Datenschutz-Schulung: Welche Verantwortung haben Unternehmen und das HR?

Mit der Revision des Datenschutzgesetzes rückt auch der Datenschutz vermehrt in den Blick von Unternehmen. Im Rahmen der Datensicherheit – Art. 8 DSG: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit» – sind auch organisatorische Massnahmen gefordert. Eine dieser organisatorischen Massnahmen ist die Schulung und Sensibilisierung der Mitarbeitenden. Und hier hat Human Resources eine wichtige Rolle: Sicherstellung, dass Schulungen durchgeführt werden und die Mitarbeitenden auch verstehen, um was es geht. Dabei werden die diversen Schulungen sinnvollerweise koordiniert: nicht nur Datenschutz und Datensicherheit, auch weitere Themen, je nach Branche mehr oder weniger, müssen regelmässig geschult werden.

Es sollte unterschieden werden zwischen Datenschutz und Datensicherheit: Während Datensicherheit grundsätzlich für alle Unternehmen ähnlich ist – beispielsweise Schulung bezüglich Phishing-Mails ist bei jedem Unternehmen gleich: Achtung auf Absender, sich nicht unter Zeitdruck setzen lassen etc. –, muss eine Datenschutz-Schulung unbedingt an das Unternehmen angepasst sein. Denn je nach Unternehmen und Branche sind unterschiedliche Gesetze relevant. Das Datenschutzgesetz ist ein sogenanntes Lex generalis (= allgemeines Gesetz), dem die branchenspezifischen Lex specialis (= Spezialgesetz) vorgehen.

Für Datenschutz- und Datensicherheit gibt es viele Anbieter von E-Learnings. Will es sich ein Unternehmen möglichst einfach machen, wird eine solche Schulung eingekauft, werden die Mitarbeitenden verpflichtet, die Schulung mit Test am Schluss durchzuführen. Ist der Test bestanden, wird ein Zertifikat erstellt, und das Thema ist erledigt. Einige dieser Schulungen stammen auch aus Deutschland – die schweizerische Gesetzgebung ist anders, ganz abgesehen davon, muss das Unternehmen prüfen, ob das Bundesgesetz oder, weil das Unternehmen einen kantonalen Leistungsauftrag hat, allenfalls ein kantonales Gesetz anwendbar ist. Will man die Schulung ernst nehmen, bedarf es also einer an das Unternehmen angepassten Schulung bezüglich Datenschutz. Das erfordert Ressourcen und Wissen.

Damit die Schulung nicht zu einer lästigen Pflicht wird, sind didaktische Aspekte zu beachten und vor allem: Schulungen sollten kurz sein und im Idealfall Spass machen.

Um mit bedingt hohem Aufwand möglichst eine grosse Wirkung zu erzielen, bietet sich das sogenannte ARIVA-Modell¹ an:

1. Ausrichten: In dieser ersten Phase ist es wichtig, dass das Interesse bei den Teilnehmenden für das Thema geweckt wird und sie verstehen, um was es geht. Die Teilnehmenden sollten neugierig gemacht werden.
2. Reaktivieren: Vorwissen bzw. Wissen aus dem Alltag ist in dieser Phase wichtig. Gerade bezüglich Datenschutz und Datensicherheit haben alle Personen eigene Erfahrungen.
3. Informieren: Nun kann neues Wissen vermittelt werden. Die Dauer sollte maximal 15 Minuten dauern. Und diese 15 Minuten sollten möglichst auf das Unternehmen selbst ausgerichtet sein.
4. Verarbeiten: Mittels eines spielerischen Elements – sei es Quiz o. Ä. – kann das Erlernte überprüft werden. Dies kann schlussendlich auch zu einem Zertifikat führen. Dies soll aber nicht zwingend immer so sein.
5. Auswerten: Am Ende soll die Thematik nochmals zusammengefasst werden. Allenfalls kann mit Kontrollfragen nochmals überprüft werden, ob das Gelernte tatsächlich verstanden wurde.

Dabei gilt die Faustregel: Die Information und das Verarbeiten zusammen sollten ca. 80% der Zeit betragen.

Wichtig sind auch Bilder. Ein Grossteil des Lernens funktioniert mit Bildern, während Text oft und gerne vergessen geht.

Eine attraktive Schulung für die Mitarbeitenden braucht gleich viel Zeit wie eine langweilige – aber das Resultat ist anders.

Gamification ist hier das (neue) Stichwort. Dabei können einzelne Elemente in die Schulung eingebaut werden – wobei diese Elemente in die Schulung passen müssen. Zu viele Gamification-Elemente bringen keinen Mehrwert. Es braucht einen ausgewogenen Mix. Als Gamification-Elemente gelten unter anderem:

• Fortschrittsanzeige: Mittels eines Balkens sieht man, wie weit man ist.
• Verteilung von Punkten: Feedback-Mechanismus für die erbrachte Leistung – man erhält ein unmittelbares Feedback, nachdem eine Aufgabe gelöst wurde.
• Unterschiedliche Levels der Schulung: Die Schulung kann je nach Vorwissen einfacher oder schwerer sein.
• Rangliste: Man sieht auch den Fortschritt von anderen Personen. Hier ist darauf zu achten, dass Ranglisten nicht demotivierend wirken.
• Zusammenarbeit: Einbezug sozialer Aspekte – Teilnehmende können zusammen interagieren.
• Quiz: Dies bietet sich insbesondere am Ende einer Schulung an, um den Wissensstand zu überprüfen.

Zweifelsohne braucht es für solche Schulungen mehr Aufwand bei der Erstellung; die Mitarbeitenden werden es aber danken. Nicht nur wird die Schulung lieber gemacht, auch die Nachhaltigkeit einer Schulung kann so gesteigert werden.

Datenschutz-Schulungen sind immer Sensibilisierung. Die Schwierigkeit bei rechtlichen Themen ist dabei, dass selten etwas «schwarz-weiss» ist. Deshalb ist eine Datenschutz-Schulung herausfordernd. Bereits bei der Informations-, aber auch in der Verarbeitungsphase lohnt es sich nicht nur, auf E-Learning zu setzen, sondern eine Diskussion zu fördern und immer auch die Möglichkeit zu geben, die «Erkenntnisse» zu diskutieren. Es geht darum, wo mögliche Grenzen bei der Bearbeitung von Personendaten sind.

Entscheidend ist zu wissen, welche Pflichten ein Datenbearbeiter hat:

• Betroffene Personen müssen über eine Datenbeschaffung informiert werden (Art. 19 DSG), wie auch über eine automatisierte Datenbearbeitung (Art. 21 DSG).
• Sofern das Unternehmen mehr als 250 MA hat, braucht es ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG).
• Bei einer Verletzung der Datensicherheit ist eine Meldepflicht zu prüfen (Art. 24).
• Ein Auskunftsbegehren muss grundsätzlich erfüllt werden – das erfolgt sinnvollerweise koordiniert durch eine dafür verantwortliche Person im Unternehmen.
• Bei Projekten, neuen Bearbeitungen ist eine Datenschutz-Folgenabschätzung vorzunehmen.

Im Weiteren sollten die Grundsätze des Datenschutzes bekannt sein und das Wissen, wie man diese interpretieren soll. Deren Umsetzung ist je nach Branche und Unternehmen nicht einheitlich und erfordert Verständnis für die Grundidee von Datenschutz. Hier ist ein Multiple-Choice-Test trügerisch; die Herleitung und die Entscheidung im Einzelfall sind zentral.

Zusammengefasst: Datenschutz und Datensicherheit sollten periodisch geschult werden; eine Schulung, die man gerne macht, ist erfolgreicher. Geht es nur darum, einen Nachweis zu haben, kann man dies sicher einfacher und günstiger haben. Langfristig bringen gute Schulungen mehr.

Fussnote:
1) Entwickelt von Erwin Uhland und René Müller an der ETH Zürich.

Quelle:
Darstellungen: Blog von Sabrina Thoma – CYP