Wie viel Datenschutz-Schulung braucht man?

Zusammenfassung

Die DSGVO schreibt Schulungen zum Datenschutz vor. Für alle beschäftigten Personen, die personenbezogene Daten verarbeiten. Weitere Anforderungen sind im Gesetz nicht genannt.

Abschnitt 4
Datenschutzbeauftragter
Artikel 39, Aufgaben des Datenschutzbeauftragten
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

Quelle: Datenschutz-Grundverordnung, DSGVO

Was ist das Ziel der Schulung?

Ist klar, was mit der Schulung erreicht werden soll? Diese Überlegung gehört bereits in das Datenschutz-Strategiemeeting. Denn dort wird die Gesamtstrategie und somit auch die Schulungs-Strategie festgelegt.

Ziele sind durchaus unterschiedlich. Von der Integration des Datenschutzes in das Gesamtsystem “Unternehmen” bis hin zur Minimalstrategie (Compliance mit dem geringsten Aufwand und den geringsten Kosten).

Was sind die Anforderung aus der DSGVO?

Schulungen werden in der DSGVO als Teil der Anforderung: “Überwachung und Einhaltung dieser Verordnung” genannt. Damit sind die Schulungen Teil der Anforderung an die Unternehmen (“verantwortliche Stellen”), die Datenschutz-Grundverordnung einzuhalten.

Der Schulungsbedarf sollte ermittelt werden. Basierend darauf sollten Schulungen erfolgen.

Praktisch können Basisschulungen verwendet werden, da der Informationsbedarf bei allen Unternehmen in etwa gleich ist (nicht der Wissensstand).

Wer ist die Zielgruppe?

Wer soll geschult werden?

der an den Verarbeitungsvorgängen beteiligten Mitarbeiter

Quelle: Datenschutz-Grundverordnung, DSGVO

Praktisch sind das in der Regel alle Mitarbeiter mit einem dienstlich genutzen Handy, Tablet, Notebook, PC.

Diese teilen sich grob auf in die Verarbeitungs-Kategorien:

  • Office-Tätigkeiten
  • Vertriebs-Tätigkeiten
  • Einkaufs-Tätigkeiten
  • Arbeitsvorbereitung
  • Marketing
  • Produktion
  • Buchhaltung
  • Personal IT

Jedes Firma muss für sich die Kategorien kennen. Das ist Grundlage für zielgruppengerechte Schulungen.

Was ist der aktuelle Wissens-Stand?

Sollen nun alle Mitarbeiter eine Schulung “übergebügelt” bekommen? Werden die Schulungen entsprechend den Tätigkeiten der Mitarbeiter ausgewählt?

Praktisch verweise ich an dieser Stelle erst einmal auf den Abschnitt “Was ist das Ziel der Schulung?”

Auch wenn die Grundlagenschulung Datenschutz-Grundverordnung ausreichend sein könnte, bietet es sich doch an, für verschiedene Tätigkeiten auch verschiedene Schulungen zu absolvieren.

Praktisch sollten alle Mitarbeiter die Datenschutz-Grundlagenschulung absolvieren. Je nach Rolle im Unternehmen sind vertiefende Schulungen für die tägliche Arbeit im eigenen Fachgebiet absolut empfehlenswert.

Was ist ein geeigneter Weg für die Wissensvermittlung?

Schauen wir erst einmal, welche Arten von Schulungen es gibt. Mir fallen ein

  • Präsenzschulung
  • Online-Schulung
  • Webinare
  • Videokonferenzen mit Vortrag
  • Blended Learning

Nachgelagert können die vermittelten Inhalte möglichst als Präsentation oder in einem Wiki abgerufen werden.

Praktisch ist eine Online Schulung eine sehr kostengünstige und äußerst flexible Möglichkeit, der Anforderung der Datenschutz-Grundverordnung nach Schulung nachzukommen.

Nach Abschluss einer Onlineschulung sollte es eine Lernerfolgskontrolle geben (Quiz). Wird diese bestanden, sollte dem Mitarbeiter auch ein Teil nahmezertifikat bereitgestellt werden. Das dient einer anderen Anforderung der DSGVO, der Nachweispflicht

Kosten – Nutzen Betrachtung

  • Die Kosten bei Online-Schulungen sind verglichen mit denen von Präsenzschulungen gering.
  • Die Flexibilität bei Onlineschulungen ist groß.
  • Der Lernraum kann frei gewählt werden.
  • Inhalte können wiederholt werden
  • an festgelegte Schulungsintervalle kann automatisiert erinnert werden