Das beste Datenschutzmanagement und die ausgefeilteste IT-Sicherheit helfen wenig, wenn an Schulungen und Sensibilisierung von Mitarbeitern gespart wird. Diese gehören zum Grundrepertoire des datenschutzrechtlichen Einmaleins. Doch kann die Schulungsdokumentation Verantwortliche vor Herausforderungen stellen. Denn einerseits soll diese zum Wohle der Rechenschaftspflicht umfassend erfolgen, andererseits kann eine überschießende Speicherung wiederum für einen neuen Datenschutzverstoß sorgen. Wir geben einen Überblick.
Der Inhalt im Überblick
Emotet und andere Späße
Mittlerweile ist im datenschutzrechtlichen Karussell etwas Ruhe eingekehrt, die Grundregeln sind scheinbar bekannt. Auf die Pflicht folgt nun bei vielen Unternehmen die Kür. Besonders in den letzten Wochen und Monaten zeigt sich immer mehr, dass die größten Haftungsrisiken für Unternehmen und andere verantwortliche Stellen im Bereich des Datenschutzes nicht in fehlerhaften Cookie-Bannern oder unvollständigen Datenschutzerklärungen auf der eigenen Website liegen. Vielmehr sorgen IT-Sicherheitslücken und Cyberattacken fast täglich für Schlagzeilen.
Die Schlagzeilen der letzten Wochen und Monate über Datenschutzvorfälle sowie lahmgelegte Unternehmen und Behörden zeigen, dass solche Angriffe oftmals auf das schwächste Glied in der Kette zielen: Den Menschen. Insbesondere die Schadsoftware „Emotet“ erwies sich hierbei als beängstigend effektiv. Die Malware zeichnet sich durch äußerst authentisch wirkende Spam-Mails aus, die anhand vorher ausgelesenen Daten aus E-Mails und Adressbüchern kaum von Originalen zu unterscheiden sind. Auch der LfDI Baden-Württemberg warnt in seinem aktuellen Tätigkeitsbericht (S. 28) vor Spear Phishing und Malware, da diese in der Praxis Unternehmen immer noch große Probleme bereiten und schnell existenzbedrohend werden können. So sollten
„auch kleine Firmen […] bei einem mehrtägigem bis teils mehrwöchigem Ausfall ihres IT-Netzes und den dabei anfallenden Lohnkosten, entgangenen Aufträgen, Strafzahlungen durch nicht eingehaltene Termine, Reputationsverlust, Bußgeldern, Lösegeldforderungen der Hacker, Kosten für spezialisierte IT-Firmen etc. von einem mindestens fünf- bis sechsstelligem Schaden ausgehen.“
Die beste IT-Sicherheit ist nicht viel wert, wenn die angegriffene Schwachstelle der Mitarbeiter selbst ist. Verantwortliche müssen diesem Problem daher auf andere Art und Weise Herr werden.
Schulungen als organisatorische Maßnahme
Die Datenschutz-Grundverordnung (DSGVO) enthält in Art. 5 DSGVO diverse Grundsätze, die sich durch das Fundament jedes datenverarbeitenden Prozesses ziehen.
Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO verpflichten den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Eine leicht durchzuführende und effektive organisatorische Maßnahme stellt die regelmäßige Schulung der Mitarbeiter dar. Hierin können einerseits datenschutzrechtliche Grundlagen, aber auch konkrete Handlungsanweisungen und Fallbeispiele hinsichtlich der Gefahren durch Malware und Social Engineering vermittelt werden.
Welche Inhalte bei einer solchen Schulung vermittelt werden können, haben wir an anderer Stelle bereits beleuchtet. Hier gilt: Weniger ist mehr. Anstatt Mitarbeiter mit ganztägigen Veranstaltungen zu quälen, sollten Schlaglichter gesetzt und aktuelle Problematiken besprochen werden.
Dokumentation und Speicherung
Die Durchführung einer Schulung sollte dokumentiert werden. So kann es im Einzelfall durchaus darauf ankommen, ob die Teilnahme an einer Schulung durch bestimmte Mitarbeiter nachgewiesen werden kann. Im Falle eines Datenschutzvorfalls stellt sich nämlich schnell die Frage, ob die verantwortliche Stelle alle erforderlichen Maßnahmen getroffen hat, um einen solchen Vorfall im Vorfeld zu vermeiden.
Üblicherweise werden bei Schulungen Teilnehmerlisten geführt, welche Teilnehmer- und Referentendaten sowie Zeitpunkt und Thema der Schulung beinhalten. Die Pflicht zur Dokumentation durchgeführter Schulungen lässt sich Art. 5 Abs. 2 DSGVO entnehmen, welcher eine Rechenschaftspflicht über ergriffene Maßnahmen enthält.
Spätestens bei einer Wiederholung solcher Schulungen oder beim Ausscheiden des Mitarbeiters aus dem Unternehmen entsteht jedoch ein Spannungsverhältnis zwischen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO. Wo die Rechenschaftspflicht verlangt, dass die Einhaltung der technischen und organisatorischen Maßnahmen nachgewiesen werden kann, fordert die Speicherbegrenzung die Löschung von Daten nach Fortfall des Zwecks.
Somit stellt sich die Frage: Wie lange dürfen und müssen Belege von durchgeführten Schulungen tatsächlich aufbewahrt werden?
Keine gesetzliche Regelung
Ein Blick ins Gesetz lässt uns zunächst ernüchtert zurück. Weder enthält dieses Regelungen über die Dokumentation selbst, noch gibt es uns konkrete Handlungsanweisungen an die Hand, die Aufschluss über zulässige Speicherfristen geben könnten. Art. 5 Abs. 1 lit. e DSGVO besagt lediglich, dass Maßstab für die Frist der Speicherung der jeweils verfolgte Zweck sein soll.
Die Dokumentation von durchgeführten Schulungen bei aktuell angestellten Beschäftigten dürfte für die Dauer des Beschäftigungsverhältnisses somit relativ unproblematisch begründbar sein. Denn es kommt für den Verantwortlichen mitunter nicht nur darauf an, die Regelmäßigkeit von Unterweisungen belegen zu können. So besteht darüber hinaus auch ein Bedürfnis daran, bezüglich eines einzelnen, langjährigen Mitarbeiters nachweisen zu können, dass dieser durchgehend geschult wurde.
Diese Belege können als Bestandteil der Personalakte somit im Zweifel über die gesamte Dauer des Beschäftigungsverhältnisses gespeichert werden. Ob dies in jedem Einzelfall gilt, hängt maßgeblich von den vom Mitarbeiter übernommenen Aufgaben im Unternehmen und der Relevanz entsprechender Schulungen hierfür ab.
Dieses Bedürfnis endet jedoch in der Regel spätestens dann, wenn der Mitarbeiter schließlich das Unternehmen verlässt.
Zivilrechtliche Verjährungsfristen
Doch auch nach dem Ende des Arbeitsverhältnisses könnten tragfähige Gründe für eine Aufbewahrung von Teilnehmerlisten oder Zertifikaten bestehen. So sieht Art. 82 DSGVO einen Ersatzanspruch Betroffener gegen den Verantwortlichen vor, wenn diesen ein Schaden aufgrund eines Datenschutzverstoßes entstanden ist.
Diese Regelung unterliegt den nationalen Gesetzen zur Verjährung. In Anwendung der §§ 195, 199 BGB verjähren diese Schadensersatzansprüche somit 3 Jahre nach dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis von den Umständen erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen.
Da Art. 82 Abs. 3 DSGVO eine Exkulpationsmöglichkeit für den Verantwortlichen ausdrücklich vorsieht, muss er zumindest in die Lage versetzt werden, sich bis zum Ablauf der zivilrechtlichen Verjährungsfrist rechtfertigen zu können.
Zwar können die konkreten Zeiträume, in welchen diese Verjährungsfrist beginnt, durchaus vom Beendigungszeitpunkt des Beschäftigungsverhältnisses abweichen. Jedoch erscheint es sachdienlich, im hier besprochenen Fall von drei Jahren ab dem Jahr des Austritts auszugehen. Allgemeinere Überlegungen zum Thema Verjährungsfristen und Löschpflichten haben wir an anderer Stelle genauer beleuchtet.
Verfolgungsverjährung nach dem OWiG
Ein weiterer – und für Unternehmen dieser Tage ungleich relevanterer – Aspekt der datenschutzrechtlichen Haftung stellen derzeit mit Sicherheit die Bußgelder dar, welche die Aufsichtsbehörden gegen Verantwortliche festsetzen können.
Hierfür gelten nach § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Ein Blick in § 31 Abs. 2 Nr. 1 OWiG zeigt, dass die sogenannte „Verfolgungsverjährung“ im Falle eines bußgeldbewährten Verstoßes gegen die DSGVO drei Jahre ab „Begehung der Tat“ eintritt. Da die Begehungshandlung durch den hier im Raume stehenden Mitarbeiter wohl spätestens am letzten Arbeitstag erfolgen kann, wäre dies auch der maßgebliche Zeitpunkt.
Abgestufte Dokumentation der Schulungen
Nun stehen Verantwortliche vor der Problematik, mit einer Vielzahl unterschiedlicher Verjährungsfristen und Argumenten für längerfristige Aufbewahrung von Teilnehmerlisten konfrontiert zu sein. Grundlegende Ordnung in das Chaos könnte ein abgestuftes Dokumentationssystem liefern. So wäre es beispielsweise denkbar,
- konkrete Teilnehmerlisten einzelner Schulungen lediglich bis zur nächsten, thematisch ähnlichen Schulung aufzubewahren.
- Ab diesem Zeitpunkt könnte eine Dokumentation der grundsätzlichen Teilnahme in der Personalakte, aber ohne eine konkrete Teilnehmerliste, angeschlossen werden.
- Für längerfristige Dokumentation bietet es sich an, den allgemeinen Prozess zur Durchführung regelmäßiger Schulungen detailliert zu dokumentieren. So kann im Zweifelsfall immer noch dargelegt werden, dass zum Zeitpunkt der Beschäftigung des Mitarbeiters regelmäßige, verpflichtende Schulungen durchgeführt wurden.
Es kommt wie immer auf die Interessenlage an
Letzten Endes wird sich die Frage nach der zulässigen Speicherdauer von Teilnehmerlisten oder sonstigen Schulungsnachweisen wie so oft nicht pauschal beantworten lassen. Durchaus vertretbar erscheint es aber, Nachweise bis zum Ablauf etwaiger Verjährungsfristen aufbewahren zu dürfen.
Zwar gibt es auch hier Gegenansichten, welche für eine solche Speicherung verlangen, dass es zumindest Anhaltspunkte für einen drohenden Rechtsstreit geben müsse. Diese Ansicht vermag angesichts der Tatsache, dass Verantwortliche oftmals schlicht nicht wissen, ob durch unerkannt gebliebene Datenschutzverstöße konkrete Schäden entstanden sind, nicht zu überzeugen. Die Entscheidung über die Gefahr drohenden Rechtsstreits wird hierbei regelmäßig nicht mit hinreichender Sicherheit gefällt werden können.
