Unterweisungen: Datenschutz & IT-Sicherheit

Datenschutz und IT-Sicherheit sind aus der modernen Arbeitswelt nicht mehr wegzudenken und allgegenwärtige Begriffe. Werden in Unternehmen Daten verarbeitet, insbesondere personenbezogene Daten, muss sichergestellt werden, dass die Verarbeitung dieser sicher erfolgt. Hierzu ist die Sensibilisierung der Mitarbeiter im Umgang mit diesen Daten erforderlich. Eine Möglichkeit für die Sensibilisierung der Mitarbeiter sind Unterweisungen. Wir betrachten in diesem Beitrag die Grundlagen der Datenschutz- und IT-Sicherheitsunterweisung und werfen einen Blick auf die Inhalte sowie Umsetzungsmöglichkeiten und Anforderungen an die Dokumentation.

Inhaltsverzeichnis:

Was versteht man unter Datenschutz?

Bei Datenschutz geht es um die Einhaltung der Persönlichkeitsrechte und den sicheren Umgang mit personenbezogenen Daten. Die oberste Zielsetzung des Datenschutzes ist es, der missbräuchlichen Verarbeitung der Daten vorzubeugen sowie die informationelle Selbstbestimmung zu schützen.

Personenbezogene Daten sind dabei nach Art. 4 Datenschutzgrundverordnung (DSGVO):

„(…) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 DSGVO)

Für die Bedeutung des Datenschutzes im Unternehmen können Mitarbeiter im Rahmen einer Datenschutzunterweisung sensibilisiert werden. Datenschutzschulungen bzw. -unterweisungen sollten daher als fester Bestandteil in den Datenschutzkonzepten von Unternehmen verankert werden.

Die rechtliche Grundlage der Datenschutzunterweisung

Ihren Ursprung findet die Datenschutzunterweisung in den Regelungen der Datenschutzgrundverordnung (DSGVO). Diese wurde im Jahr 2018 eingeführt und ersetzt das bisherige Bundesdatenschutzgesetz in Deutschland.

Die DSGVO sieht keine konkrete Regelung zur Durchführung einer Datenschutzschulung/Unterweisung vor, sie verpflichtet den Datenschutzbeauftragten allerdings zur Sensibilisierung und Schulung der Mitarbeiter. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus den Regelungen der Artikel 32 und Artikel 39 DSGVO.

Artikel 32 DSGVO befasst sich dabei explizit mit der Einrichtung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zur gewährleisten. Im Detail heißt es in Absatz 1:

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. ( 32 DSGVO)

Artikel 39 DSGVO befasst sich mit den Aufgaben des Datenschutzbeauftragen. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus Artikel 39 Absatz 1 lit. b:

„Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;“ (Art. 39 Abs. 1 lit.b)

Die Rechtsfolgen von Datenschutzverstößen können schwerwiegend sein und Geldbußen und/ oder Vertrauensverlust nach sich ziehen. Im Rahmen der Einführung der DSGVO wurden auch die Geldbußen für diese Verstöße angepasst. Bei einem Verstoß drohen nun Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.

Die Regelungen zu möglichen Bußgeldern bei Verstößen gegen die Datenschutzgrundverordnung sind in Artikel 83 DSGVO aufgelistet.

Bei der Auftragsverarbeitung wird die Haftung für Datenschutzthemen auch auf den Dienstleister ausgeweitet. Das heißt, der Auftraggeber muss den Dienstleister überwachen, der Dienstleister muss gleichzeitig aber auch den Auftraggeber über mögliche Datenschutzverstöße informieren.

Datenschutzschulungen und Unterweisungen in Unternehmen sind regelmäßig zu wiederholen. Vor der Aufnahme einer Tätigkeit sind Mitarbeiter beispielsweise über den Umgang mit und die Verarbeitung von personenbezogenen Daten zu unterrichten. Ebenso müssen die Mitarbeiter über Neuerungen in Bezug auf den Datenschutz unterwiesen werden.

Unterstützt wird ein Unternehmen bei der Erfüllung der Datenschutzanforderungen in der Regel, wie weitere oben bereits erwähnt, durch einen Datenschutzbeauftragten. Hierbei kann es sich um einen Mitarbeiter handeln, der für Datenschutzfragen zuständig ist, oder es wird ein externer Datenschutzbeauftragter beauftragt. 

Erfahren Sie mehr über die Umsetzung von Unterweisungen im Unternehmen und  informieren Sie sich über das LapID E-Learning-System.

Für wen ist die Datenschutzunterweisung notwendig?

Die Datenschutzunterweisung muss für alle Mitarbeiter durchgeführt werden, die Zugriff auf personenbezogene Daten haben und diese verarbeiten.

Gründe für Datenschutzverstöße

Die Gründe für Verstöße gegen den Datenschutz können vielseitig sein. Die häufigsten Ursachen sind beispielsweise:

  • Hektik und Unachtsamkeit bei der Arbeit
  • Offen liegengelassene vertrauliche Dokumente
  • Ungeordnete Entsorgung von Dokumenten (mit personenbezogenen Daten)

Inhalte der Datenschutzunterweisung

Im Rahmen der Datenschutzunterweisung werden zum Beispiel folgende Themen behandelt:

  • Gegenstand und Ziele der Datenschutzgrundverordnung
  • Definition des Begriffs „personenbezogene Daten“
  • Grundsätze zur Verarbeitung personenbezogener Daten
  • Sorgsamer Umgang mit personenbezogenen Daten
  • Strafen bei Verstößen
  • Rechte der Betroffenen (Informationsrecht, Auskunftsrecht, Recht auf Berichtigung und Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht)
  • Informationen zur unternehmensinternen Datenschutzmaßnahmen
  • Meldepflichten und Prozesse bei Datenpannen
  • Umgang mit Aufsichtsbehörden
  • Kontaktinformationen zum Datenschutzbeauftragten

Die konkreten Inhalte sind dabei immer abhängig von der Position, die ein Mitarbeiter im Unternehmen besetzt und von den personenbezogenen Daten, die bei der Tätigkeit verarbeitet werden. Je nach Tätigkeitsbereich ist die Verarbeitung von personenbezogenen Daten intensiver als in anderen Tätigkeitsbereichen und umfasst beispielsweise auch besonders sensible Daten wie Gesundheitsdaten.

Was ist IT-Sicherheit?

Mit der zunehmenden Digitalisierung steigt auch der Anteil von Informationen, die digital verarbeitet werden. Hinzu kommen immer neue Informations- und Kommunikationstechniken, in denen die Mitarbeiter im richtigen Umgang unterwiesen werden müssen. Im Fokus steht die Sicherung der verarbeiteten Daten. Gelangen diese nach außen und in die Hände Dritter, kann dies zu Konsequenzen führen.

Unter IT-Sicherheit versteht man die Sicherheit der technischen Systeme eines Unternehmens. Zu dieser Sicherheit können die Mitarbeiter durch sicherheitsgerechtes Verhalten beitragen. Hierzu ist es notwendig, dass sie mögliche Gefahren kennen und wissen, wie mit diesen umzugehen ist. Um dies sicherzustellen ist es wichtig, dass die Mitarbeiter die Ziele der Informationssicherheit des Unternehmens kennen.

Die IT-Sicherheit befasst sich grundsätzlich mit verschiedenen Schutzzielen. Zu den Schutzzielen der Informationssicherheit zählen Vertraulichkeit, Integrität und Verfügbarkeit. Mit der Einhaltung dieser Schutzziele soll die Datensicherheit gewährleistet werden.

Die rechtliche Grundlage der IT-Sicherheitsunterweisung

Die IT-Sicherheitsunterweisung ist nicht gesetzlich geregelt, vielmehr richtet sie sich nach den IT-Richtlinien der Unternehmen. Unternehmer sind dazu angehalten, geeignete Maßnahmen zum Risikomanagement zu ergreifen und Maßnahmen umzusetzen, die die IT-Sicherheit gewährleisten. Hierunter kann die IT-Sicherheitsunterweisung fallen. Wird eine IT-Sicherheitsunterweisung durchgeführt, sollte diese jährlich wiederholt werden. Die Inhalte orientieren sich dabei an den Richtlinien und Systemen des Unternehmens.

In Unternehmen ist ein eingesetzter Informationssicherheitsbeauftragter oder eine beauftragte Person für die ordnungsgemäße Durchführung der Unterweisung zuständig. Bei Änderungen in den IT-Sicherheitsrichtlinien sind die Mitarbeiter hierüber schriftlich auch unterjährig zu informieren. Im Bedarfsfall kann eine weitere Unterweisung notwendig sein.

Die IT-Sicherheitsunterweisung unterliegt dabei keiner gesetzlich vorgeschriebenen Ordnung. Unternehmen sind frei in der Gestaltung und können hierzu zum Beispiel auf Präsenzveranstaltungen oder E-Learning-Lösungen zurückgreifen.

Für eine Datenpanne haftet grundsätzlich die Unternehmensführung. Ausnahmen gibt es allerdings, wenn Mitarbeiter grob fahrlässig oder vorsätzlich falsch handeln. In diesen Fällen kann die Haftung an die Mitarbeiter übergehen. Bei Datenschutzvorfällen greift insbesondere die bereits vorgestellte DSGVO und die darin enthaltenen Regelungen.

Bei IT-Sicherheitsverstößen kommt es in erster Linie darauf an, wie schnell man bei einem Verstoß reagiert. Die Reaktionszeiten sind dabei eng mit anderen gesetzlichen Regelungen, wie z. B. der DSGVO verknüpft. Diese schreibt vor, innerhalb welcher Zeiten im Falle eines Datenschutzvorfalls zu reagieren ist.

Für wen ist die IT-Sicherheitsunterweisung notwendig?

Die IT-Sicherheitsunterweisung muss für alle Mitarbeiter durchgeführt werden und sensibilisiert im Umgang mit sicherheitskritischen Informationen.

Gründe für IT-Sicherheitsverstöße

Die Gründe für Verstöße gegen die IT-Sicherheit können vielseitig sein. Die häufigsten Ursachen sind beispielsweise:

  • Hektik und Unachtsamkeit bei der Arbeit
  • Offen liegengelassene vertrauliche Dokumente (ebenso datenschutzrechtlich relevant)
  • Nicht verschlüsselte E-Mails
  • Verstoß gegen organisatorische und technische Sicherheitsverfahren z. B.
    • allgemein zugängliche Passwörter
    • Nicht gesperrte Monitore bei Verlassen des Arbeitsplatzes

Je nach Art der Daten, die offengelegt wurden, kann dies beispielsweise auch einen Verstoß gegen den Datenschutz darstellen.

Inhalte der IT-Sicherheitsunterweisung

Im Rahmen von IT-Sicherheitsunterweisungen werden in der Regel folgende Bestandteile unterwiesen:

  • Schaffen eines grundsätzlichen Verständnisses für IT-Sicherheit im Unternehmen
  • Sensibilisierung für die Gefahren im digitalen Arbeitsalltag
  • Erkennen von Phishing-E-Mails und Phishing-Webseiten
  • Verwendung sicherer Passwörter
  • Umgang mit der Übertragung von Daten via externer Datenträger
  • Verhalten im Internet und in der Public Cloud
  • Installation von Software auf Endgeräten
  • Mobiles Arbeiten und arbeiten auf Geschäftsreisen
  • Verhalten in sozialen Netzwerken
  • Verhalten im Schadensfall
  • Darstellung unternehmensinterner Richtlinien zur IT-Sicherheit

Erfahren Sie mehr über die Umsetzung von Unterweisungen im Unternehmen und  informieren Sie sich über das LapID E-Learning-System.

Was sind die Unterschiede zwischen IT-Sicherheit und Datenschutz?

Die Anforderungen zum Datenschutz ergeben sich per Gesetz, im Vordergrund steht hier die Datenschutzgrundverordnung, die dem Schutz von personenbezogenen Daten dient. Hierbei ist egal, auf welcher Art und Weise diese Daten verarbeitet werden, der Schutz dieser Daten steht mit allen nötigen Mitteln im Fokus, ein Verstoß hat rechtliche Konsequenzen.

Die IT-Sicherheit hingegen regelt den Schutz von IT-Infrastruktur und deren Bestandteile, egal ob dort personenbezogene Daten verarbeitet werden oder nicht. Die IT-Sicherheit unterliegt hierbei keinem gesetzlichen Zwang, Konsequenzen sind daher auch nicht per Gesetz definiert.

Dennoch haben beide Gebiete Gemeinsamkeiten und Überschneidungen, denn IT-Sicherheit und Datenschutz dienen der Sicherheit im Unternehmen. IT-Sicherheit und Datenschutz können sich dabei sogar ergänzen. Eine gut aufgebaute IT-Sicherheit schützt vor IT-basierten Gefahren und unterstützt damit den Datenschutz. Hacker-Angriffe werden so deutlich verringert und der Datenschutz gestärkt.

Umsetzungsmöglichkeiten der Unterweisung

Unterweisungen können auf verschiedene Art und Weise durchgeführt werden. Zu unterscheiden ist zwischen der klassischen Präsenzveranstaltung, die in der Regel als Frontalunterricht gestaltet ist und modernen E-Learning-Lösungen. Wir haben uns beide Arten genauer angeschaut und für Sie verglichen:

Bei der Umsetzung von Schulungen und Unterweisungen sind verschiedene Schritte zu berücksichtigen. In unserem Beitrag geben wir einen Überblick über die wichtigsten To Dos bei der Planung von Schulungen und Unterweisungen:

Welche Vorteile können E-Learning-Lösungen bieten? Wir haben uns die Vorteile am Beispiel der Fahrerunterweisung nach UVV genauer angeschaut:

Dokumentation der Unterweisungen

Unterweisungen sind zur Sicherheit des Unternehmens und der Mitarbeiter zu dokumentieren. Im Rechtsfall kann so nachgewiesen werden, dass das Unternehmen seinen Pflichten nachgekommen ist. Eine generelle Pflicht zur Dokumentation von Unterweisungen besteht hingegen nicht.

Einzelne Unterweisungen erfordern allerdings eine schriftliche Dokumentation. Hierzu zählt beispielsweise auch die Datenschutzschulung bzw. Unterweisung. Hier greifen die Regelungen der Nachweis- und Schulungspflichten der Datenschutzgrundverordnung. Artikel 5 der DSGVO befasst sich mit der Rechenschaftspflicht. Diese Rechenschaftspflicht besagt, dass Führungskräfte für die Einhaltung von Datenschutzgrundsätzen verantwortlich sind und die Konformität belegen müssen können.

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“) (5 DSGVO).

Aus dieser Definition ergibt sich eine indirekte Dokumentationspflicht zur Datenschutzunterweisung. Ebenso relevant ist der bereits erwähnte Artikel 32 DSGVO, der die Pflicht zur Einhaltung technisch organisatorischer Maßnahmen behandelt. Diese Pflicht erstreckt sich auf Auftragsverarbeiter, die laut Artikel 28 Absatz 3 lit. b DSGVO gewährleisten müssen, dass Mitarbeiter die personenbezogene Daten im Auftrag verarbeiten, zur Vertraulichkeit verpflichtet wurden.

 

Mehr zu den LapID Unterweisungen


Stefanie Effer

Stefanie Effer


Lesezeit

Durchschnittliche Lesezeit: 5 min




Im Blog suchen


    Sie haben Themenwünsche?



    Schreiben Sie den ersten Kommentar: