So sieht eine perfekte Grundlagenschulung zum Datenschutz aus:
Die Reform des Bundesdatenschutzgesetzes liegt zwar jetzt über ein Jahr zurück – doch immer wird festgestellt, dass es bei der Umsetzung noch hapert.
Die folgende Übersicht „Das sollte eine Grundlagenschulung zum Datenschutz enthalten“ liefert Ihnen wichtige Tipps – damit Ihr Unternehmen in Sachen Datenschutz auf der sicheren Seite ist. Lesen Sie sich die Checkliste in Ruhe durch oder drucken Sie diese direkt aus und überprüfen Sie die einzelnen Schritte.
Sind alle Schwerpunkthemen in Ihrer bisherigen Grundlagenschulung enthalten, erfüllen Sie bereits alle rechtlichen Anforderungen. Sollten jedoch wichtige Themenbereiche fehlen, sollten Sie Ihre Schulung noch einmal überarbeiten, um für einen rechtskonformen Umgang mit personenbezogenen Daten in Ihrem Unternehmen zu sorgen.
Grundlagenschulung zum Datenschutz: Diese Themen sollte Ihre Schulung beinhalten
| Schwerpunkthema | Enthalten? | |
| Worum geht es beim Datenschutz? Wichtig ist, dass den Teilnehmern klar wird, dass es ein Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) gibt. Aber auch der Zweck des BDSG ist erwähnenswert. So soll damit der Einzelnen davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). | ja | nein |
| Welche Daten sind geschützt? Vom BDSG sind in erster Linie nur personenbezogene Daten geschützt. Daten zu juristischen Personen, Geschäftsdaten oder etwa Konstruktionszeichnungen sind nicht erfasst. Hier kann § 17 UWG die richtige Hausnummer sein. Dieser definiert eine Strafbarkeit, wenn sich etwa ein Mitarbeiter an der Kundendatenbank bedient und somit Betriebsgeheimnisse verrät. | ja | nein |
| Was sind personenbezogene Daten? Oft gibt es hier Missverständnisse, denn Mitarbeiter glauben zu wissen, was gemeint ist. Die gesetzliche Definition finden Sie in § 3 Abs. 1 BDSG. Danach sind darunter Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, des Betroffenen, zu verstehen. Dazu zählen beispielsweise Name, Anschrift, Telefonnummer, E-Mail-Adresse, Kontodaten usw. Tipp: Denken Sie auch an die besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG). Zumindest Gesundheitsdaten dürfte es auch in Ihrer Personalabteilung geben. | ja | nein |
| Welches Grundprinzip kennzeichnet den Datenschutz? Weisen Sie auf das sogenannte Erlaubnisvorbehaltsprinzip hin: Das Erheben, Verarbeiten und Nutzen personenbezogener Daten ist grundsätzlich unzulässig. Nur wenn eine Rechtsgrundlage (z. B. § 28 oder § 32 BDSG oder eine andere vorrangige Rechtsvorschrift) oder die Einwilligung des Betroffenen (§ 4a BDSG) das Erheben, Verarbeiten oder Nutzen erlaubt, gilt dieser Grundsatz nicht. | ja | nein |
| Was bedeutet Erheben, Verarbeiten oder Nutzen personenbezogener Daten? Erläutern Sie grundlegende Begriffe. Schließlich wissen Mitarbeiter oft nicht, dass es auch eine Form des Verarbeitens ist, wenn Daten gelöscht werden. Die vom Gesetzgeber vorgegebenen Definitionen für das Erheben, Verarbeiten und Nutzen finden Sie in § 3 Abs. 3–5 BDSG. Darüber hinaus sind in § 3 BDSG weitere Begriffe erläutert. | ja | nein |
| Was steckt hinter dem Datengeheimnis? Auf manche Dinge kann man als Datenschutzbeauftragter nicht genug hinweisen, beispielsweise das Datengeheimnis. Weil mancher Mitarbeiter doch etwas vergesslicher ist, können Sie ruhig immer wieder auf die Pflicht aus § 5 BDSG hinweisen. Danach ist es Beschäftigten untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Das Datengeheimnis gilt auch dann noch, wenn der Mitarbeiter das Unternehmen bereits verlassen hat. | ja | nein |
| Welchen Sinn haben Anonymisierung und Pseudonymisierung? Auch dieser Punkt ist wichtig: Personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, wenn dies im Hinblick auf den Verwendungszweck möglich ist und keinen unverhältnismäßigen Aufwand bedeutet. Auch hier brauchen Sie die Begriffe nicht lange im Internet zu suchen. § 3 Abs. 6 und 6a geben Ihnen die passende Erläuterung. | ja | nein |
| Welche Rechte stehen Betroffenen zu? Ziel des BDSG ist es auch, Transparenz im Umgang mit personenbezogenen Daten zu schaffen. Hierzu stehen den Betroffenen, beispielsweise Kunden, Interessenten und Beschäftigten, Rechte zur Verfügung. So nennt § 6 BDSG das Recht auf Auskunft (§ 34 BDSG) und das Recht auf Berichtigung, Löschung und Sperrung (§ 35 BDSG). Geben Sie zusätzlich die wichtige Information, dass diese Rechte weder ausgeschlossen noch eingeschränkt werden. | ja | nein |
| Was ist bei Outsourcing von Datenverarbeitung zu beachten? Hier geht es um das Stichwort Auftragsdatenverarbeitung nach § 11 BDSG. Machen Sie deutlich, was unter „Datenverarbeitung im Auftrag“ zu verstehen ist und dass selbst bei einer ausgelagerten Verarbeitung Ihr Unternehmen als verantwortliche Stelle haftet. Auch zu den seit 1.9.2009 geltenden Neuerungen sollten Sie einige Worte verlieren. Nicht jedem wird bekannt sein, dass eine schriftliche Vereinbarung mit dem Inhalt des § 11 Abs. 2 BDSG zu schließen ist. Ähnlich wird dies aussehen, wenn es um die neue Kontrollpflicht des Auftraggebers beim Auftragnehmer geht. | ja | nein |
| Wer ist für die Einhaltung des Datenschutzes verantwortlich? Grundsätzlich muss das Unternehmen, also die sogenannte verantwortliche Stelle, dafür sorgen, dass es in Sachen Datenschutz im grünen Bereich ist. Insofern trägt es die volle datenschutzrechtliche Verantwortung. Dennoch trifft den Beschäftigten als Arbeitnehmer eine gewisse Verantwortung, wenn er mit personenbezogenen Daten zu tun hat. Es gibt auch eine sogenannte Arbeitnehmerhaftung, bei der sich das Unternehmen unter bestimmten Voraussetzungen schadlos halten kann. | ja | nein |
| Welche Rolle spielt der betriebliche Datenschutzbeauftragte? Machen Sie deutlich, dass der Datenschutzbeauftragte Berater des Unternehmens in Datenschutzfragen sind. Erläutern Sie seine Aufgaben, dass er etwa Vorabkontrollen durchführt und Mitarbeiter für das Thema Datenschutz sensibilisiert. Machen Sie auch deutlich, dass man ihm auf dem Gebiet des Datenschutzes keine Weisungen erteilen darf und dass er direkt der Geschäftsleitung zugeordnet sind. Tipp: Durchaus von Interesse kann es für Ihre Teilnehmer sein, wenn Sie erläutern, unter welchen Voraussetzungen Unternehmen einen Datenschutzbeauftragten bestellen. Diese Voraussetzungen finden Sie in § 4f BDSG. | ja | nein |
| Wer kontrolliert die Einhaltung datenschutzrechtlicher Bestimmungen? Vertrauen ist gut, Kontrolle ist besser. Nach diesem Motto arbeiten nicht nur der Datenschutzbeauftragte, wenn er beispielsweise die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen prüft. Auch die Aufsichtsbehörden für den Datenschutz kontrollieren, ob Unternehmen datenschutzrechtlich sauber arbeiten. Stellt sich heraus, dass dem nicht so ist, drohen Bußgelder bis zu 300.000 €. Tipp: Je nachdem, in welcher Branche Ihr Unternehmen tätig ist, sollten Sie auf Verstöße eingehen, die gerade in Ihrem Unternehmen passieren könnten. Wird viel Datenverarbeitung outgesourct, kann beispielsweise eine fehlende schriftliche Vereinbarung teuer werden. | ja | nein |
| Was ist zu tun bei Datenschutzverstößen? Stellt ein Mitarbeiter fest, dass es zu einem Datenschutzverstoß gekommen ist, weil etwa Daten abhanden gekommen sind, sind schnellstens Geschäftsleitung und Datenschutzbeauftragter zu informieren. Nur so kann schnell für Abhilfe gesorgt und der Schaden begrenzt werden. Darüber hinaus kann nur so zeitnah geprüft werden, inwieweit Aufsichtsbehörde und Betroffene bei schwerwiegenden Datenschutzverstößen informiert werden müssen (§ 42a BDSG). | ja | nein |
| Wie ist mit Computer, E-Mail & Co. umzugehen? Bestimmt gibt es in Ihrem Unternehmen Vorgaben dazu, wie etwa mit Computern und USB-Sticks oder Internet und E-Mail umzugehen ist. Gegebenenfalls ist die Privatnutzung nur in bestimmtem Umfang gestattet der ganz ausgeschlossen. Verlieren Sie unbedingt ein paar Worte zu den Rahmenbedingungen und den Konsequenzen eines Verstoßes. Tipp: Geben Sie den Teilnehmern Ihrer Schulung insbesondere einen Überblick über einschlägige Betriebsvereinbarungen. Manch einer ist hin und wieder erstaunt, was da so alles zum Umgang mit der modernen Technik geregelt ist. | ja | nein |
Günter Stein ist seit über 20 Jahren im Arbeitsrecht und im Steuerrecht zu Hause. Unzählige Publikationen und eine begeisterte Leserschaft zeugen davon. Sein Motto: Die Dinge auf den Punkt bringen, Juristensprache in verständliche Tipps und Empfehlungen „übersetzen", um seinen Leserinnen und Lesern so den Berufsalltag zu erleichtern.
Mehr zum Thema Datenschutz
