Mitarbeiter im Datenschutz richtig schulen

1. Datenschutz-Aufmerksamkeit: Individuell oder standardisiert?

Nach diversen Datenschutzskandalen und dem „Entsetzen“ über die amerikanischen Geheimdienst-Ausforschungen hat das Thema Datenschutz eine neue Wertigkeit erhalten. Dies zeigt sich auch bei der Frage, wie Mitarbeiterinnen und Mitarbeiter im Thema Datenschutz geschult werden sollen. Gemäß § 4 g BDSG ist es Aufgabe des Beauftragten für den IMG_0098Datenschutz, auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken. Der Datenschutzbeauftragte hat die bei der Verarbeitung personenbezogenen Daten tätigen Personen, mit den Erfordernissen des Datenschutzes vertraut zu machen. Gefordert sind geeignete Maßnahmen, ohne dass der Gesetzgeber dies weiter in § 4 g Abs. 1 Nr. 2 BDSG beschreibt. Interessant ist dabei auch die Formulierung des Gesetzgebers. Er spricht von einem „vertraut machen“. Die direkte Betrachtung der Formulierung macht deutlich, dass es nicht nur um eine grobe Wissensvermittlung geht, sondern der Umgang mit dem Thema Datenschutz zu einer Selbstverständlichkeit für Mitarbeiterinnen und Mitarbeiter werden soll. Vertrautheit zeichnet sich dadurch aus, dass der Umgang mit dem Thema „Datenschutz“ den Betreffenden nicht fremd ist, sondern zu einer täglichen Gewohnheit wird. Auch die Anknüpfung des Gesetzgebers an die „jeweiligen besonderen Erfordernisse des Datenschutzes“, mit welchen die Mitarbeiter vertraut gemacht werden sollen, unterstreicht, die möglichst individualisierte, der jeweiligen Datenverarbeitung angepasste, Wissensvermittlung. Ein Datenschutzbeauftragter, der sein gesamtes Datenschutzwissen jedem Mitarbeiter vermitteln möchte, schießt nicht nur über das Ziel hinaus, sondern riskiert den Lernerfolg, weil das Informationsvolumen die Schulungsadressaten überfordert oder den einzelfallbezogenen Anforderungen nicht mehr genügt.

2. Gesetzliche Anforderungen nach § 4 g Abs. 1 Satz 4 Nr. 2 BDSG

Der Gesetzgeber sieht eine Notwendigkeit, Mitarbeiterinnen und Mitarbeiter mit Ziel und Inhalt des Datenschutzes und seiner Vorschriften vertraut zu machen. Allein die Beratungsfunktion des Datenschutzbeauftragten und seine Kontrollmöglichkeiten genügen nicht. Der Gesetzgeber geht davon aus, dass eine wirksame und effektive Umsetzung des Datenschutzes im betrieblichen oder behördlichen Alltag davon abhängt, dass die Mitarbeiter die rechtlichen Anforderungen genau kennen. Fortbildungen im Datenschutz sollen die Bedeutung der entsprechenden gesetzlichen Regelungen unterstreichen.

3. Personenkreis für Fortbildung

Die gesetzlichen Anforderungen sind weit gefasst. Es sollen sämtliche Personen, deren Tätigkeit mit der Nutzung von personenbezogener Angaben verbunden ist, über den Datenschutz unterrichtet werden. Spezielle Auswahlkriterien nennt das Gesetz nicht. Damit ist es für die Frage, ob eine entsprechende datenschutzrechtliche Fortbildung erfolgen soll, unerheblich, in welchem zeitlichen Umfang Personen mit der Verwendung personenbezogener Daten beschäftigt sind. Es genügt bereits die Befassung mit personenbezogenen Angaben, um in den Personenkreis zu gelangen, in den der Gesetzgeber mit der Fortbildungsverpflichtung im Auge hat. Allerdings wird erwartet, dass die Schulungsmaßnahmen dem Umfang und dem Einsatz personenbezogener Daten im jeweiligen Tätigkeitsfeld Rechnung trägt. Eine Personalabteilung ist anders zu schulen als Mitarbeiter im Produktionsumfeld, die möglicherweise nur im geringen Umfang personenbezogene Daten verwenden.

4. Umfang der Datenschutzschulungen

Die Schulungsinhalte werden vom Gesetzgeber nicht weiter vorgegeben. Er erwartet, dass die erforderlichen Datenschutzkenntnisse weitergegeben werden. Wann und in welchem Umfang dies geschieht, lässt der Gesetzgeber offen. Sein Bild ist der vertraute Umgang mit den datenschutzrechtlichen Vorgaben. In der Praxis empfiehlt sich daher ein langfristiger Fortbildungsplan für den Datenschutz. Die generellen datenschutzrechtlichen Anforderungen sowie die spezifischen Datenschutzvorgaben im Unternehmen sind notwendige Themen für Fortbildungen. Der Datenschutz muss konkret auf die betriebliche Situation auf den Arbeitsplätzen bezogen werden, damit Mitarbeiterinnen und Mitarbeiter die datenschutzrechtliche Relevanz ihres Handelns verstehen.

Letztendlich bleibt dem Datenschutzbeauftragten überlassen, welche Schwerpunkte er im Rahmen der Fortbildung setzt. Es ist seine Aufgabe, Form und Inhalt der jeweiligen Datenschutzschulungen festzulegen.

Wichtig ist, dass im Rahmen der Datenschutzfortbildung die Gelegenheit genutzt wird, die Kommunikation zwischen den Mitarbeiterinnen und Mitarbeitern sowie dem Datenschutzbeauftragten zu verbessern. Datenschutz lebt von einer intensiven Kommunikation über die betrieblichen Gegebenheiten und einem guten Blick aller Beteiligten auf die Schutzanforderungen der personenbezogenen Daten. Je intensiver der Wissens- und Meinungsaustausch zwischen Arbeitnehmern und Datenschutzbeauftragten ist, umso mehr wird dazu beigetragen, dass Datenschutz im Unternehmen oder der Verwaltung Relevanz hat.

Allerdings ist eine fehlende Fortbildung oder zum Datenschutz keine Entschuldigung dafür, dass ein Unternehmen als verantwortliche Stelle die Vorgaben des Datenschutzes nicht einhält. Die Umsetzung der gesetzlichen Vorgaben und die Fortbildung sind zwar aufeinander abzustimmen, ansonsten aber voneinander unabhängig.

5. Abstimmung mit Geschäftsleitung und Arbeitnehmervertretung

Die Vorbereitung und Durchführung der Schulung ist sowohl mit der Geschäftsleitung oder Behördenleitung sowie mit der Arbeitnehmervertretung abzustimmen. Den Betriebs- und Personalräten steht ein Mitbestimmungsrecht zu, soweit Maßnahmen zur Berufsbildung anstehen. Damit sind auch die Datenschutzschulungen mit umfasst. Unabhängig davon sollten nicht erst die rechtlichen Anforderungen motivieren, das Gespräch mit der Arbeitnehmervertretung zu suchen. Erfolgsversprechend ist eine Tätigkeit des Datenschutzbeauftragten nur, wenn eine gute Kommunikation mit der Geschäftsleitung und der Arbeitnehmervertretung besteht.

Zwar gibt es ein Mitbestimmungsrecht, die Initiative und die Rahmenbedingungen werden aber vom Datenschutzbeauftragten vorgeben. Er bestimmt Inhalt und Verlauf der Schulungen. Auch legt er die Teilnehmerkreise für die Fortbildungen fest.

Aus dem Wortlaut des Gesetzestextes lässt sich nicht entnehmen, dass allein Fortbildungen oder Schulungen der Weg sind, um Mitarbeiterinnen und Mitarbeiter mit dem Datenschutz bekannt und vertraut zu machen. Merkblätter oder Rundschreiben sowie weitere didaktisch sinnvolle Hilfsmittel sind zulässig. Der Gesetzgeber nennt bewusst keinerlei Einschränkungen.

Die Schulungen müssen während der Arbeitszeit erfolgen. Die Geschäftsleitung ist verpflichtet, die Arbeitnehmer insoweit von deren Aufgaben freizustellen. In welchem Umfang jährliche Schulungen stattzufinden haben, sagt der Gesetzgeber nicht. Er gibt in § 4 g BDSG keinerlei Anhaltspunkte, welcher Umfang einer datenschutzrechtlichen Schulung als „normal“ anzusehen ist. Es gibt keine generelle Übung, die ein absolutes Minimum mit Blick auf die gesetzlichen Schulungsverpflichtungen ist. Der Begriff „vertraut“, den der Gesetzgeber wählt, lässt einen Interpretationsspielraum zu. In einigen Betrieben kann es sein, dass mit wenigen Informationen bereits alles Relevante gesagt ist und mit den, für den Betrieb wesentlichen Gesetzesvorschriften dann die Arbeitnehmer vertraut sind. In Arztpraxen oder Krankenhäusern sowie bei Adressverlagen werden dagegen ganz andere Anforderungen an die Datenschutzschulung zu stellen sein. Die anzuwendenden rechtlichen Vorschriften sind vielfältiger und die Fragestellungen komplexer. Dies ist bei der Initiierung und Durchführung der Datenschutzfortbildung zu beachten.

Nach dem gesetzgeberischen Leitbild ist davon auszugehen, dass der Datenschutzbeauftragte die Schulungen selbst durchführt. Allerdings kann es sinnvoll sein, ggf. externe Experten heranzuziehen. Zwar bleibt dann die Schulungsaufgabe beim Datenschutzbeauftragten. Externe Fachkräfte übernehmen insoweit Hilfsfunktionen. Der Datenschutzbeauftragte legt Inhalt und Umfang der Schulungen fest, die durch externe Fachkräfte durchgeführt werden.

6. Konflikte bei Schulungsmaßnahmen

Weigert sich ein Arbeitgeber Beschäftigte von anderen Arbeiten freizustellen, um eine Schulung zu ermöglichen, ist im BDSG keine Eskalationsmöglichkeit vorgesehen. Aufgrund der vagen gesetzlichen Vorgaben wird es Geschäftsleitungen oder Behördenleitungen stellenweise leicht gemacht, die Fortbildungswünsche des Datenschutzbeauftragten für die Mitarbeiterinnen und Mitarbeiter abzuwehren oder drastisch zu reduzieren. Natürlich sieht es kein Arbeitgeber gern, wenn ein Arbeitnehmer „unproduktiv“ in Datenschutz-Fortbildungen sitzt.

Zwar kann ein Datenschutzbeauftragter versuchen, über den Landesdatenschutzbeauftragten einen gewissen „Druck“ auf den Arbeitgeber auszuüben. Ein solches Vorgehen wird in der Praxis aber die Kommunikation zwischen Geschäftsleitung und Datenschutzbeauftragtem so stark eintrüben, dass danach vermutlich eine gedeihliche Zusammenarbeit kaum noch möglich ist. Die Alternative, im Jahresbericht deutlich darauf hinzuweisen, dass die Arbeitnehmer nicht ausreichend mit den datenschutzrechtlichen Vorschriften vertraut sind, ist ein „Lösungsweg“ für die Praxis. Ob ein solcher deutlicher Hinweis allerdings Aktivitäten auslöst, ist sehr unterschiedlich.

Wenn allerdings die Diskussionen mit dem Arbeitgeber dahin gehen, dass eine mangelnde Einsicht in die Notwendigkeit der Datenschutzschulungen besteht, ist das gesamte Konzept der Datenschutzfortbildung aus unserer Sicht zu überdenken und in Frage zu stellen. Wenn die Geschäftsleitung oder Behördenleitung an dieser Stelle die Sensibilisierungsaktivitäten zum Datenschutz nicht mitträgt und ausdrücklich unterstützt, bleibt eine Fortbildung eine Stand-Alone-Aktivität, die letztendlich im Unternehmen keinen Veränderungsprozess und keine Verbesserung des Datenschutzniveaus herbeiführt. Gerade das soll aber erreicht werden.

Hier sind Datenschutzbeauftragte dann wieder konzeptionell gefordert. Möglicherweise ist es sinnvoll, neue und ungewöhnliche Wege zu gehen, um Datenschutz zu fördern und die Vertrautheit mit den Datenschutzvorschriften zu fördern.

Datenschutzbeauftragte müssen kreativ sein.

 

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen