EU-Datenschutz-Grundverordnung // Mitarbeiterschulungen
„Vielen Dank für den kurzweiligen Nachmittag“, verabschiedete mich kürzlich der Mitarbeiter eines Kunden. Manchmal bekomme ich schöne Komplimente, dachte ich, als die Tür hinter mir zufiel – der „kurzweilige Nachmittag“ war eine Datenschutzschulung für Mitarbeiter, Dauer 1,5 Stunden, in einem gegen Ende ziemlich überhitzten Raum. Eine Veranstaltung also, die in der Regel bei der Ankündigung eher nicht mit derlei Adjektiven verbunden wird. Die Teilnehmer machten es mir allerdings auch leicht, fragten und widersprachen und hatten griffige Beispiele parat („Mit welchem Verschlüsselungsverfahren muss ich eine Festplatte verschlüsseln, auf der sich ein Nacktbild von Alicia Keys befindet?“ – männlicher Humor ist was Feines).
Schulungen zu Datenschutzthemen mit doppeltem Nutzen
Nach meiner Erfahrung sind Datenschutzschulungen oder Workshops zu Datenschutzthemen mit Mitarbeitern ein Mittel mit doppeltem Nutzen. Die Referentin erfährt viel über die Abläufe im Unternehmen und über mögliche kritische Prozesse, was für den Fall der Bestellung als externe Datenschutzbeauftragte hilfreich ist. Außerdem ist es die Gelegenheit Geschäftsführung und Mitarbeitern zu vermitteln, dass der Aufbau einer Datenschutzorganisation im Unternehmen nicht eine so furchtbar komplizierte Angelegenheit sein muss, wie vielfach vermutet. Komplex ja – kompliziert nein.
Eine Pflicht nach DSGVO
Anders als noch das BDSG schreibt die EU-Datenschutz-Grundverordnung (DSGVO) Mitarbeiterschulungen zum Datenschutz als eine Aufgabe von Datenschutzbeauftragten vor. „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben“, heißt es im ersten Absatz des Art. 39 DSGVO. „Die Unterrichtung … der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union oder der Mitgliedstaaten“. Die Schulungen können dann auch ein Baustein des Nachweises angemessener technischer und organisatorischer Sicherheitsmaßnahmen sein, den das Unternehmen nach der DSGVO zu führen hat. Insofern wird der beschriebene doppelte Nutzen nunmehr noch um einen dritten ergänzt.
Mit rotem Faden improvisieren
Ich arbeite bei solchen Gelegenheiten schon lange fast vollständig ohne Power Point Folien. Die Inhalte entwickele ich anhand eines in Gedanken festgelegten roten Fadens mit den Fragen und Anmerkungen der Teilnehmer und den Beispielen aus meiner Beratungspraxis. Vorbereitete Präsentationen setze ich nur dazu ein, einzelne Abbildungen und vereinzelt mal kurze Übersichten in Textform zu zeigen und sie im Anschluss den Teilnehmern zur Verfügung zu stellen.