Unterweisungen: Datenschutz & IT-Sicherheit

Datenschutz und IT-Sicherheit sind aus der modernen Arbeitswelt nicht mehr wegzudenken und allgegenwärtige Begriffe. Werden in Unternehmen Daten verarbeitet, insbesondere personenbezogene Daten, muss sichergestellt werden, dass die Verarbeitung dieser sicher erfolgt. Hierzu ist die Sensibilisierung der Mitarbeiter im Umgang mit diesen Daten erforderlich. Eine Möglichkeit für die Sensibilisierung der Mitarbeiter sind Unterweisungen. Wir betrachten in diesem Beitrag die Grundlagen der Datenschutz- und IT-Sicherheitsunterweisung und werfen einen Blick auf die Inhalte sowie Umsetzungsmöglichkeiten und Anforderungen an die Dokumentation.

Inhaltsverzeichnis:

Was versteht man unter Datenschutz?

Bei Datenschutz geht es um die Einhaltung der Persönlichkeitsrechte und den sicheren Umgang mit personenbezogenen Daten. Die oberste Zielsetzung des Datenschutzes ist es, der missbräuchlichen Verarbeitung der Daten vorzubeugen sowie die informationelle Selbstbestimmung zu schützen.

Personenbezogene Daten sind dabei nach Art. 4 Datenschutzgrundverordnung (DSGVO):

„(…) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 DSGVO)

Für die Bedeutung des Datenschutzes im Unternehmen können Mitarbeiter im Rahmen einer Datenschutzunterweisung sensibilisiert werden. Datenschutzschulungen bzw. -unterweisungen sollten daher als fester Bestandteil in den Datenschutzkonzepten von Unternehmen verankert werden.

Die rechtliche Grundlage der Datenschutzunterweisung

Ihren Ursprung findet die Datenschutzunterweisung in den Regelungen der Datenschutzgrundverordnung (DSGVO). Diese wurde im Jahr 2018 eingeführt und ersetzt das bisherige Bundesdatenschutzgesetz in Deutschland.

Die DSGVO sieht keine konkrete Regelung zur Durchführung einer Datenschutzschulung / Unterweisung vor, sie verpflichtet den Datenschutzbeauftragten allerdings zur Sensibilisierung und Schulung der Mitarbeiter. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus den Regelungen der Artikel 32 und Artikel 39 DSGVO.

Artikel 32 DSGVO befasst sich dabei explizit mit der Einrichtung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Detail heißt es in Absatz 1:

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. ( 32 DSGVO)

Artikel 39 DSGVO befasst sich mit den Aufgaben des Datenschutzbeauftragen. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus Artikel 39 Absatz 1 lit. b:

„Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;“ (Art. 39 Abs. 1 lit.b)

Die Rechtsfolgen von Datenschutzverstößen können schwerwiegend sein und Geldbußen und / oder einen Vertrauensverlust nach sich ziehen. Im Rahmen der Einführung der DSGVO wurden auch die Geldbußen für diese Verstöße angepasst. Bei einem Verstoß drohen nun Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.

Die Regelungen zu möglichen Bußgeldern bei Verstößen gegen die Datenschutzgrundverordnung sind in Artikel 83 DSGVO aufgelistet.

Bei der Auftragsverarbeitung wird die Haftung für Datenschutzthemen auch auf den Dienstleister ausgeweitet. Das heißt, der Auftraggeber muss den Dienstleister überwachen, der Dienstleister muss gleichzeitig aber auch den Auftraggeber über mögliche Datenschutzverstöße informieren.

Datenschutzschulungen und Unterweisungen in Unternehmen sind regelmäßig zu wiederholen. Vor der Aufnahme einer Tätigkeit sind Mitarbeiter beispielsweise über den Umgang mit und die Verarbeitung von personenbezogenen Daten zu unterrichten. Ebenso müssen die Mitarbeiter über Neuerungen in Bezug auf den Datenschutz unterwiesen werden.

Unterstützt wird ein Unternehmen bei der Erfüllung der Datenschutzanforderungen in der Regel, wie weiter oben bereits erwähnt, durch einen Datenschutzbeauftragten. Hierbei kann es sich um einen Mitarbeiter handeln, der für Datenschutzfragen zuständig ist, oder es wird ein externer Datenschutzbeauftragter beauftragt. 

Laden Sie hier unser kostenloses Merkblatt rund um Unterweisungen im  Unternehmen herunter - mit Tipps zur Durchführung!

Für wen ist die Datenschutzunterweisung notwendig?

Die Datenschutzunterweisung muss für alle Mitarbeiter durchgeführt werden, die Zugriff auf personenbezogene Daten haben und diese verarbeiten.

Gründe für Datenschutzverstöße

Die Gründe für Verstöße gegen den Datenschutz können vielseitig sein. Meist sind sie jedoch auf Fehler oder Unachtsamkeit der eigenen Mitarbeiter zurückzuführen. Die häufigsten Ursachen sind beispielsweise:

  • Hektik und Unachtsamkeit bei der Arbeit z. B.
    • Versand von E-Mails an falsche Empfänger
    • Verlust von Datenträgern (USB-Sticks) oder Smartphones
    • Vergabe schwacher Passwörter
  • Offen liegengelassene vertrauliche Dokumente z. B.
    • Notieren von Passwörtern und öffentlicher Zugriff auf diese
  • Ungeordnete Entsorgung von Dokumenten (mit personenbezogenen Daten)
  • Unerlaubtes Ändern der Sicherheitseinstellungen am verwendeten Endgerät (PC, Tablet, Smartphone o. Ä.)
  • Verwendung unerlaubter Geräte oder nicht freigegebener Software

Schon gewusst? Bei LapID wird jährlich ein externer Datenschutz-Audit durchgeführt und die Sicherheit unserer Produkte und Dienstleistungen sowie das Verhalten unserer Mitarbeiter auf den Prüfstand gestellt. Der Schutz Ihrer Daten steht für uns an erster Stelle.

Inhalte der Datenschutzunterweisung

Im Rahmen der Datenschutzunterweisung werden zum Beispiel folgende Themen behandelt:

  • Gegenstand und Ziele der Datenschutzgrundverordnung
  • Definition des Begriffs „personenbezogene Daten“
  • Grundsätze zur Verarbeitung personenbezogener Daten
  • Sorgsamer Umgang mit personenbezogenen Daten
  • Strafen bei Verstößen
  • Rechte der Betroffenen (Informationsrecht, Auskunftsrecht, Recht auf Berichtigung und Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht)
  • Informationen zu unternehmensinternen Datenschutzmaßnahmen
  • Meldepflichten und Prozesse bei Datenpannen
  • Umgang mit Aufsichtsbehörden
  • Kontaktinformationen zum Datenschutzbeauftragten

Die konkreten Inhalte sind dabei immer abhängig von der Position, die ein Mitarbeiter im Unternehmen besetzt und von den personenbezogenen Daten, die bei der Tätigkeit verarbeitet werden. Je nach Tätigkeitsbereich ist die Verarbeitung von personenbezogenen Daten intensiver als in anderen Tätigkeitsbereichen und umfasst beispielsweise auch besonders sensible Daten wie Gesundheitsdaten.

Was ist IT-Sicherheit?

Mit der zunehmenden Digitalisierung steigt auch der Anteil von Informationen, die digital verarbeitet werden. Hinzu kommen immer neue Informations- und Kommunikationstechniken, in denen die Mitarbeiter im richtigen Umgang unterwiesen werden müssen. Im Fokus steht die Sicherung der verarbeiteten Daten. Gelangen diese nach außen und in die Hände Dritter, kann dies zu Konsequenzen führen.

Unter IT-Sicherheit versteht man die Sicherheit der technischen Systeme eines Unternehmens. Zu dieser Sicherheit können die Mitarbeiter durch sicherheitsgerechtes Verhalten beitragen. Hierzu ist es notwendig, dass sie mögliche Gefahren kennen und wissen, wie mit diesen umzugehen ist. Um dies sicherzustellen ist es wichtig, dass die Mitarbeiter die Ziele der Informationssicherheit des Unternehmens kennen.

Die IT-Sicherheit befasst sich grundsätzlich mit verschiedenen Schutzzielen. Zu den Schutzzielen der Informationssicherheit zählen Vertraulichkeit, Integrität und Verfügbarkeit. Mit der Einhaltung dieser Schutzziele soll die Datensicherheit gewährleistet werden.

Die rechtliche Grundlage der IT-Sicherheitsunterweisung

Die IT-Sicherheitsunterweisung ist nicht gesetzlich geregelt, vielmehr richtet sie sich nach den IT-Richtlinien der Unternehmen. Unternehmer sind dazu angehalten, geeignete Maßnahmen zum Risikomanagement zu ergreifen und Maßnahmen umzusetzen, die die IT-Sicherheit gewährleisten. Hierunter kann die IT-Sicherheitsunterweisung fallen. Wird eine IT-Sicherheitsunterweisung durchgeführt, sollte diese jährlich wiederholt werden. Die Inhalte orientieren sich dabei an den Richtlinien und Systemen des Unternehmens.

In Unternehmen ist ein eingesetzter Informationssicherheitsbeauftragter oder eine beauftragte Person für die ordnungsgemäße Durchführung der Unterweisung zuständig. Bei Änderungen in den IT-Sicherheitsrichtlinien sind die Mitarbeiter hierüber schriftlich auch unterjährig zu informieren. Im Bedarfsfall kann eine weitere Unterweisung notwendig sein.

Die IT-Sicherheitsunterweisung unterliegt dabei keiner gesetzlich vorgeschriebenen Ordnung. Unternehmen sind frei in der Gestaltung und können zum Beispiel auf Präsenzveranstaltungen oder E-Learning-Lösungen zurückgreifen.

Für eine Datenpanne haftet grundsätzlich die Unternehmensführung. Ausnahmen gibt es allerdings, wenn Mitarbeiter grob fahrlässig oder vorsätzlich falsch handeln. In diesen Fällen kann die Haftung an die Mitarbeiter übergehen. Bei Datenschutzvorfällen greift insbesondere die bereits vorgestellte DSGVO und die darin enthaltenen Regelungen.

Bei IT-Sicherheitsverstößen kommt es in erster Linie darauf an, wie schnell man bei einem Verstoß reagiert. Die Reaktionszeiten sind dabei eng mit anderen gesetzlichen Regelungen, wie z. B. der DSGVO, verknüpft. Diese schreibt vor, innerhalb welcher Zeiten im Falle eines Datenschutzvorfalls zu reagieren ist.

Primäre Bedrohungen

Die zunehmende Digitalisierung trägt auch dazu bei, dass das Phänomen Cybercrime weiter zunimmt. Im Zeitraum von 2016 bis 2020 wurden deutschlandweit über 108.000 Cybercrime-Fälle erfasst (vgl. Bericht des Bundeskriminalamts). Bekannte und stetig zunehmende Bedrohungen im Rahmen des Cybercrime sind:

  • Phishing-Seiten und -Mails
  • Malspam-Kampagnen zur Verbreitung von Malware
  • DDoS-Attacken

Umso wichtiger ist eine erhöhte Cyber-Security-Awareness bzw. ein Bewusstsein für sicherheitsgerechtes Verhalten im Umgang mit IT-Systemen.

Phishing-Seiten oder -Mails werden meist in Verbindung mit Malspam-Kampagnen eingesetzt. Ziel dieser Aktivitäten ist der Diebstahl von Daten. Hierbei kann es sich um Passwörter für Nutzeraccounts oder andere personenbezogene Daten handeln. Nachdem die Täter die Daten erlangt haben, werden diese zur weiteren missbräuchlichen Verwendung eingesetzt. So kann ein System beispielsweise auch von innen filtriert werden und für weitere Spam-Attacken genutzt werden.

Für wen ist die IT-Sicherheitsunterweisung notwendig?

Die IT-Sicherheitsunterweisung muss für alle Mitarbeiter durchgeführt werden und sensibilisiert im Umgang mit sicherheitskritischen Informationen.

Gründe für IT-Sicherheitsverstöße

Die Gründe für Verstöße gegen die IT-Sicherheit können vielseitig sein. Die häufigsten Ursachen sind beispielsweise:

  • Hektik und Unachtsamkeit bei der Arbeit
  • Offen liegengelassene vertrauliche Dokumente (ebenso datenschutzrechtlich relevant)
  • Nicht verschlüsselte E-Mails
  • Verstoß gegen organisatorische und technische Sicherheitsverfahren z. B.
    • allgemein zugängliche Passwörter
    • Nicht gesperrte Monitore bei Verlassen des Arbeitsplatzes

Je nach Art der Daten, die offengelegt wurden, kann dies beispielsweise auch einen Verstoß gegen den Datenschutz darstellen.

Inhalte der IT-Sicherheitsunterweisung

Im Rahmen von IT-Sicherheitsunterweisungen werden in der Regel folgende Bestandteile unterwiesen:

  • Schaffen eines grundsätzlichen Verständnisses für IT-Sicherheit im Unternehmen
  • Sensibilisierung für die Gefahren im digitalen Arbeitsalltag
  • Erkennen von Phishing-E-Mails und Phishing-Webseiten
  • Verwendung sicherer Passwörter
  • Umgang mit der Übertragung von Daten via externer Datenträger
  • Verhalten im Internet und in der Public Cloud
  • Installation von Software auf Endgeräten
  • Mobiles Arbeiten und arbeiten auf Geschäftsreisen
  • Verhalten in sozialen Netzwerken
  • Verhalten im Schadensfall
  • Darstellung unternehmensinterner Richtlinien zur IT-Sicherheit

Weitere Tipps zur Sicherstellung der IT-Sicherheit

Neben der Sensibilisierung der Mitarbeiter für sicherheitsgerechtes Verhalten im Rahmen der IT-Sicherheit gibt es einige Basiselemente, die von jedem Unternehmen eingehalten werden sollten, um die IT-Sicherheit im Unternehmen sicherzustellen. Hierzu zählen:

  • Updates: Regelmäßiges durchführen der systemrelevanten Updates
  • Passwörter: Definition von Passwort-Richtlinien zur Gestaltung der Passwörter, regelmäßiges Ändern der Passwörter und Einrichtung eines sicheren Passwortmanagers
  • Zwei-Faktor-Authentifizierung: Durch einen zusätzlichen Sicherheitscode zum Passwort wird die IT-Sicherheit der eingesetzten Systeme zusätzlich geschützt.
  • Virenschutz: Spezielle Programme überprüfen den Computer des Nutzers regelmäßig auf schädliche Software und geben Sicherheitswarnungen bei potenziellen Bedrohungen aus.
  • Firewall: Die Einrichtung einer Firewall schützt vor Angriffen von außen.

Schon gewusst? Im LapID Kundensystem können Sie die Zwei-Faktor-Authentifizierung für jeden Nutzer, der Mitarbeiterdaten bearbeitet, einrichten und die Nutzung sogar für alle verpflichtend machen.

Um sicher unterwegs zu sein, sollten folgende zehn Tipps stets im Blick gehalten werden:

  • Tipp 1: Passen Sie die Einstellungen des Webbrowsers (Cookie-Einstellungen) regelmäßig an und führen Sie regelmäßige Aktualisierungen durch
  • Tipp 2: Aktualisieren Sie regelmäßig das Betriebssystem und andere Software
  • Tipp 3: Setzen Sie Virenschutz und Firewall im Unternehmen ein
  • Tipp 4: Richten Sie unterschiedliche Nutzerkonten am Computer mit unterschiedlichen Rechten (Administator-Berechtigungen) ein
  • Tipp 5: Verwenden Sie sichere Passwörter
  • Tipp 6: Achten Sie bei unbekannten E-Mail-Empfängern und E-Mails auf Anhänge
  • Tipp 7: Lassen Sie Vorsicht walten, bei Downloads aus dem Internet, insbesondere bei Programmen
  • Tipp 8: Seien Sie zurückhaltend bei der Weitergabe von persönlichen Daten
  • Tipp 9: Verschlüsseln Sie Daten für zusätzliche Sicherheit
  • Tipp 10: Erstellen Sie regelmäßig Sicherheitskopien, um Datenverlust zu vermeiden

Sie möchten Ihre Unterweisungen im Unternehmen modern und digital gestalten?  Entdecken Sie die Zukunft digitaler Unterweisungen im Unternehmen mit dem LapID  E-Learning und lassen Sie sich von uns umfassend über Ihre Möglichkeiten  informieren.

Was sind die Unterschiede zwischen IT-Sicherheit und Datenschutz?

Die Anforderungen zum Datenschutz ergeben sich per Gesetz, im Vordergrund steht hier die Datenschutzgrundverordnung, die dem Schutz von personenbezogenen Daten dient. Hierbei ist egal, auf welcher Art und Weise diese Daten verarbeitet werden, der Schutz dieser Daten steht mit allen nötigen Mitteln im Fokus, ein Verstoß hat rechtliche Konsequenzen.

Die IT-Sicherheit hingegen regelt den Schutz von IT-Infrastruktur und deren Bestandteile, egal ob dort personenbezogene Daten verarbeitet werden oder nicht. Die IT-Sicherheit unterliegt hierbei keinem gesetzlichen Zwang, Konsequenzen sind daher auch nicht per Gesetz definiert.

Dennoch haben beide Gebiete Gemeinsamkeiten und Überschneidungen, denn IT-Sicherheit und Datenschutz dienen der Sicherheit im Unternehmen. IT-Sicherheit und Datenschutz können sich dabei sogar ergänzen. Eine gut aufgebaute IT-Sicherheit schützt vor IT-basierten Gefahren und unterstützt damit den Datenschutz. Hacker-Angriffe werden so deutlich verringert und der Datenschutz gestärkt.

Umsetzungsmöglichkeiten der Unterweisung

Unterweisungen können auf verschiedene Art und Weise durchgeführt werden. Zu unterscheiden ist zwischen der klassischen Präsenzveranstaltung, die in der Regel als Frontalunterricht gestaltet ist und modernen E-Learning-Lösungen. Wir haben uns beide Arten genauer angeschaut und für Sie verglichen:

Bei der Umsetzung von Schulungen und Unterweisungen sind verschiedene Schritte zu berücksichtigen. In unserem Beitrag geben wir einen Überblick über die wichtigsten To Dos bei der Planung von Schulungen und Unterweisungen:

Welche Vorteile können E-Learning-Lösungen bieten? Wir haben uns die Vorteile am Beispiel der Fahrerunterweisung nach UVV genauer angeschaut:

Sie möchten Ihre Unterweisungen zum Arbeitsschutz im Unternehmen modern und  flexibel gestalten? In unserer Broschüre erhalten Sie einen Überblick über die  LapID E-Learning-Unterweisungen. Erfahren Sie mehr über die Vorteile, die  Funktionsweise der E-Learning-Plattform und die unterschiedlichen  Unterweisungsmodule. Downloaden Sie jetzt unsere kostenloses Produktbroschüre  und sichern Sie sich ab.

Dokumentation der Unterweisungen

Unterweisungen sind zur Sicherheit des Unternehmens und der Mitarbeiter zu dokumentieren. Im Rechtsfall kann so nachgewiesen werden, dass das Unternehmen seinen Pflichten nachgekommen ist. Eine generelle Pflicht zur Dokumentation von Unterweisungen besteht hingegen nicht.

Einzelne Unterweisungen erfordern allerdings eine schriftliche Dokumentation. Hierzu zählt beispielsweise auch die Datenschutzschulung bzw. Unterweisung. Hier greifen die Regelungen der Nachweis- und Schulungspflichten der Datenschutzgrundverordnung. Artikel 5 der DSGVO befasst sich mit der Rechenschaftspflicht. Diese Rechenschaftspflicht besagt, dass Führungskräfte für die Einhaltung von Datenschutzgrundsätzen verantwortlich sind und die Konformität belegen müssen können.

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“) (5 DSGVO).

Aus dieser Definition ergibt sich eine indirekte Dokumentationspflicht zur Datenschutzunterweisung. Ebenso relevant ist der bereits erwähnte Artikel 32 DSGVO, der die Pflicht zur Einhaltung technisch organisatorischer Maßnahmen behandelt. Diese Pflicht erstreckt sich auf Auftragsverarbeiter, die laut Artikel 28 Absatz 3 lit. b DSGVO gewährleisten müssen, dass Mitarbeiter die personenbezogene Daten im Auftrag verarbeiten, zur Vertraulichkeit verpflichtet wurden.

 

Unterweisungen im Unternehmen  Im Rahmen von Unfallverhütungs- und Arbeitssicherheitsmaßnahmen ist der  Arbeitgeber gesetzlich dazu verpflichtet, Mitarbeiter regelmäßig zu Sicherheit  und Gesundheitsschutz am Arbeitsplatz zu unterweisen. Dies umfasst  beispielsweise Unterweisungen wie Erste Hilfe, Brandschutz oder  Bildschirmarbeit. Unterweisungen müssen regelmäßig wiederholt und dokumentiert  werden.   Mit LapID können Sie Arbeitssicherheitsunterweisungen einfach via E-Learning  durchführen und so Ihre Mitarbeiter orts- und zeitunabhängig unterweisen.Mehr  Informationen zu Unterweisungen erhalten.


Stefanie Effer

Stefanie Effer


Lesezeit

Durchschnittliche Lesezeit: 5 min


Unterweisungen per E-Learning  Mit dem webbasierten LapID E-Learning-Tool unterweisen Sie Ihre Mitarbeiter  automatisch und ortsunabhängig. Mehr erfahren


Im Blog suchen



    Sie haben Themenwünsche?



    Schreiben Sie den ersten Kommentar: