7 Tipps zur Sensibilisierung ihrer Mitarbeitenden
Die Sensibilisierung von Mitarbeitenden gehört zu den wichtigsten organisatorischen Massnahmen, die Datenschutzbeauftragte und Verantwortliche zur Vermeidung von Datenschutzverletzungen einsetzen können. Die Erfahrungen zeigen, dass die meisten Datenschutzverletzungen durch Unwissenheit oder mangelnde Sensibilität der Mitarbeitenden erfolgen. Gleichzeitig besteht hier grosser Nachholbedarf.
Pflichten von Verantwortlichen
Laut einer SVBM-Umfrage (Sachverständigenbüro Mülot GmbH) sehen drei Viertel der befragten externen Datenschutzbeauftragen und 71 % der Geschäftsführungen und Datenschutzkoordinationen den größten Handlungsbedarf in der Sensibilisierung von Mitarbeitenden – weit vor anderen Maßnahmen wie z. B. dem Umgang mit Datenschutzverletzungen.
VVT-Easy ist ein Werkzeug zur Erstellung eines Verzeichnis der Verarbeitungstätigkeiten
Auch die Hälfte der internen Datenschutzbeauftragten schätzt den Handlungsbedarf (nach VVT-Erstellung) in der Sensibilisierung am grössten ein.
Wir haben anhand von sieben Tipps zusammengefasst, wie Sie das Risiko „Mensch“ nachhaltig reduzieren können.
Hintergrund
Es steht zwar in keinem Datenschutzgesetz direkt geschrieben, dass die Sensibilisierungs- und geeignete Schulungsmassnahmen verpflichtend für die Mitarbeitenden durchzuführen sind (vgl. Arbeitssicherheit). Allerdings ergibt sich aus den in der DSGVO wie auch dem nDSG der Schweiz geregelten Aufgaben von Datenschutzbeauftragten / Datenschutzberater:in und der Pflicht von Verantwortlichen, geeignete technische und organisatorische Massnahmen zu treffen, dennoch eine Verpflichtung, die Belegschaft zu schulen und zu sensibilisieren. Als spezifische Aufgabe sehen beide Gesetze eine Schulung vor.
Ob mit oder ohne gesetzliche Verpflichtung: Sie sollten für alle Mitarbeitenden, die mit personenbezogenen Daten agieren und in Kontakt kommen, die Sensibilisierungs- und Schulungsmassnahmen zur „Pflichtveranstaltung“ erklären. Bedenken Sie: „Eine Kette ist immer nur so stark wie ihr schwächtes Glied!“
1. Machen Sie die Schulung nachweisbar.
Der Nachweis, dass Sie als Verantwortlicher eine Schulung durchgeführt haben kann in der DSGVO als Rechenschaftspflicht abgeleitet werden. Eine Schulung nachweisbar zu machen bedeutet aber nicht nur für den Verantwortlichen eine Entlastung es ist auch für die Teilnehmer ein Dokument welches sie auszeichnet. Ein Diplom oder zumindest Nachweis ist ein Zeichen der Wertschätzung an die Mitarbeitenden. Für diese ist es auch eine Auszeichnung über Fähigkeiten, welche heute an vielen Arbeitsplätzen notwendig ist.
Den Nachweis können Sie auf unterschiedliche Weise erbringen. Beim E-Learning z. B. ist technisch leicht nachvollziehbar, welche Mitarbeitenden wann die Schulung durchgeführt haben. Dem Mitarbeiter kann zum Ende ein Erfolgsblatt ausgedruckt werden, so dass auch er ein Nachweis erhält. Bei Präsenzschulungen können Sie unterschriebene Anwesenheitslisten führen und ein internes Diplom für die Teilnehmer, gezeichnet von der Geschäftsführung, ist sicher nicht verkehrt.
2. Ergänzen Sie die Sensibilisierung mit weiteren
Themen
Vor allem bei Präsenzschulungen kann es sich unter Umständen anbieten, verwandte Themen wie Informationssicherheit oder die Wahrung von Betriebsgeheimnissen zu ergänzen. Achten Sie allerdings darauf, dass die Schulung nicht zu lang wird. Nach einer gewissen Zeit lässt die Aufnahmefähigkeit deutlich nach.
3. Geben Sie praktische Hinweise
Datenschutz kann ein abstraktes Thema sein – muss es aber nicht. Beziehen Sie daher die gesetzlichen Vorgaben auf Ihre individuelle Situation und geben Sie praktische Tipps für den Arbeitsalltag. Wie sollen sich Ihre Mitarbeitenden am Arbeitsplatz verhalten? Wie können sie Datenschutzverletzungen erkennen und damit umgehen? Und wo finden sie Informationen dazu? In diesem Schritt können Sie direkt auf Ihr Datenschutzmanagement und Ihre organisationsspezifischen Prozesse eingehen. An wen soll sich Ihre Belegschaft bei Datenschutzpannen oder Betroffenenanfragen beispielsweise wenden? Praktische Hinweise können sich auch in der Einladung zu einer online- Schulung befinden und so die Relevanz für den Geschäftsbetrieb sowie die Hintergründe zur Online-Schulung erläutern.
4. Führen Sie Sensibilisierungen regelmässig durch
Eine Schulung beim Arbeitsantritt und fertig – das reicht in der Regel nicht aus. Inhalte und Anforderungen sind schnell wieder vergessen. Deshalb sollten Sie Ihre Mitarbeitenden regelmässig sensibilisieren und die Inhalte auffrischen. Wir empfehlen einen jährlichen bzw. maximal zweijährlichen Turnus.
5. Setzen Sie zusätzliche Materialien zur Auffrischung ein
Damit der Datenschutz zwischen geplanten Schulungen nicht untergeht, können Sie zudem weitere Sensibilisierungsmaterialien einsetzen. Dabei können Sie ruhig kreativ sein – dann bleibt es in der Regel auch besser hängen. Von regelmässigen themenbezogenen Mails, zu Selbsttests oder Postern: Die Möglichkeiten sind vielfältig und sollten auf die jeweilige Organisation angepasst werden.
6. Besondere Abteilungen erfordern besondere
Inhalte
Die Datenschutz-Anforderungen können sich je nach Abteilung deutlich unterscheiden. Mitarbeitende in der Produktion haben z. B. kaum Zugang zu personenbezogenen Daten. Ihre Personalabteilung hingegen verarbeitet täglich eine Vielzahl personenbezogener Daten, teils sensibler Natur. Auf diese Unterschiede sollten Sie bei Ihren Sensibilisierungsmassnahmen eingehen und die Inhalte den Anforderungen der jeweiligen Zielgruppe anpassen. Gleichzeitig sollten Sie Schulungen nicht unnötig aufblähen, sondern kompakt halten und Themen, die für den Arbeitsalltag keine Rolle spielen, auslassen. Daher bietet es sich in vielen Fällen an, gesonderte Sensibilisierungs- und Schulungsmassnahmen für die einzelnen Abteilungenanzubieten.
7. Leben Sie den Datenschutz
Datenschutz kann nur funktionieren, wenn er aktiv gelebt wird. Gehen Sie hier mit gutem Beispiel voran. Wenn Datenschutzbeauftragte und Verantwortliche den Datenschutz vorleben, wird den Mitarbeitenden die Dringlichkeit des Themas bewusst und sie merken, dass der Datenschutz nicht optional ist. Sperren Sie also beispielsweise Ihren Bildschirm, wenn Sie Ihren Arbeitsplatz verlassen und thematisieren Sie den Datenschutz regelmässig.
Fazit
Durch regelmässige und umfassende Sensibilisierungsmassnahmen können Sie das Risiko von Datenschutzverletzungen, Datenverlust und IT-Sicherheits-Vorfällen erheblich reduzieren. Zudem kann ein Nachweis über die Sensibilisierung die Sanktionen von Aufsichtsbehörden bei Datenschutzvorfällen abmildern. Können Sie die Sensibilisierung Ihrer Mitarbeitenden hingegen nicht nachweisen, droht Ihnen im Umkehrschluss in der Regel ein höheres Bussgeld. Die Sensibilisierung der Belegschaft ist also nicht nur Pflicht, sondern bietet ganz praktische Vorteile.
Sie möchten Ihre Mitarbeitenden zum Datenschutz sensibilisieren? Eine Option ist das e-Learning der Datenschutzguide.ch. Mit unserem E- Learning zur DSGVO und dem nDSG können Sie Ihre Belegschaft, aber auch Fachbereiche wie die Personalabteilung, nachweisbar sensibilisieren – ohne grossen Verwaltungsakt und ganz nach Ihren Bedürfnissen.
Ein Schnupper-e-Learning können sie kostenfrei hier beziehen.
Fazit
All diese Forderungen stehen unabhängig von Art und Grösse der Unternehmen, was eben dazu führt, dass die meisten Unternehmen die Einführung des nDSG berücksichtigen müssen.
Wir unterstützen Sie!
Sie haben Fragen zum nDSG? Oder Sie benötigen Unterstützung bei der Vorbereitung auf das Inkrafttreten? Wir unterstützen Sie und beraten Sie zu Ihren Möglichkeiten sowie den kommenden Anforderungen des nDSG.