Datenschutzschulung für Beschäftigte

Wir möchten Ihnen das Thema „Mitarbeiterschulung im Datenschutzrecht“ in Erinnerung rufen.

Müssen alle Mitarbeiter eines Unternehmen eine Datenschutzschulung erhalten?

Nach den datenschutzrechtlichen Regelungen müssen alle Mitarbeiter eines Unternehmens eine datenschutzrechtliche Schulung erhalten. Dies ist wird aus verschiedenen Regelungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) abgeleitet.

Warum ist eine Datenschutzschulung für ein Unternehmen sinnvoll?

Der wichtigste Grund ist, dass sich die Mitarbeiter nur dann an das Datenschutzrecht halten können, wenn sie die rechtlichen Vorschriften und Regeln kennen. Dieses datenschutzrechtliche Wissen wird den Mitarbeitern in der Datenschutzschulung vermittelt.

Ein weiterer Grund ist, dass durch eine Datenschutzschulung viele Vorbehalte und Vorurteile gegenüber dem Datenschutzrecht beseitigt werden.

Wer muss die Datenschutzschulung durchführen?

Die datenschutzrechtliche Schulung muss der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO durchführen. Es ist also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, dazu verpflichtet, die Datenschutzschulung zu veranlassen.

Also häufig das Unternehmen, der Unternehmer, der Arbeitgeber.

Der Verantwortliche muss auch sicherstellen, dass eine datenschutzrechtliche Schulung durchgeführt wird. Es ist ausdrücklich nicht die Aufgabe und Pflicht des Datenschutzbeauftragten eines Unternehmens, eine Datenschutzschulung im Unternehmen zu veranlassen und/oder durchzuführen. Es war sogar lange umstritten, ob der Datenschutzbeauftragte eines Unternehmens überhaupt eine Datenschutzschulung durchführen darf. Diese Rechtsfrage ist jedoch mittlerweile geklärt.

Für den Verantwortlichen können ein externer Dienstleister, der datenschutzrechtliche Berater und auch der externe Datenschutzbeauftragte die Datenschutzschulungen durchführen.

Der Verantwortliche muss die Schulung aber veranlassen und beauftragen.

Kurzum: Das Unternehmen/der Unternehmer/der Arbeitgeber müssen die Datenschutzschulung(en) veranlassen und durchführen (lassen).

Wann muss eine Datenschutzschulung erfolgen?

Grundsätzlich muss jeder Mitarbeiter in einem Unternehmen datenschutzrechtlich geschult werden. Immer dann, wenn ein neuer Mitarbeiter seine Tätigkeit im Unternehmen aufnimmt, muss eine allgemeine Schulung/Basisschulung des Mitarbeiters erfolgen. Die Durchführung der Schulung sollte in der Personalakte notiert werden.

Wie oft muss eine Datenschutzschulung im Unternehmen erfolgen?

Es sollten regelmäßige Updates und Nachschulungen aller Mitarbeiter erfolgen. Zwischen den Schulungen sollte ein Zeitraum zwischen 6 Monaten und einem Jahr gewählt werden. Es sollte auch ein risikobasierter Ansatz gewählt werden. Sensible Abteilungen, wie zum Beispiel die Personalabteilung, das Marketing, die IT-Abteilung, der Einkauf und der Vertrieb sollten häufiger geschult werden, da in diesen Abteilungen teilweise mit sensiblen personenbezogenen Daten umgegangen wird.

Andere Abteilungen, die im geringeren Umfang mit personenbezogenen Daten umgehen oder keine sensiblen Daten verarbeiten, müssen nicht so häufig geschult werden.

Welchen Inhalt muss eine Datenschutzschulung haben?

Die Schulung muss den Datenschutz im Unternehmen zum Gegenstand haben.

Ihre Mitarbeiter müssen dahingehend sensibilisiert werden, welche personenbezogenen Daten im Unternehmen verarbeitet werden, welche Datenverarbeitung zulässig ist, welche nicht und wie mit Datenschutzverstößen umzugehen ist.

Je nach Abteilung, können, sollten und müssen teilweise auch noch spezielle Inhalte geschult werden. So sollten z.B. die Mitarbeiter der Personalabteilung speziell zu Fragen des  Beschäftigtendatenschutzes geschult werden.

Welchen Umfang muss eine Datenschutzschulung haben?

Der Umfang der Datenschutzschulung ist nicht gesetzlich geregelt.

Erforderlich ist mindestens eine „Basisschulung“. Die Mitarbeiter sollen für den Umgang mit personenbezogenen Daten sensibilisiert werden. Es ist daher zu empfehlen, dass zunächst eine Grundschulung durchgeführt wird mit einem Zeitumfang von 30 Minuten bis 1 Stunde. Anschließend sollten die Mitarbeiter noch die Möglichkeit haben ihre Fragen zu stellen.

Wie muss geschult werden?

Es gibt keine gesetzliche Vorgabe, wie geschult werden muss.

Die Schulung kann als Präsenzschulung vor Ort stattfinden, über eine Softwarelösung erfolgen oder über eine Videoplattform mit Präsentation.

Wir selbst haben bereits datenschutzrechtliche Schulungen bei unseren Mandanten in jeder Form durchgeführt. In Anbetracht der aktuellen Corona-Situation führen wir die meisten Schulungen derzeit über Videosysteme mit entsprechenden Online-Präsentationen durch.

Haben Sie und/oder Ihr Unternehmen Schulungsbedarf?

Gerne führen wir für Sie die Datenschutzschulungen (Basis- und/oder Updateschulungen) Ihrer Mitarbeiter durch.

Sie entscheiden, in welcher Form geschult werden soll (Präsenz- oder Onlineschulung). Die Schulungsinhalte stimmen wir mit Ihnen ab, je nachdem, ob der gesamte Betrieb oder  einzelne Abteilungen geschult werden sollen. In dieser Frage beraten wir Sie gerne.

Bewährt hat sich bei kleineren Unternehmen eine gemeinsame Schulung aller Mitarbeiter und bei größeren Unternehmen separate Schulungen für die Mitarbeiter der einzelnen Abteilungen.

Bei Fragen und Schulungsbedarf in Ihrem Unternehmen sprechen Sie uns daher gerne an. Einige Schulungstermine in diesem Jahr haben wir für unsere Mandanten „freigehalten“.

Mit freundlichen Grüßen

Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)

Fachanwalt für gewerblichen Rechtsschutz

Fachanwalt für Informationstechnologierecht