Schlafmittel DSGVO: die Mitarbeiterschulung

Formulieren wir es zum Start mal gleich ketzerisch: Wer mit Einschlafproblemen zu kämpfen hat, dem sei eine DSGVO-Schulung zur Mitarbeitersensibilisierung ans Herz gelegt. In den allermeisten Fällen ist diese leider dazu geeignet, auch einem gestandenen Juristen ein ausgedehntes Schläfchen zu ermöglichen. Generell ist gegen gut ausgeschlafene Mitarbeiter*innen auch nichts einzuwenden. Nur benötigen wir diese genau jetzt wach und aufnahmefähig.

Wozu brauchen wir diese Schulungen überhaupt?

Es ist nicht möglich, die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben ohne ein datenschutzkonformes Verhalten der Mitarbeiter*innen zu erreichen. Und dazu ist es notwendig, den Mitarbeitern regelmäßig die Grundlagen des Datenschutzrechtes zu vermitteln.

Zudem schreibt der Gesetzgeber vor, dass jeder Unternehmer sich aktiv darum zu kümmern hat, dass die Angestellten sich datenschutzkonform verhalten und er dies auch nachweisen muss. 

Da der Mensch in einem Unternehmen noch immer mit den größten Risikofaktor für den Datenschutz darstellt, sind diese Schulungen aber eben nicht die lästige Formalie, für die sie oft verkauft werden. Sie sind ein wichtiger und nicht zu unterschätzender Bestandteil der organisatorischen Maßnahmen die jede*r verantwortungsvolle Geschäftsführer*in entwickeln und leben sollte.

Generell müssen die Mitarbeiter*innen das Thema in ihrem Berufsalltag einfach “auf dem Schirm” haben. Ob nun im Kontakt mit Kunden, Dienstleistern und Partnern oder bei der Einführung neuer Prozesse oder technischer Lösungen: Irgendwo hat eigentlich jeder Kontakt mit personenbezogenen Daten

Datenschutz? – Brauchen wir nicht!  

Noch ehe die DSGVO in Kraft trat, hatte sie ihren Ruf schon weg: Nicht ausgereift, ein Bürokratiemonster, staubtrocken, stinklangweilig, absolut unverständlich und überhaupt: Wer braucht das denn? 

Der meistgehörte und im Brustton der Überzeugung vorgebrachte Satz ist hier: 

“Ich habe doch nichts zu verbergen.”

Aber, Hand auf’s Herz, ist das wirklich so? Was ist für Sie privat? Ihr Lohn, Ihre Passwörter und Ihr Schlafzimmer? Oder wo Sie gestern Abend waren? Hat nicht jeder von uns etwas zu verbergen oder hätte nicht wenigstens gerne die Kontrolle darüber, wer wann was mit diesen Informationen macht?

Falls nicht, so hat aber zumindest das Unternehmen ein Interesse daran, seine Informationen zu schützen. Zwar greift die DSGVO nicht direkt bei Betriebsgeheimnissen, sondern bei personenbezogenen Daten, aber der Weg, auf dem diese Daten das Unternehmen unerwünscht verlassen, ist in der Regel identisch. 

Datenschutz ist halt langweilig! – Nö. 

Wer also als Unternehmer*in oder als Datenschutzbeauftragte(r) diese Schulungen bloß als abzuarbeitende Pflicht sieht und auch so an die Mitarbeiter*innen verkauft, der verschenkt eines seiner wichtigsten Instrumente. 

Nun kann man seinen Mitarbeiter*innen nicht abverlangen, einen faden Vortrag mit Koma-Flair von sich aus hochspannend zu finden. Das wird nicht passieren. Erst recht nicht bei den Menschen, bei denen das negative Framing der DSGVO einen Sieg verbuchen durfte.

Zieht man eine Sensibilisierungsschulung also nach dem erwarteten Schema F durch, ist diese schlicht und ergreifend verschenkte Lebenszeit. Für die vortragende Person, aber auch für das Publikum. Und je nach Größe der zu schulenden Gruppe ist man hier schnell bei mehreren Personentagen. Ganz schön teuer für eine Mütze Schlaf.

Storytelling is the key

Menschen erzählten sich schon immer Geschichten. Man saß gemeinsam am Feuer und hing dem Geschichtenerzähler an den Lippen. So wurde Wissen konserviert und weitergegeben.

Heute würde ich von einem Feuer vermutlich absehen, da sich das in Meetingräumen nicht so gut umsetzen lässt, aber das Geschichtenerzählen ist etwas, was heute noch immer funktioniert. 

Tolle Aufhänger bietet hier zum Beispiel der (wirklich gute) Artikel von Felix Ebert und Hannes Munzinger

  • Welche Frau weiß schon, dass 32 von 36 Apps zum Tracken des Monatszyklus die Daten direkt an Facebook weitergeben?
  • Wer möchte, dass sein Handy nachts Daten nach China schickt? Ungefragt und unverschlüsselt?
  • Wer weiß, dass seine Nutzerinformationen bei Datenbrokern wie Aktien gehandelt werden?
  • Wer weiß überhaupt, dass er eine Werbe-ID hat?

Dadurch, dass man die Zuhörenden mit alltäglichen Situationen konfrontiert, wird schnell deutlich: “Ich habe doch etwas zu verbergen” und es wird ein Bewusstsein geschaffen für die große Daten-Schattenwirtschaft und die entsprechenden Risiken.

Geschlafen wird jetzt so schnell nicht mehr. 

Angstszenario oder einfach Realität?

Die ungeteilte Aufmerksamkeit hat man erfahrungsgemäß auch beim Thema “Strafen und Haftung”. 

Bei den zu erwartenden Strafen bei einem Datenschutzverstoß wurde einem bisher gerne vorgehalten, dass es sich um eine reine Drohkulisse handelt, von der die DSGVO eben lebt.

Die letzten Wochen des Jahres 2019 haben aber mehr als deutlich gezeigt: Die Bußgelder stehen nicht nur auf dem Papier, sie werden auch verhängt. Und es trifft sowohl die kleinen, als auch die großen Unternehmen. 

Durch eine nicht erfolgte Mitarbeitersensibilisierung, veraltete IT-Infrastrukturen und eine generelle  “Datenschutz brauchen wir nicht”-Haltung steigt das Risiko für Unternehmer*innen, persönlich haftbar gemacht zu werden, einen hohen Anteil der Prozesskosten selbst tragen zu müssen oder sogar den Versicherungsschutz zu verlieren. 

Die Mitarbeiter selbst treibt eher die Frage um, inwiefern sie persönlich für eine Datenpanne verantwortlich gemacht werden können. Die meisten Vorfälle entstehen ja nicht vorsätzlich, sondern “aus Versehen”, aus Unachtsamkeit und aus dem mangelnden Verständnis für Risiken. Allerdings ist die Unsicherheit groß, was denn nun passiert, wenn was passiert. 

Eine gute Gelegenheit, darauf einzugehen, was zu tun ist, wenn (eventuell) etwas passiert ist. 

Melden macht frei und schützt

Datenpannen werden zu einem Viertel durch menschliches Versagen verursacht. Zumeist unabsichtlich. Diese Menschen sind es aber auch, die Risiken erkennen und Unregelmäßigkeiten oder Auffälligkeiten entdecken und melden können. Der oder die Datenschutzbeauftragte kann ja nicht überall sein. 

Wer es schafft, seine Mitarbeitenden für den Datenschutz zu gewinnen und sie ermutigt und befähigt, Datenschutzpannen zu erkennen und zu melden, erhält die Möglichkeit, enormen Schaden von seinem Unternehmen abzuwenden.

Bei der Autovermietung Buchbinder versagte nicht nur die IT-Sicherheit, sondern auch die Meldekette: Das Unternehmen wurde bereits lange vor dem Bekanntwerden des Datenlecks durch Dritte vom falsch konfigurierten Back-up-Server in Kenntnis gesetzt – und reagierte nicht. Diese Information ist offensichtlich im Unternehmen versickert. 

Dass etwas Vergleichbares passiert ist unwahrscheinlicher, wenn es einen niedrigschwelligen Meldeprozess gibt, der den Mitarbeitenden bekannt ist und sie wissen, dass das Thema für ihr Unternehmen wichtig ist.

Auch ein Auskunfts- oder Löschersuchen muss korrekt behandelt werden, wenn man bohrende Fragen von der Aufsichtsbehörde oder Anwälten vermeiden möchte. Bei einem regelmäßig festgesetzten Streitwert von 5000€ für ein Auskunftsersuchen, sind allein die Gerichtskosten schon unangenehm. Und noch dazu vermeidbar. 

Form follows function

Allein diese Punkte sind es im wahrsten Sinne des Wortes schon “wert”, dass man der Mitarbeiter*innensensibilisierung mehr Aufmerksamkeit schenkt. Und wenn man diese weiterhin nur ein Mal jährlich machen möchte, sollte man zumindest schauen, dass das Format die Leute auch wirklich abholt

Sprechen Sie doch mal mit Ihrem Datenschutzbeauftragten oder Dienstleister für die Schulungen über seine Motivation und Einstellung zum Datenschutz.

Wenn dieser Mensch SIE nicht überzeugen kann, dann vermutlich auch keinen aus Ihrem Team.

Meiner Erfahrung nach bringen echte und persönliche Beispiele zum Datenschutz mehr als jedes Zitat aus der DSGVO und freie Rede fesselt mehr als die schönste Folie. 

Es ist nicht wichtig, hinterher die Artikel herzitieren zu können. Es ist wichtig, dass die Mitarbeitenden den Sinn und die Relevanz des Datenschutzes begreifen. Für sich selbst. Und somit auch für die Daten in Ihrem Unternehmen. 

Der Datenschutz muss Teil der Unternehmenskultur werden. Und ja: Das geht! Aber nicht, wenn er nach Langeweile und überflüssiger Bürokratie riecht. 

Deshalb: Sensibilisieren Sie Ihre Mitarbeitenden durch jemanden, der für das Thema brennt und es lebensnah transportiert.

Wenn die Menschen für sich den Sinn erfasst haben, wird das (fast) zum Selbstläufer. 

Sie wollen sich austauschen oder haben Fragen? Sprechen Sie mich gerne an. Sie teilen meine Meinung oder wollen einen Denkanstoß geben? Teilen Sie den Artikel gern!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dieses Formular speichert Deinen Namen, Deine E-Mail-Adresse sowie den Inhalt, damit wir die Kommentare auf unserer Seite auswerten und anzeigen können. Weitere Informationen findest Du in unserer Datenschutzerklärung.