulung nicht dazu dient, Mitarbeiter zu "Datenschutzexperten" auszubilden. Sie müssen jedoch für die Belange des Datenschutzes und der -sicherheit im Unternehmen sensibilisiert und in die Lage versetzt werden, sich bei der Wahrnehmung ihrer Aufgaben datenschutzkonform zu verhalten. Dazu gehört insbesondere ein verantwortungsvoller Umgang mit personenbezogenen Daten, sachgerechte Bearbeitung von Auskunfts- und Löschungs-Anfragen sowie eventuelle Meldung von Datenschutzverletzungen (sog. Datenpannen). Für Betriebsräte oder Mitarbeiter, die mit besonders sensiblen Informationen im Sinne des Artikels 9 DSGVO arbeiten, wie z. B. Gesundheitsdaten, kann eine spezielle Schulung erforderlich sein.

Datenschutzkenntnisse beugen nicht nur Datenpannen vor. Ein weiterer Vorteil ist, dass sie den Mitarbeitern mehr Sicherheit in dem täglichen Umgang mit Kunden und Geschäftspartnern geben, ihre Souveränität und Kompetenz erhöhen und Vertrauen wecken.

DSGVO Mitarbeiterschulung online oder Präsenzschulung?

Eine Datenschutzschulung ist von qualifizierten Personen (z.B. Datenschutzbeauftragter oder Rechtsanwalt) durchzuführen. Die Verordnung definiert jedoch keine Anforderungen oder Vorgaben bezüglich der Form, der Dauer und des Inhalts der Schulung. So können die Lerninhalte in Form einer Präsenzveranstaltung (Seminar, Workshop, Training) mit einem Vortrag oder einer PowerPoint-Präsentation, als schriftliche Unterweisung oder als eLearning, z.B. als Online-Webinar oder auf einer eLearning-Plattform, erfolgen.

Online-Schulungen bzw. e-Learning haben viele Vorteile. Dazu zählt in erster Linie die Flexibilität. Die Schulung kann für jedem Mitarbeiter individuell an seinem eigenen Endgerät durchgeführt werden, unabhängig von Zeit und Ort. Lernzeit, Lernabschnitte und Wiederholungen von Lerninhalten können von den Teilnehmern individuell gestaltet werden, um das optimale Lernen zu ermöglichen. Die Koordination von Terminen, und ggf. Nachholterminen wegen Krankheit oder Urlaub, sowie räumliche Engpässe, die bei Präsenzveranstaltungen oft zu Problemen werden, lassen sich beim Online-Training/Learning leicht vermeiden.

Wann und wie oft sollten Mitarbeiter geschult werden?

Datenschutzschulungen für Mitarbeiter sollten immer vor der erstmaligen Aufnahme von Datenverarbeitungstätigkeiten stattfinden, beispielsweise als Einführung bei der Einstellung bzw. Einarbeitung neuer Mitarbeiter oder vor der Übernahme neuer Aufgaben.

Es wird empfohlen - auch wenn es dazu keine explizite gesetzliche Verpflichtung gibt - die datenschutzrechtliche Schulung mindestens jährlich zu wiederholen. Dadurch werden der Lernerfolg und die Sensibilisierung der Mitarbeiter auf die Datensicherheit in ihrer täglichen Arbeit gefördert.

Bei neuen Datenschutzregelungen oder betrieblichen Veränderungen sollte eine erneute Datenschutzschulung unbedingt vorgezogen werden.

Dokumentationspflicht des Arbeitgebers

Die Dokumentationspflicht ist im Datenschutz von großer Bedeutung. Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze jederzeit verbindlich nachweisen können, auch im Hinblick auf die Schulungspflicht.

Aus Haftungsgründen sollte die Durchführung von Schulungen und Unterweisungen immer gut dokumentiert werden. Schulungsprotokolle, unterzeichnete Teilnehmerliste oder ein Zertifikat / eine Bescheinigung über die Teilnahme an einer Onlineschulung helfen, die Dokumentationspflicht zu erfüllen. Ein Nachweis über eine Lernkontrolle bzw. eine Bewertung des Lernerfolg eines Teilnehmers durch einen Test oder eine Prüfung sind für die Erfüllung der Schulungspflicht bzw. ihre Dokumentation nicht erforderlich.

Zu beachten ist, dass jeder Arbeitnehmer auch eine Erklärung zum Datenschutz und eine Verpflichtung auf die Vertraulichkeit unterschreiben sollte. Diese sind auch zwecks Dokumentation entsprechend aufzubewahren.

DSGVO Mitarbeiterschulung: Kostenloses Skript als pdf-Download

Hier können Sie ein Skript zum Thema DSGVO Schulung für Mitarbeiter als pdf-Datei (50 Seiten) KOSTENLOS herunterladen! Das Skript beinhaltet ausführliche Erläuterung in Textform zu Inhalten rundum das Thema Datenschutz und Datenschutzgrundverordnung.

Rechtlicher Hinweis zum Skript: Bei dem kostenlosen Skript handelt es sich um ein unverbindliches Textmaterial zu unserem Ratgeber. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte wird keine Gewähr übernommen. Es ist nicht auszuschließen, dass das abrufbare Skript nicht den zurzeit gültigen Gesetzen oder der aktuellen Rechtsprechung genügen. Die Nutzung erfolgt daher auf eigene Gefahr. Das unverbindliche Skript solle vor der Verwendung durch einen Datenschutzbeauftragten oder einen Rechtsanwalt überprüft und dem Einzelfall angepasst werden.