Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Abrechnungspraxis /// Datenschutz : Sind Ihre Kollegen schon im Datenschutz geschult worden?

Die Datenschutz-Grundverordnung (DS-GVO) ist seit dem 25. Mai 2018 wirksam. Zahlreiche Änderungen wurden in den betrieblichen Alltag umgesetzt. Rechtsgrundlagen, die ausnahmsweise die Datenverarbeitung für die einzelnen Prozesse erlauben, wollten ermittelt werden.

Dr. Niels LepperhoffDatenschutzMagazin
Lesezeit 7 Min.

Die Datenschutz-Grundverordnung (DS-GVO) ist seit dem 25. Mai 2018 wirksam. Zahlreiche Änderungen wurden in den betrieblichen Alltag umgesetzt. Rechtsgrundlagen, die ausnahmsweise die Datenverarbeitung für die einzelnen Prozesse erlauben, wollten ermittelt werden. Informationen über die Datenverarbeitung mussten erstellt und an Kunden, Bewerber, Mitarbeiter, freie Mitarbeiter, Lieferanten, Webseitenbesucher, Zeugen u. v. m. verteilt werden. In diesem Zusammenhang ließ sich die seit 1995 – oder bei jüngeren Unternehmen seit Gründung – aufgeschobene Übung, die Löschfristen für alle Daten zu bestimmen, nicht mehr länger aufschieben. Die Fristen sind in den Informationspflichten zu nennen. Fast schon vergessen ist der hohe Aufwand, mit allen Dienstleistern im Rahmen einer Auftragsverarbeitung neue Verträge zu vereinbaren.

Es waren sehr viele Veränderungen für Unternehmen und Behörden. Durch die öffentliche Berichterstattung sowie diese Veränderungen sind Mitarbeiter aufgeschreckt und verunsichert worden. Die Verunsicherung zeigt sich in zahlreichen Fragen, die den Geschäftsleitungen und Datenschutzbeauftragten von Unternehmen sowie Behörden gestellt werden. Das bekannte Mittel gegen Verunsicherung lautet Schulung. Eine Datenschutzschulung für Mitarbeiter ist dringend erforderlich. Nebenbei wird auch die gesetzliche Verpflichtung zur Schulung umgesetzt.

Was schulen?

Ein erster Reflex ist, die Datenschutzschulung als ein altes Thema zu betrachten, das wir bereits aus der Zeit vor der DS-GVO kennen. Das ist richtig und trifft doch die heutige Situation nicht ganz. Rückblickend kommt Datenschutz vor der DS-GVO einfach und relativ statisch vor. Das Empfinden ist heute ein anderes. Weil die DS-GVO auf der einen Seite weniger Detailregelungen enthält, bietet sie mehr Raum für Experimente. Anstatt sich an den gesetzlichen Regelungen abarbeiten zu können, müssen eigene Lösungen entwickelt werden. Das ist aufwändiger und mit dem Gefühl der Unsicherheit behaftet: „Mache ich das auch richtig?“

Auf der anderen Seite greift die DS-GVO viel tiefer in die betrieblichen Abläufe ein als das alte Datenschutzrecht. Teilweise mit detaillierten Regelungen. Auf diese Vorgaben muss sich eine Organisation einstellen. Einstellen meint nicht nur das Anpassen von Prozessen und Dokumentation, sondern auch in der Einstellung und dem Wissen der Mitarbeiter.

Im alten Datenschutzrecht ließ sich die Aufgabenteilung dadurch gestalten, Datenschutzkenntnisse mehr oder weniger ausschließlich beim Datenschutzbeauftragten anzusiedeln. Das erlaubt die DS-GVO nicht mehr. Vielmehr weist sie jeder Führungskraft bspw. die Aufgabe zu, die Rechtmäßigkeit der Datenverarbeitung im Verantwortungsbereich sicherzustellen. Eine Führungskraft muss sich folglich mit den Rechtsgrundlagen, Zwecken, Löschfristen, Zugriffsrechten und Wirksamkeitstests auseinandersetzen. Das geht nicht ohne Datenschutzkenntnisse.

Durch eine zunehmende Rechtsprechung zum Datenschutz entwickelt sich das Recht permanent weiter. Häufigere Anpassungen sind für Unternehmen die Folge. Anders ausgedrückt: „Datenschutz lässt sich nicht fertigstellen.“

Einer Datenschutzschulung kommen in diesem Kontext zwei wesentliche Aufgaben zu:

  • Erläuterung der Datenschutzprinzipien und
  • Darstellung der eigenen Verantwortung

Eine Kenntnis von Datenschutzprinzipien befähigt Mitarbeiter, Sachverhalte selbst zu beurteilen. Es geht hier nicht um eine juristische Beurteilung, sondern um eine erste Einschätzung: Was ist erlaubt, was nicht? Welche Aktivitäten sind auf jeden Fall durchzuführen? Die datenschutzrechtliche Beurteilung im Detail bleibt weiterhin dem Datenschutzbeauftragten vorbehalten. Eine Reduktion auf Prinzipien lässt sich auch für juristisch nicht geschulte Mitarbeiter, das sind im Regelfall fast alle, einfacher verstehen und anwenden.

Welche Prinzipien für ein Unternehmen oder eine Behörde wichtig sind, hängt vom Tätigkeitsfeld ab. Als Grundset gehören regelmäßig dazu:

  • Für jedes Datum muss mindestens ein Zweck vorhanden sein.
  • Jeder Prozessschritt braucht eine Rechtsgrundlage, d. h. Einwilligung, Vertrag mit der betroffenen Person, gesetzliche Erlaubnis oder Anordnung oder eine Interessenabwägung. Die einzelnen Rechtsgrundlagen sollten verstanden werden.
  • Für jedes Datum ist eine Löschfrist zu bestimmen.
  • Die Frage, welche Rechte betroffene Personen haben und wie diese umzusetzen sind.
  • Die Frage, was eine Auftragsverarbeitung ist.

Welche zusätzlichen Inhalte von Bedeutung sind, hängt von der Zielgruppe ab. Bei einem Geschäftsführer stehen eventuell die Aspekte Rechtmäßigkeit und Rechenschaft im Zentrum. Die Mitarbeiter der Marketingabteilung brauchen vielleicht hingegen auch eine Einführung in die Informationspflichten nach Art. 13 und 14 DS-GVO und in die Besonderheiten der werblichen Ansprache nach § 7 UWG.

Wie schulen?

Grundsätzlich eignen sich alle bekannten Formen wie

  • Merkblätter,
  • Präsenzschulungen oder
  • Web Based Training (E-Learning).

Welche Form effektiv und effizient ist, hängt davon ab, was die Zielgruppe lernen soll. Merkblätter helfen, kurze und einfache Sachverhalte zu erläutern. Sie sind schnell verteilt. Auf der anderen Seite lässt sich nicht kontrollieren, ob Merkblätter gelesen und verstanden werden.

Präsenzschulungen sind durch die Möglichkeit der direkten Interaktion zwischen Dozent und Teilnehmer intensiver. Es kann unmittelbar auf konkrete Fragen eingegangen werden. Durch den Aufwand skalieren Präsenzschulungen schlecht. Es bietet sich an, diese primär für Führungskräfte oder Stellen mit vielen personenbezogenen Daten einzusetzen. Ein Test lässt sich im Anschluss einbauen.

Web Based Training erlaubt zeitsparend und kostengünstig Wissensinhalte zu vermitteln. Durch seine Modularität wird eine differenziertere Wissensvermittlung möglich. Ein Abschlusstest lässt sich integrieren und automatisch auswerten.

Welche Erfahrungen hat FKC als Anbieter von Web Based Training hinsichtlich Datenschutzschulungen gemacht?

Wir haben grundsätzlich ein sehr positives Feedback. In den meisten Fällen haben wir unsere extern geprüfte Standard-Datenschutzschulung auf die Bedürfnisse des Kunden angepasst. Dies betrifft Layout, Bilderwelt und natürlich auch datenschutzspezifische Details beim jeweiligen Unternehmen.

Welche Herausforderungen unterscheiden Datenschutzschulungen von anderen Trainings?

Datenschutz ist nicht unbedingt ein Thema, das die Lernenden begeistert. Es gilt hier, Awareness zu schaffen und den Mitarbeitern den Nutzen beim korrekten Umgang mit den neuen Richtlinien aufzuzeigen.

Was macht FKC, um Teilnehmer für das „trockene“ Thema Datenschutz zu interessieren?

Unser didaktisch methodisches Konzept basiert auf dem Drei-Phasen-Prinzip: In Schritt 1 „Informieren“ erhält der Lernende selektive Informationen (z. B. in Form von Praxisbeispielen) und Argumente für den Nutzen des Lerninhalts. In Schritt 2 „Aktivieren“ setzt sich der Nutzer durch anwendungsorientierte Interkationen aktiv mit den Lerninhalten auseinander. Und in Schritt 3 „Kontrollieren“ geben Testaufgaben mit entsprechenden Feedbacks Auskunft über das erreichte Lernziel. Die ständige Interaktion mit dem Lernenden stellt dabei sicher, dass ein hoher Aufmerksamkeitsgrad, trotz des „trockenen“ Themas, erhalten bleibt.

FKC bietet ein standardisiertes Trainingsmodul an. Wie muss man sich das vorstellen?

Unser Standardmodul haben wir in Zusammenarbeit mit Herrn Dr. Lepperhoff von der Xamit Bewertungsgesellschaft mbH erarbeitet. Somit können sich unsere Kunden auf die inhaltliche Richtigkeit im Rahmen der neuen DS-GVO verlassen. Das Modul ist also ohne Bedenken direkt einsetzbar. Jedoch empfehlen wir – wie schon anfangs erwähnt – aus Akzeptanz- und Awareness Gründen, das Modul auf das jeweilige Unternehmen maßgeschneidert anzupassen.

Was ist das Besondere an dem Trainingsmodul?

Das Modul ist im Internet über den Webbrowser jederzeit verfügbar. Damit können die Lernenden sowohl Schulungszeitpunkt als auch Lerngeschwindigkeit und Lerntiefe selbst bestimmen. Eine separate Administrationsebene ermöglicht dem Schulungsverantwortlichen ein detailliertes Controlling der Zielgruppe. Eine Dokumentation ist zusätzlich über einen Anschlusstest inkl. Zertifikatsausdruck möglich.

Können Interessenten das Modul testen?

Gerne: Eine kurze Mail an h.mais@fkconline.com genügt und wir stellen einen Demozugang zum Lernprogramm bereit.

Porträt eines lächelnden Mannes mittleren Alters mit kurzen grauen Haaren, der ein weißes Hemd und einen schwarzen Blazer trägt und Professionalität und Selbstvertrauen ausstrahlt. Der schlichte weiße Hintergrund verleiht einen Hauch von Einfachheit, ähnlich der Klarheit, die in robusten Datenschutzpraktiken zu finden ist.
Dipl.-Ing. Harald Mais

Wir sprachen mit Dipl.-Ing. Harald Mais, Gründungsmitglied und Mitglied der Geschäftsführung von Fischer, Knoblauch Co. Medienproduktionsgesellschaft (FFM) mbH.

 

Woher die Inhalte beziehen?

„Kennen Sie günstige Schulungsmaterialien?“, werde ich häufig gefragt. Interessant ist, dass der Preis häufig an erster Stelle steht und weder Inhalt noch Qualität. Eine Konzentration auf den Preis impliziert, dass alle Schulungen inhaltlich und qualitativ gleichwertig sind. Das lässt sich für Datenschutzschulungen so in der Praxis nicht bestätigen.

Schulungen dienen dem Ziel, Mitarbeiter zu befähigen, Datenschutzrecht selbstständig einzuhalten. Gut ausgebildete Mitarbeiter vermeiden Bußgeld- und Haftungsrisiken und stellen weniger Fragen an den Datenschutzbeauftragten. Deshalb sollte zuerst geprüft werden, ob die Inhalte für die Zielgruppe von Relevanz sind und die Wissensdefizite auch adressieren. In einem zweiten Schritt wäre zu prüfen, ob die Schulung zu den Tätigkeiten und zum Erfahrungshorizont der Zielgruppe passt. Erst im dritten Schritt käme der Preisvergleich.

Um nicht die Inhalte verschiedener Schulungen im Detail prüfen zu müssen, kann als Indiz für deren Richtigkeit auch auf den Autor abgestellt werden. Denkbare Prüffragen sind:

  • Besitzt der Autor eine Historie in der Vermittlung von Datenschutzrecht?
  • Hat er auch vor der DS-GVO zu Datenschutzthemen publiziert, d. h. hat er Erfahrung?
  • Kommt er aus der betrieblichen Praxis?

Dr. Niels Lepperhoff
Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.