Fragen zur Schulung? 0511-473 977 80
"Erfüllen Sie schon Ihre Pflicht zur Mitarbeiterschulung?"
Lassen Sie schnell und günstig Ihre Mitarbeiter online zur DSGVO schulen!
In einem 1-stündigen Video-Kurs wird das Datenschutz-Grundwissen gemäß DSGVO vermittelt, das Mitarbeitern zum rechtskonformen Umgang mit personenbezogenen Daten verhilft.
» Vom Rechtsanwalt und Datenschutzbeauftragten (TÜV) «
Arbeitgeber haben gemäß Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht hinsichtlich des datenschutzkonformen Verhaltens der Mitarbeiter. Ohne regelmäßige Schulung zur DSGVO droht ein Bußgeld.
Sie brauchen keine eigene DSGVO-Schulung zu entwickeln oder externe Referenten zu beauftragen. Zudem lässt sich eine Onlineschulung für jeden Mitarbeiter orts- und zeitunabhängig durchführen.
Unsere Datenschutz-Schulung für Mitarbeiter wurde von einem Rechtsanwalt und Datenschutzbeauftragten (TÜV) entwickelt und entspricht der aktuellen Rechtslage, inkl. Schulungsnachweis durch ein Zertifikat.
Dipl.-Jur. Sebastian Einbock
Quelle: Google My Business
Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung in Kraft. Diese Grundverordnung legt ein einheitliches Regelwerk für den Datenschutz fest, das in allen EU-Mitgliedsstaaten direkt anwendbar ist. Sie hat den Rechtscharakter einer Verordnung, d.h. sie muss nicht in nationale Gesetze umgesetzt werden.
Im Mittelpunkt dieser EU-Verordnung steht der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Datenschutz ist ein Grundrecht nach Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union. Darüber hinaus kommt in diesem Zusammenhang der Artikel 16 Abs. 1 des Vertrags über die Arbeitsweise der EU (AEUV) zum Tragen. Das Bundesdatenschutzgesetz (BDSG) beinhaltet weitere deutschlandspezifischen Datenschutzbestimmungen, die durch die Öffnungsklauseln der Datenschutzgrundverordnung möglich sind.
Ziel der Datenschutzgrundverordnung ist es, Informationen über natürliche Personen zu schützen. Dies betrifft die Verarbeitung und Weitergabe von personenbezogenen Daten.
Der Erwägungsgrund 1 der DSGVO nennt den Datenschutz als ein Grundrecht. Dies verleiht dem Einzelnen einen geschützten Status in Bezug auf den Umgang mit seinen Daten. Dieser Schutz muss in allen Ländern der Union gewährleistet sein, unabhängig von der Staatsangehörigkeit oder dem Wohnsitz der Person (Erwägungsgrund 2).
Die Einhaltung der Datenschutzgrundverordnung in einem Unternehmen ist nur möglich, wenn sich alle Mitarbeiter datenschutzkonform verhalten. Die Verpflichtung, Mitarbeiter im Datenschutz zu schulen, wird im Gesetz nicht explizit erwähnt. Diese lässt sich jedoch aus den Bestimmungen der Verordnung ableiten und liegt in der Verantwortung des sog. Verantwortlichen. Im Falle eines Datenschutzverstoßes kann der Verantwortliche sogar persönlich haftbar gemacht werden, wenn er entsprechende Maßnahmen nicht ergriffen hat.
Die Bestimmungen der Grundverordnung gelten für alle Unternehmen, Institutionen und Verbände in der EU, unabhängig von Branche, Rechtsform oder Anzahl der Mitarbeiter. Das bedeutet, dass alle Unternehmen von der Verpflichtung betroffen sind, ihre Mitarbeiter im Datenschutz zu schulen.
Die Verpflichtung zur kontinuierlichen Schulung und Sensibilisierung auf den Datenschutz obliegt den Arbeitgebern/Verantwortlichen aufgrund der folgenden Bestimmungen:
Die Definition des Verantwortlichen findet sich in den Begriffsbestimmungen der Datenschutz-Grundverordnung, Artikel 4 Absatz 7.
Der Verantwortliche ist die Person, die die Entscheidungen trifft und für diese Verantwortung trägt. Verantwortliche können sowohl natürliche als auch juristische Personen sein, d.h. auch Ämter und Behörden sowie andere Institutionen, die eigenständig über die Zwecke und Mittel der Datenverarbeitung entscheiden.
Der Verantwortliche im Sinne der Verordnung ist also der Akteur, der über das "Wie" und "Warum" der Verarbeitung personenbezogener Daten entscheidet. Ihm obliegen folgende Entscheidungen:
Verstöße gegen den Datenschutz, die in der Regel von Mitarbeitern verursacht werden, können teuer für das Unternehmen werden. Das Bußgeld für Verstöße kann bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Die Aufsichtsbehörden können im Falle eines Datenschutzverstoßes Auskunft darüber verlangen, ob Schulungen zum Datenschutz regelmäßig stattfanden. Ist dies nicht der Fall oder kann entsprechende Schulung nicht nachgewiesen werden, kann das Unternehmen haftbar gemacht werden, dabei können Geschäftsführer oder Vorstandsmitglieder sogar persönlich haftbar gemacht werden.
Alle Mitarbeiter, soweit sie für die Datenverarbeitung in jeglicher Form zuständig sind, müssen die Grundsätze des Datenschutzes und des Datengeheimnisses rechtsverbindlich einhalten. Die Einhaltung des Datenschutzes im Unternehmen ist jedoch kaum möglich, wenn die Angestellten nicht ausreichend über den Datenschutz und die Anforderungen der DSGVO informiert sind. Daher ist es unerlässlich, diese regelmäßig für das Thema Datenschutz zu sensibilisieren und zu schulen.
Alle Mitarbeiter müssen wissen, was im Sinne des Datenschutzes erlaubt ist und was nicht. Dazu gehört ein Grundverständnis dafür, was personenbezogene Daten sind, welche Rechte die Betroffenen haben und welche Pflichten bei der Datenverarbeitung zu beachten sind. Deshalb sollten alle Personen, die mit Kunden-, Patienten-, Lieferantendaten etc. arbeiten oder intern Mitarbeiterdaten verarbeiten, regelmäßig eine Schulung absolvieren.
Je nach Tätigkeit des Unternehmens und dem Umfang der Datenverarbeitung, d. h. bei besonders sensiblen Informationen und/oder umfangreicher Datenverarbeitung, muss ein Datenschutzbeauftragter bestellt werden. Darüber hinaus besteht eine Benennungspflicht ab einer Anzahl von 20 Mitarbeitern, die personenbezogene Daten verarbeiten. Der interne oder externe Datenschutzbeauftragte hat auch die Pflicht, die Mitarbeiter für den Datenschutz zu sensibilisieren, zu schulen und für datenschutzrechtliche Anfragen zur Verfügung zu stehen (Artikel 39 (1) DSGVO).
Im Amtsdeutsch spricht man in diesem Zusammenhang vom sog. Datensubjekt. Die Definition der „betroffenen Person“ ist im Kapitel 1, Artikel 4(1) der DSGVO zu finden. Damit sind ausschließlich natürliche Personen gemeint. Eine juristische Person kann nicht "betroffene Person" im Sinne der Datenschutz-Grundverordnung sein. Im Umkehrschluss bedeutet dies, dass Daten von Behörden, Unternehmen, Institutionen, Vereinen etc. nicht dem Schutzmechanismus der Verordnung unterliegen.
Dabei handelt es sich um Informationen, die sich auf eine identifizierte oder identifizierbare (natürliche) Person beziehen. Die Identifikation oder Zuordnung dieser Person kann durch eine bestimmte Kennung erfolgen. Dazu zählen zum Beispiel: Namen, Identifikationsnummer, Standortdaten, Online-Kennungen, besondere persönliche Merkmale.
Die Verarbeitung besonderer Datenkategorien ist noch weiter eingeschränkt, wenn diese Personen durch ihre Herkunft, Zugehörigkeit oder Anschauung definieren. Dazu gehören:
Der Umgang mit solchen Informationen ist besonders sensibel, da Datenschutzverletzungen den betroffenen Personen erheblichen Schaden zufügen können.
Dieser Begriff umfasst das Erheben, das Erfassen, die Organisation, die Speicherung, die Veränderung, das Auslesen und das Abrufen von Daten, einschließlich der Offenlegung durch Übermittlung, Verbreitung und jede andere Form der Bereitstellung, des Abgleichs, der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung.
Die Datenschutzgrundverordnung gilt für die nicht automatisierte, teil- oder vollautomatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind und/oder in diesem verarbeitet werden können. Das bedeutet, dass die manuelle Verarbeitung genauso betroffen ist wie die digitale Speicherung.
Alle Mitarbeiter, die mit Datenverarbeitung zu tun haben, müssen die Grundsätze des Datenschutzes und des Datengeheimnisses rechtsverbindlich beachten. Grundsätzlich sind auch alle Arbeitnehmer zur Einhaltung der Verschwiegenheitspflicht und des Datengeheimnisses verpflichtet. Vor dem Abschluss einer entsprechenden Vereinbarung sollte eine Aufklärung erfolgen, die die Grundlagen des Datenschutzrechts vermittelt und die Mitarbeiter sensibilisiert. Diese Vereinbarung gilt auch nach Beendigung des Arbeitsverhältnisses weiter. Ein Verstoß gegen diese Bestimmung kann Gegenstand einer Schadensersatzklage sein.
Es ist zu beachten, dass die Datenschutzschulung nicht dazu dient, Mitarbeiter zu "Datenschutzexperten" auszubilden. Sie müssen jedoch für die Belange des Datenschutzes und der -sicherheit im Unternehmen sensibilisiert und in die Lage versetzt werden, sich bei der Wahrnehmung ihrer Aufgaben datenschutzkonform zu verhalten. Dazu gehört insbesondere ein verantwortungsvoller Umgang mit personenbezogenen Daten, sachgerechte Bearbeitung von Auskunfts- und Löschungs-Anfragen sowie eventuelle Meldung von Datenschutzverletzungen (sog. Datenpannen). Für Betriebsräte oder Mitarbeiter, die mit besonders sensiblen Informationen im Sinne des Artikels 9 DSGVO arbeiten, wie z. B. Gesundheitsdaten, kann eine spezielle Schulung erforderlich sein.
Datenschutzkenntnisse beugen nicht nur Datenpannen vor. Ein weiterer Vorteil ist, dass sie den Mitarbeitern mehr Sicherheit in dem täglichen Umgang mit Kunden und Geschäftspartnern geben, ihre Souveränität und Kompetenz erhöhen und Vertrauen wecken.
Eine Datenschutzschulung ist von qualifizierten Personen (z.B. Datenschutzbeauftragter oder Rechtsanwalt) durchzuführen. Die Verordnung definiert jedoch keine Anforderungen oder Vorgaben bezüglich der Form, der Dauer und des Inhalts der Schulung. So können die Lerninhalte in Form einer Präsenzveranstaltung (Seminar, Workshop, Training) mit einem Vortrag oder einer PowerPoint-Präsentation, als schriftliche Unterweisung oder als eLearning, z.B. als Online-Webinar oder auf einer eLearning-Plattform, erfolgen.
Online-Schulungen bzw. e-Learning haben viele Vorteile. Dazu zählt in erster Linie die Flexibilität. Die Schulung kann für jedem Mitarbeiter individuell an seinem eigenen Endgerät durchgeführt werden, unabhängig von Zeit und Ort. Lernzeit, Lernabschnitte und Wiederholungen von Lerninhalten können von den Teilnehmern individuell gestaltet werden, um das optimale Lernen zu ermöglichen.
Die Koordination von Terminen, und ggf. Nachholterminen wegen Krankheit oder Urlaub, sowie räumliche Engpässe, die bei Präsenzveranstaltungen oft zu Problemen werden, lassen sich beim Online-Training/Learning leicht vermeiden.
Datenschutzschulungen für Mitarbeiter sollten immer vor der erstmaligen Aufnahme von Datenverarbeitungstätigkeiten stattfinden, beispielsweise als Einführung bei der Einstellung bzw. Einarbeitung neuer Mitarbeiter oder vor der Übernahme neuer Aufgaben.
Es wird empfohlen - auch wenn es dazu keine explizite gesetzliche Verpflichtung gibt - die datenschutzrechtliche Schulung mindestens jährlich zu wiederholen. Dadurch werden der Lernerfolg und die Sensibilisierung der Mitarbeiter auf die Datensicherheit in ihrer täglichen Arbeit gefördert. Bei neuen Datenschutzregelungen oder betrieblichen Veränderungen sollte eine erneute Datenschutzschulung unbedingt vorgezogen werden.
Die Dokumentationspflicht ist im Datenschutz von großer Bedeutung. Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze jederzeit verbindlich nachweisen können, auch im Hinblick auf die Schulungspflicht.
Aus Haftungsgründen sollte die Durchführung von Schulungen und Unterweisungen immer gut dokumentiert werden. Schulungsprotokolle, unterzeichnete Teilnehmerliste oder ein Zertifikat / eine Bescheinigung über die Teilnahme an einer Onlineschulung helfen, die Dokumentationspflicht zu erfüllen. Ein Nachweis über eine Lernkontrolle bzw. eine Bewertung des Lernerfolg eines Teilnehmers durch einen Test oder eine Prüfung sind für die Erfüllung der Schulungspflicht bzw. ihre Dokumentation nicht erforderlich.
Zu beachten ist, dass jeder Arbeitnehmer auch eine Erklärung zum Datenschutz und eine Verpflichtung auf die Vertraulichkeit unterschreiben sollte. Diese sind auch zwecks Dokumentation entsprechend aufzubewahren.
*) Unser Angebot richtet sich ausschließlich an Gewerbetreibende, Freiberufler und öffentliche Einrichtungen (alle Preise sind Nettopreise und verstehen sich zzgl. gesetz. USt.). Das Angebot für 19.90 € pro Teilnehmer gilt ab einer Mindestbuchung für 5 Teilnehmer.
Eine DSGVO-Mitarbeiterschulung je Firma ist kostenlos!
Sind Sie Arbeitgeber oder Datenschutzbeauftragter und haben Sie noch Fragen oder möchten Sie unsere DSGVO-Schulung testen?
Wir schenken Ihnen eine komplette Mitarbeiterschulung zur DSGVO inkl. Teilnahmezertifikat!
Um einen kostenlosen Zugang zu erhalten, schicken Sie einfach eine E-Mail mit Ihren Kontaktdaten an
dsgvo-schulung@juraforum.de.
Schulen Sie Ihre Mitarbeiter jetzt!
Überlassen Sie die Datensicherheit in Ihrem Unternehmen keinem Zufall
Bildnachweis: Robert Kneschke / stock.adobe.com