Ein Überblick über gesetzliche Schulungspflichten für Datenschutz und IT-Sicherheitsrecht

Die Schwachstelle Mensch stellt das größte Risiko für Unternehmen dar. Das gilt auch in den Bereichen Datenschutz und IT-Sicherheit. Ein unbedachter Klick auf eine E-Mail oder ein fehlendes unterschriebenes Dokument eines Mitarbeitenden kann erheblichen Schaden verursachen.

Die Ursache für diese Risiken und Unsicherheiten liegt oft darin, dass Mitarbeitende nicht ausreichend über gängige Cybercrime-Methoden und die Anforderungen des Datenschutzes informiert sind. Im Bereich Datenschutz, IT-Sicherheit und Arbeitsschutz gibt es eine Vielzahl von Anforderungen, die schnell unübersichtlich werden können.

Rechenschaftspflicht, Sanktionen, Bußgelder und Nachweispflicht – diese bedrohlich wirkenden Begriffe stehen im Zusammenhang mit Datenpannen und Arbeitsunfällen. Im Kern geht es um die Haftungsfrage bei betrieblichen Sicherheitsvorfällen. Eine entscheidende Rolle spielt dabei, ob Unternehmen ihrer Schulungspflicht gegenüber Mitarbeitenden nachkommen. Doch welche Schulungen sind für Unternehmen tatsächlich verpflichtend?

Ein zentrales Thema stellt dabei die Frage dar, wer über welche Themen informiert werden muss. In einigen Unternehmen ist die Mitarbeiterunterweisung ein fester Bestandteil des Onboarding-Prozesses, während sie in anderen Betrieben nur sporadisch erfolgt. Unklarheit herrscht oft bezüglich der gesetzlichen Vorgaben: Gibt es in Deutschland eine Schulungspflicht? Und wie kann der Unterweisungsbedarf eines Unternehmens ermittelt werden?

(Noch) keine explizite Pflicht im Gesetz

In Hinblick auf das Thema Datenschutz lässt sich die Frage nach einer gesetzlichen Schulungspflicht nicht einfach bejahen. Nach der DSGVO besteht keine explizite Schulungspflicht für Mitarbeitende. Es ergibt sich allerdings eine indirekte Verpflichtung zur Schulung, auf die im Folgenden eingegangen wird:

Artikel 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten

• Nach Art. 5 Abs. 2 DSGVO obliegt die Rechenschaftspflicht und Nachweispflicht über das datenschutzkonforme Verhalten der Mitarbeiter dem Verantwortlichen eines Unternehmens.
• So verlangt auch der Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1a DSGVO, dass bei der Datenverarbeitung alle rechtlichen Vorgaben beachtet werden. Dies setzt zwingend voraus, dass allen Personen, die im Unternehmen Daten verarbeiten, diese Vorgaben vermittelt werden.
• Damit wird erkennbar vorausgesetzt, dass eine Sensibilisierung und Schulung der Mitarbeiter zu erfolgen hat und dies die Aufgabe des Unternehmens selbst ist.

Artikel 32 DSGVO – Sicherheit der Verarbeitung:

• Unternehmen sind gem. Art. 32 Abs. 1 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ein angemessenes Datenschutzniveau zu gewährleisten. Dies schließt Schulungen zur Sensibilisierung der Mitarbeiter für die Risiken und Maßnahmen zum Schutz personenbezogener Daten ein.
• Zudem verlangt Art. 32 Abs. 4 DSGVO von Arbeitgebern, dass die Verantwortlichen Schritte unternehmen, um sicherzustellen, dass alle Beschäftigten, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung hin verarbeiten. Eine Aufklärung über die Richtlinien zum Datenschutz ist also Voraussetzung für die Verarbeitung von personenbezogenen Daten.
• Welche konkreten Inhalte die Datenschutzschulung umfassen muss, ist dabei nicht vorgeschrieben. Grundlegend sensibilisiert werden sollten aber alle Mitarbeitenden. Optimalerweise sollten zusätzlich, je nach Tätigkeitsfeld, spezialisierte Schulungen erfolgen. Dabei kommt es auch auf die Regelmäßigkeit der Unterweisungen an: Erstunterweisungen bei Einstellung neuer Mitarbeitender, Abteilungswechsel oder neuer Aufgabenverteilung, situationsabhängige Unterweisungen je nach Anlass (z. B. nach einem Sicherheitsvorfall) und jährlich wiederholende Wissensauffrischungen.

Artikel 39 DSGVO – Aufgaben des Datenschutzbeauftragten:

• Zuständig dafür, Datenschutzschulungen und Datenschutzunterweisungen durchzuführen, ist der datenschutzrechtlich Verantwortliche, meist also der Arbeitgeber. Er delegiert die Aufgabe in der Regel an eine interne oder externe Stelle. Auch den Datenschutzbeauftragten (DSB) kann er damit betrauen.
• Art. 39 DSGVO legt durch das Wort „zumindest“ die Aufgaben des DSB als Mindestkatalog und nicht abschließend fest.
• Der betriebliche DSB hat nach Art. 39 Abs. 1 lit. a DSGVO die Aufgabe, die Verantwortlichen und die Mitarbeitenden, die Daten verarbeiten, zu unterrichten und zu beraten. Dies umfasst regelmäßige Schulungen und Sensibilisierungsmaßnahmen, um sicherzustellen, dass die Datenschutzvorschriften eingehalten werden. Hinzukommt eine entsprechende Überwachungspflicht, die sich aus Art. 39 Abs. 1 lit. b DSGVO ergibt.

Richtlinie (EU) 2022/2555 (NIS-2 Richtlinie)

• Die NIS-2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union gibt an, dass Mitglieder der Leitungsorgane kritischer Infrastruktur Schulungen absolvieren müssen. Ebenso sollten alle Mitarbeitenden regelmäßige Schulungen erhalten, um ihre Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken zu verbessern und angemessene Managementpraktiken zu erlernen, die sich auf die Dienste der Einrichtung auswirken können (Artikel 20 Abs. 2 der Richtlinie). Außerdem seien sowohl die Netz- und Informationssysteme als auch deren physische Umgebung vor Sicherheitsvorfällen zu schützen. Zu diesen Maßnahmen gehören mindestens die Einführung grundlegender Verfahren der Cyberhygiene sowie die Durchführung von Schulungen im Bereich der Cybersicherheit (Artikel 21 Abs. 2 lit. g der Richtlinie).
• Die Richtlinie entfaltet keine direkte Rechtswirkung, sondern muss von den EU-Mitgliedsstaaten in nationales Recht überführt werden. Die Frist hierfür ist der 17. Oktober 2024.
• Für die von der NIS-2-Richtlinie erfassten Einrichtungen besteht ab Umsetzung also sogar eine direkte Schulungspflicht aus dem Gesetz.

Keine Schulung, keine Strafe?

Zwar werden keine Sanktionen erteilt, wenn Schulungen unregelmäßig erfolgen. Jedoch können Unternehmen im Falle eines erfolgten Datenschutzverstoßes oder bei Datenpannen zur Verantwortung gezogen werden, wenn eine Mitarbeiterunterweisung unterlassen wurde. Dann drohen gemäß Art. 83 Abs. 5 DSGVO-Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Wert der höhere ist.

Fazit

Die Vermeidung von Datenschutzverstößen liegt in der Praxis oft direkt in den Händen der Mitarbeitenden eines Unternehmens. Daher ist es unerlässlich, diese regelmäßig in den Bereichen Datenschutz und IT-Sicherheit zu schulen. Ohne Schulung besteht ein hohes Risiko für Datenschutz- und IT-Sicherheitsvorfälle, da Mitarbeitende häufig aus Unwissenheit risikoreich handeln. Regelmäßige Schulungen sollten daher fest in den Betrieb integriert werden.