Datenschutz: Warum muss ich meine Beschäftigten schulen?
Zum einen, weil die Datenschutzgrundverordnung (DSGVO) Schulungen im Datenschutz zur Pflicht macht. Diese Pflicht leitet sich zunächst ab aus Art. 39 der DSGVO: Hier werden die Sensibilisierung und Schulung der Beschäftigten und die diesbezügliche Überprüfung als einer der Pflichtaufgaben des Datenschutzbeauftragten genannt. Aber auch, wenn Ihr Unternehmen keinen Datenschutzbeauftragten bestellen muss, sind Schulungen Pflicht: Nach Artikel 32 Abs. 1 der DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Und diese Sicherheit lässt sich nur erreichen, wenn die Beschäftigten im Umgang mit personenbezogenen Daten entsprechend geschult sind.
Vor allem aber sollten Sie Ihre Beschäftigten regelmäßig in Sachen Datenschutz schulen, weil es Sinn macht: Die eigenen Beschäftigten sind die größte Gefahrenquelle für die Sicherheit der Daten im Unternehmen. Und das nicht aus Bösartigkeit oder mit Absicht, sondern schlicht, weil das nötige Wissen fehlt. Geschulte und sensibilisierte Beschäftigte haben ein größeres Bewusstsein für datenschutzrelevante Vorgänge im Unternehmen und reagieren daher auch sensibler bei Unregelmäßigkeiten. Gut geschulte Beschäftigte sind der beste Schutz gegen Datenpannen und Cyberangriffe. Und das macht sich auch finanziell bemerkbar.
Und nicht zu vergessen: Nur, wenn Beschäftige wissen, was im Falle einer Datenpanne oder mit einem Antrag auf Auskunft, der auf dem Schreibtisch gelandet ist, zu tun ist, kann das Unternehmen seinen Pflichten entsprechend nachkommen.
Schulungen helfen Ihnen auch in Bezug auf diverse Zertifizierungen, in denen Datenschutz Bestandteil der Zertifizierung ist, wie zum Beispiel die ISO 27001. Und auch die neue EU -Richtlinie zur Unternehmens-Nachhaltigkeitsberichterstattung (CSRD), die für zunehmend mehr Unternehmen verpflichtend ist, enthält einen Bereich zum Thema Datenschutz. Hier können Sie mit regelmäßigen Schulungen punkten.
Inhalte einer Datenschutzschulung
Generell: Passen Sie die Inhalte der Schulung auf die Bedürfnisse im Unternehmen an: Die meisten Beschäftigten arbeiten im Homeoffice? Dann sollte der Datenschutz im Homeoffice ein Schwerpunkt der Schulung sein. Sie hatten eine Datenpanne, weil ein Beschäftigter auf einen Link in einer Phishing-E-Mail geklickt hat? Dann gehört Cyberkriminalität auf die Agenda der Schulung.
Allgemeine Inhalte einer Grundschulung sollten sein:
- Rechtlicher Rahmen und wesentliche Begriffe des Datenschutzes
- Grundlagen der Datenverarbeitung
- Die Betroffenenrechte
- Do‘s and Dont’s im Datenschutz
- Verhalten bei Datenschutzverletzungen
- Datenschutzrichtlinie des Unternehmens
Eine ideale Ergänzung zu Schulungen können Phishing-Simulationen sein: Es werden simulierte Phishing-Mails an die Beschäftigten geschickt, um sie an konkreten Beispielen weiter zu schulen und zu sensibilisieren. Wir unterstützen Sie gerne mit einer entsprechenden Kampagne.
Eine attraktive Schulung braucht gleich viel Zeit wie eine langweilige Unterweisung – aber das Ergebnis ist anders
Wir hören oft, dass Datenschutzschulungen langweilig sind. Ja, sind sie – wenn die Schulung daraus besteht, dass Gesetzestexte in viel zu kleiner Schrift auf PowerPoint-Folien gezeigt und vorgelesen werden. Aber es ist keine Zauberei, eine Datenschutzschulung interessant und informativ zu gestalten. Hier ein paar Tipps:
- Arbeiten Sie mit konkreten Beispielen aus Ihrem Unternehmen.
- Beteiligen Sie die Schulungsteilnehmer: Lassen Sie z.B. die Teilnehmer erarbeiten, was im Umgang mit personenbezogenen Daten im Alltag zu beachten ist.
- Zeigen Sie kurze, humorvolle Videos
- Mit Humor lernt sich leichter: Es gibt viele Cartoons zum Thema Datenschutz, die mit einem Blick Denkanstöße geben und sensibilisieren.
- Weniger ist mehr: Niemand muss alle 99 Artikel der DSGVO kennen.
- Überprüfen Sie den Lernerfolg mit Hilfe eines Quiz – das macht Spaß und erhöht die Aufmerksamkeit.
Wir sind zugegeben Fan von Schulungen in Präsenz, aber auch Onlineschulungen oder auch E-Learnings können ihren Zweck erfüllen, wobei letztere den Nachteil haben, dass sie nur schwer auf Ihr Unternehmen angepasst werden können, oder einfach nur „unaufmerksam durchgeklickt“ werden.
Wen sollte ich schulen?
Generell sollten Sie alle Beschäftigten im Unternehmen, die mit personenbezogenen Daten zu tun haben, regelmäßig schulen. Das sind zumindest alle Beschäftigten im kaufmännischen Bereich (beispielsweise Verwaltung, Personal, Buchhaltung, Marketing, Vertrieb), alle Führungskräfte sowie der Betriebsrat. Beschäftigte in der Gärtnerei oder in der Gastronomie oder Handwerker müssen eventuell nicht geschult werden, wenn sie nicht mit personenbezogenen Daten arbeiten. Im Zweifel ist es sinnvoll, zu viele, statt zu wenige Beschäftigte zu den Schulungen einzuladen. Die Teilnahme an den Schulungen sollte verpflichtend sein.
Die Beschäftigten, die mit besonders vielen und sensiblen Daten arbeiten, sollten vertiefende Schulungen erhalten. Hierzu gehören auf jeden Fall der Personalbereich, die IT und der Betriebsrat, sowie alle Führungskräfte.
Wie oft sollte ich schulen?
In der Regel heißt es, Datenschutzschulungen sollten jährlich erfolgen. Sinnvoll kann es aber auch sein, öfter, und dafür kürzer zu schulen. So könnten Sie zum Beispiel den Datenschutz auf die Agenda setzen, wenn Sie regelmäßige Mitarbeiterversammlungen durchführen: ein 10 Minuten Datenschutz-Blitzlicht, in dem jedes Mal ein anderes Thema besprochen wird.
Dokumentieren Sie die Schulungsteilnahmen, damit Sie einen entsprechenden Nachweis haben. Wir wissen, dass die Behörden im Falle von Datenschutzverletzungen unter anderem auch die Schulungsnachweise anfragen.
Und jetzt auch noch KI
Zum 2.2.2025 sind weitere Teile der KI-Verordnung in Kraft getreten. Hier vor allem Art. 4 KI-VO, der fordert, dass Betreiber (also Nutzer) von KI-Systemen sicherstellen müssen, dass die Beschäftigten über eine entsprechende KI-Kompetenz verfügen.
KI-Kompetenz ist die Fähigkeit, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.
Daraus ergeben sich die folgenden Schulungsinhalte:
- Technisches Wissen: grundlegende Funktionsweisen von KI-Systemen, maschinelles Lernen und Algorithmen
- Bewusstsein für Chancen und Risiken: KI bietet zahlreiche Vorteile, wie Effizienzsteigerungen und verbesserte Entscheidungsprozesse. Gleichzeitig sollten Nutzende Risiken wie Datenschutzprobleme, Verzerrungen (Bias) und Sicherheitslücken erkennen können, um diesen aktiv vorzubeugen.
- Rechtliches und ethisches Verständnis: Nutzende müssen über die rechtlichen Vorgaben informiert sein und die ethischen Standards der EU verstehen, um KI verantwortungsvoll zu nutzen. Hierzu zählen insbesondere der Datenschutz, Diskriminierungsvermeidung und die Verpflichtung zur Transparenz und Dokumentation.
Sollten Sie KI-Systeme wie beispielsweise Chat GPT oder ähnliche im Unternehmen einsetzen, haben Sie die Pflicht, die Beschäftigten, die mit diesen Systemen arbeiten, entsprechend schulen.
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Herzlichen Dank, dass Sie unseren Newsletter lesen.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!