DSGVO Schulungen

DSGVO Schulungen

Sind Schulungen zum Umgang mit personenbezogenen Daten laut DSGVO wirklich verpflichtend?

Die DSGVO gibt darüber keine eindeutige Auskunft, es lassen sich aber ausreichend Hinweise darauf finden. Laut DSGVO ist ein Datenschutzbeauftragter für folgende Tätigkeiten verantwortlich: „… Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“. Auch Artikel 47 thematisiert Schulungen: „… geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten“ [1].

Vieles weist also darauf hin, dass eine ausreichende Sensibilisierung der Mitarbeiter eine Voraussetzung für die DSGVO Konformität darstellt. Konkreter wird hier schon das österreichische Informationssicherheitshandbuch, das einen „wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung [leistet] und sich als Hilfestellung für die Wirtschaft versteht“ [2]. Hier werden Schulungs- und Sensibilisierungsmaßnahmen als grundlegender Teil eines Informationssicherheitsmanagementsystems gesehen.
Ganz logisch betrachtet ergibt sich aus dem Artikel 24 der DSGVO die Notwendigkeit seine Mitarbeiter zu schulen. „Der Verantwortliche setzt […] geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“ [1].

Nur ausreichend informierte Mitarbeiter können DSGVO-konform handeln. Wird ein Data Breach daher von einem Mitarbeiter verursacht, der allerdings nachweislich für den sicheren Umgang mit Daten geschult wurde, kann sich dies bei der Überprüfung des Vorfalls durch die Datenschutzbehörde positiv für das jeweilige Unternehmen auswirken.

Völlig von der DSGVO Debatte losgelöst betrachtet, ist eine Schulung zum Umgang mit Unternehmensdaten substanziell. Ein Data Breach kann zu Schadensersatzforderungen führen, kann der Konkurrenz Vorteile verschaffen (z.B. offen gelegte Innovationen und Strategien) und im schlimmsten Fall existenzbedrohend sein.

Fazit: Schulungen zu den Themen IT-Sicherheit im Allgemeinen und Daten im Speziellen, sollten selbstverständlich sein und zum Unternehmensalltag gehören. Bei einem Werkzeug, das man täglich nutzt, sollte man die potenziellen Gefahren kennen und entsprechend damit umgehen. Es gilt ein Bewusstsein zu schaffen, dass es sich bei Firmendaten um ein wichtiges Gut handelt und der Verlust von Daten zu massiven finanziellen Schäden führen kann. Denn: Daten sind Kapital!

[1] Österreichisches Informationssicherheitshandbuch, Zentrum für sichere Informationstechnologie – Austria (A-SIT) und Bundeskanzleramt Österreich, Version 4.0.1, 19.01.2016

[2] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Diesen Beitrag teilen: