Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) wirksam. Eine der wesentlichen Änderungen im Vergleich zum bisher geltenden Bundesdatenschutzgesetz besteht in den erhöhten Bußgeldern der DSGVO. Diese können bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen. Bußgeldbewehrte Verstöße gegen die DSGVO werden in der Regel von Mitarbeitern begangen. Es ist daher von großer Wichtigkeit, diese rechtzeitig für sensible datenschutzrechtliche Prozesse zu sensibilisieren und mit dem nötigen Wissen auszustatten, um die Vorgaben der DSGVO einhalten zu können.
In nahezu jedem Unternehmen werden personenbezogene Daten gemäß Art. 4 DSGVO mit IT-Systemen jeden Tag mehrfach verarbeitet. Die Einhaltung der datenschutzrechtlichen Vorschriften der DSGVO folgt für Unternehmen in ihrem Geltungsbereich daher als dringende Pflicht. Wie bereits geschildert, werden die Vorgaben primär durch Mitarbeiter einzuhalten sein. Demgemäß ist ihre Schulung die logische Voraussetzung für die Einhaltung der Vorgaben der DSGVO. Darüber hinaus lassen sich datenschutzrechtliche Schulungen der Mitarbeiter leicht mit weiteren Lehrinhalten – wie z.B. Vorgaben über die Datensicherheit und Unternehmensgeheimnisse – verbinden, ohne die Grenzen zwischen beiden Bereichen zu verwässern. Auf diese Weise lernen Mitarbeiter personenbezogene Daten zu erkennen und von Sicherheitsfragen- und Unternehmensgeheimnissen zu trennen. Dabei entwickeln sie außerdem eine besondere Sensibilität im Umgang mit personenbezogenen Daten. Nur auf diese Weise kann eine ganzheitliche Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO gewährleistet sein.
Dazu sollte zunächst ein Grundverständnis für „personenbezogene Daten“, „Verarbeitung“ und „Rechte und Freiheiten natürlicher Personen“ vermittelt werden. Wann liegen solche Prozesse vor? Weshalb sind solche Prozesse besonders schützenswert? Sodann sollten die wichtigsten datenschutzrechtlichen Grundprinzipien wie die Grundsätze der Datensparsamkeit, Transparenz, Informationspflichten vorgestellt werden.
Außerdem gilt es die Leitlinien für eine rechtmäßige Datenverarbeitung aufzuzeigen, also das Prinzip des Verbots mit Erlaubnisvorbehalt durch Einwilligung und Interessenabwägung zu schildern.
Abschließend sollte auf die Besonderheit der Datenverarbeitung nach der DSGVO im Vergleich zur alten Rechtslage eingegangen werden. Insgesamt sollten unternehmens- und branchenspezifische Besonderheiten stets berücksichtigt werden, wie z.B. besondere Regelungen für personenbezogene Daten, die über Server in den USA transferiert werden.
Dabei sollten Mitarbeiter sowohl bezüglich des Vorliegens der Verarbeitung personenbezogener Daten als auch bezüglich der technischen Möglichkeiten zur Umsetzung der Vorgaben der DSGVO geschult werden. Dabei bietet es sich an, sowohl Online-Kurse als auch Rollenspiele, Vorträge usw. in regelmäßigen Abständen zu wiederholen, um einerseits neueste Entwicklungen nicht zu verpassen und andererseits nach den Grundsätzen der Lernspirale das Wissen bei Mitarbeitern langfristig zu verfestigen. Online-Kurse bieten dabei die Möglichkeit einfach und unkompliziert ohne Software-Installation und große Vorbereitungszeit mit der Schulung der eigenen Mitarbeiter zu beginnen und die genannten Vorteile datenschutzrechtlicher Schulungen wahrzunehmen. Dringend abzuraten ist Unternehmen von der Möglichkeit, Schulungen von nicht fachkundigen Mitarbeitern durchführen zu lassen, die selbst an externen Schulungen teilgenommen haben. Die Einhaltung der teils komplexen Vorgaben der DSGVO dürfte auf diese Weise kaum gelingen. Die Zertifizierung für Schulungen im Bereich des Datenschutzes dient gerade dem Zweck, eine den Anforderungen der DSGVO entsprechende Schulung der Mitarbeiter zu ermöglichen.