Datenschutz einführen – Schritt für Schritt
(Folge 5: Informieren)

Schritt 5
Zu einer sicheren Datenschutz-Organisation gehört die Sensibilisierung der Mitarbeiter.

In den vorangegangenen Folgen der Artikel-Serie haben wir den Prozess beschrieben, wie Sie Verarbeitungstätigkeiten in ein Verzeichnis aufnehmen, bewerten und – falls nicht datenschutzkonform – Verbesserungsmaßnahmen umsetzen. Doch selbst wenn alle Prozesse überarbeitet sind und definiert wurden, wie sie datenschutzkonform ablaufen müssen, bleibt ein „Risikofaktor“ bestehen: Mitarbeiter, die sich nicht an die vorgegebenen Prozesse halten. Häufig ist es keine Absicht, sondern reine Unwissenheit, das zu Datenschutzverstößen einzelner Mitarbeiter führt. Ein einfaches Beispiel aus der Praxis: Ein Unternehmen veranstaltet ein Kunden-Event. Nach der Veranstaltung fragt einer der Gäste die Teilnehmerliste an. Die Marketing-Abteilung möchte zuvorkommend und kundenfreundlich handeln und schickt dem Gast eine Liste aller Teilnehmer samt E-Mail-Adressen, Position und Kundenstatus. Haben die Teilnehmer der Weitergabe ihrer Daten an andere Teilnehmer vorab nicht zugestimmt, liegt eine Datenschutzverletzung vor. Um Datenschutzverstößen dieser Art vorzubeugen, müssen Mitarbeiter geschult und sensibilisiert werden.

Datenschutz ist erlernbar
Arbeitgeber können nicht erwarten, dass Mitarbeiter, die wegen Ihrer Kompetenz auf einem Fachgebiet (Vertrieb, Marketing, Entwicklung etc.) eingestellt wurden, zusätzlich fundierte Datenschutzkenntnisse besitzen. Zu einer vollständigen und wirksamen Datenschutz-Organisation zählt, dass das Unternehmen ihren Mitarbeitern relevante datenschutzrechtliche Inhalte vermittelt. Eine Schulung sollte allen Mitarbeitern, die mit personenbezogenen Daten in Berührung kommen, Grundlagen vermitteln. Diese Schulung wird z.B. vom Datenschutzbeauftragten organisiert und moderiert. Neben Grundlagenwissen gibt es spezifisches Wissen, das nicht für alle Mitarbeiter gleichermaßen relevant ist. Mitarbeiter im Marketing werden mit anderen Datenschutz-Fragen konfrontiert als beispielsweise Mitarbeiter im Produkt-Support. Der Datenschutzbeauftragte sollte der Versuchung widerstehen, alle Mitarbeiter mit sämtlichen vorhandenen Schulungsunterlagen zu versorgen, um „auf der sicheren Seite“ zu sein. Einige Mitarbeiter werden sich durch die Flut an Informationen überfordert fühlen und möglicherweise das gesamte Thema Datenschutz ausblenden. Um dies zu vermeiden, ist es ratsam, zu selektieren: Welche Mitarbeitergruppen benötigen welches Wissen, um datenschutzkonform zu arbeiten? Zudem sollte vor der Schulung ein Konzept ausgearbeitet werden, wie das Wissen verteilt wird. Ein sinnvolles Konzept ist, Grundlagenschulungen für alle betroffenen Mitarbeiter durchzuführen und Spezialwissen gezielt und digital zu verteilen.

Die Datenschutz-Software otris privacy unterstützt Sie bei der Verteilung von Schulungsunterlagen und relevanter Information. Über das integrierte Newsletter-Tool senden Sie relevante Informationen an einen ausgewählten Empfängerkreis. Nicht nur zur Erstinformation, auch bei Änderungen und Aktualisierungen der Rechtslage ist der Newsletter das richtige Instrument, um verantwortliche Mitarbeiter schnell und unkompliziert zu informieren.

Auf einen Blick
Das E-Learning-Modul in otris privacy unterstützt bei der Mitarbeitersensibilisierung.

Zusätzlich beinhaltet otris privacy ein E-Learning-Tool, das Sie zur Schulung aber auch zur Abfrage des Wissensstandes einsetzen können. Der Zugriff für die Mitarbeiter ist unkompliziert: Die von Ihnen entwickelten Fragen, stellen Sie über ein Webformular zur Verfügung. Der jeweilige Mitarbeiter hat über seinen Web-Browser nur auf den für ihn freigegebenen Bereich Zugriff und beantwortet die ihm zugeteilten Fragen. Das Ergebnis zeigt ihm und dem Datenschutzbeauftragten, in welchen Bereichen Wissenslücken geschlossen werden müssen.

Sämtliche Sensibilisierungsmaßnahmen, die Sie durchführen, werden automatisch vom System dokumentiert. Auf Knopfdruck erstellen Sie einen Report, der Ihre Aktivitäten übersichtlich auflistet.

Betrieblicher Datenschutz ohne Mitarbeiter-Sensibilisierung entfaltet nicht die gewünschte Schutzkraft. Mitarbeiter haben in der Regel eine fachspezifische Ausbildung, in der kein Datenschutz-Wissen vermittelt wurde. Die Unternehmen sind in der Pflicht, diese Wissenslücke zu schließen.