Zum Inhalt springen Zur Navigation springen
„Warum Datenschutzschulung? Ich fahre doch nur LKW…“

„Warum Datenschutzschulung? Ich fahre doch nur LKW…“

Artikel von Dr. Datenschutz·21. September 2023

Kürzlich erreichte uns eine Frage zur Notwendigkeit von Datenschutzschulungen. „Warum brauche ich eine Datenschutzschulung? Ich fahre doch nur LKW…“ Die Frage ist berechtigt – schließlich ist auf dem ersten Blick kein Berührungspunkt zum Datenschutz zu erkennen. Grund genug, einen Beitrag über Sinn und Unsinn von Datenschutzschulungen zu schreiben.

Datenschutzschulung per Gesetz

Schauen wir einmal ins Gesetz. Vielleicht ist es ja so, dass es auf Sinn oder Unsinn gar nicht ankommt, weil der Gesetzgeber die Schulungen von uns schlicht und einfach verlangt. Und tatsächlich, das Gesetz erwähnt da was.

Die Aufgaben des Datenschutzbeauftragten im BDSG

Im Bundesdatenschutzgesetz (BDSG) regelt der § 7 Abs. 1 Nr. 2:

„Der oder dem Datenschutzbeauftragten obliegen […] zumindest folgende Aufgaben:
[Die] Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich […] der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten.“

Aha, es bleibt also wieder am armen Datenschutzbeauftragten hängen. Der hat also die dankbare Aufgabe, in die Schulungshöhle der Löwen zu gehen, um diejenigen Beschäftigten zu schulen, die an Verarbeitungsvorgängen beteiligt sind.

Was sagt die DSGVO zu Datenschutzschulungen?

Artikel 39 der DSGVO zählt ebenfalls einige Aufgaben des Datenschutzbeauftragten auf, und zwar:

„[Die] Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten […] einschließlich der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“

Aha, fast doppelt gemoppelt. Auch nach der DSGVO müssen Mitarbeiter für die Einhaltung des Datenschutzes sensibilisiert, geschult und – hier geht die DSGVO noch weiter – überprüft werden.

Das heißt also: Wenn Beschäftigte an Verarbeitungsvorgängen beteiligt sind, dann müssen diese Datenschutzschulungen durchführen. Das ist eine der Aufgaben des Datenschutzbeauftragten, die ihm das Gesetz zuweist.

Datenschutzbehörden und Datenschutzausschuss

Es geht aber noch weiter, wenn man sich die Seite der Behörden ansieht.

Verbindliche interne Datenschutzvorschriften

Denn es gibt sogenannte verbindliche interne Datenschutzvorschriften. Die zuständige Aufsichtsbehörde genehmigt unter bestimmten Voraussetzungen solche verbindlichen Vorschriften zur einheitlichen Rechtsauslegung der DSGVO. Die verbindlichen internen Datenschutzvorschriften müssen gemäß Art. 47 DSGVO mindestens folgende Angaben enthalten:

„Die Aufgaben jedes Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist.“

Aha. Es kann also ein Datenschutzbeauftragter oder eine andere Person oder Einrichtung mit der Überwachung der Schulungsmaßnahmen befasst sein. Das Gesetz geht also davon aus, dass Schulungen abgehalten werden.

Weiter müssen in solchen verbindlichen internen Datenschutzvorschriften Angaben

„über geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten“

gemacht werden.

Der Ausschuss

Zu guter Letzt gibt es noch den Ausschuss. Der Ausschuss stellt ebenfalls die einheitliche Anwendung der DSGVO sicher. Hierzu nimmt der Ausschuss insbesondere folgende Tätigkeiten wahr – wer hätte es gedacht:

„Förderung von Schulungsprogrammen“

„Aber ich fahre doch nur LKW“

Wir wissen nun, dass Mitarbeiter geschult werden müssen, wenn sie mit Verarbeitungstätigkeiten personenbezogener Daten zu tun haben. Aber hat wirklich jeder Beschäftigte auch mit Verarbeitungstätigkeiten zu tun? Oder werden Beschäftigte möglicherweise zu Unrecht in die Schulungsräume gezwungen?

Bleiben wir am Beispiel Lastkraftwagen. In diesem Kontext ist eine Vielzahl an personenbezogenen Daten betroffen. Sehen wir uns einmal einen Fuhrparkmanager an: Seine Verantwortlichkeiten umfassen das Mobilitätsmanagement, die Zuteilung der Fahrzeuge und mehr. Sie stellen sicher, dass alle Fahrer die notwendigen Lizenzen und Genehmigungen haben. Bei der Fahrzeugübergabe, der Führerscheinkontrolle, der Bearbeitung von Ordnungswidrigkeiten und Unfällen, der Abrechnung von Tankkarten und Werkstattrechnungen werden personenbezogene Daten verarbeitet.

Deshalb müssen sie zum Beispiel wissen, dass die Daten nur

„auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“

verarbeitet werden (Art. 5 Abs. 1 lit. a. DSGVO). Und sie sollten wissen, was das bedeutet.

Datenschutzschulungen auf jeder Ebene

Aber nicht nur Führungskräfte haben mit Datenschutz zu tun. Die Schulungen gehen nämlich in zwei Stoßrichtungen. Nicht nur derjenige, der Daten verarbeitet muss sich auskennen, sondern auch diejenigen, deren Daten verarbeitet werden. Besonders Schützenswert: Mitarbeiter. Datenschutz kennt keine Kasten. Die Menschen, die hinter den Daten stehen, sollen im Sinne des allgemeinen Persönlichkeitsrechts durch den Datenschutz geschützt werden. Die Vermittlung von Wissen ist der einzige Weg, dieses Ziel zu erreichen.

Die DSGVO ist sehr betroffenenfreundlich. Die Schulungen sollen dafür sorgen, dass Mitarbeiter aller hierarchischen Ebenen sich mit dem Datenschutz auskennen, um sich selbst oder die Angestellten angemessen schützen zu können. So generös das auch sein mag, ganz ohne Pflichten gibt’s auch keine Rechte.

Denn auch Mitarbeiter treffen gewisse Pflichten, beispielsweise Meldepflichten, Löschpflichten und so weiter. Die ganze DSGVO rauf und runter. Der Verantwortliche hat gemäß Artikel 5 DSGVO eine „Rechenschaftspflicht“ und ist für die Einhaltung der oben genannten Pflichten verantwortlich – muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Tatsächlich sind die wohl häufigste Ursache für Datenschutzverstöße die Mitarbeiter. Die verursachten Bußgelder bei bis zu 4 % des jährlichen Umsatzes bzw. 20 Millionen Euro liegen.

Schulungen fördern das Bewusstsein für Datenschutzbelange

Aufgrund des technischen Fortschritts verarbeitet nahezu jedes Unternehmen eine Vielzahl an personenbezogenen Daten. Dabei kommt fast jeder Mitarbeiter damit in Berührung. Ob aktiv oder passiv. Primär müssen die Datenschutzgesetze durch die Mitarbeiter eines Unternehmens beachtet und eingehalten werden. Bei nicht Einhaltung der Regeln drohen zivilrechtliche oder strafrechtliche Sanktionen.

Außerdem kann eine Schulung mit unternehmensrelevanten Themen wie Richtlinien zur Datensicherheit oder der Handhabe mit Unternehmensgeheimnissen verknüpft werden. Nicht zuletzt können Mitarbeiter dann auch zwischen Unternehmensgeheimnissen, der IT-Sicherheit und personenbezogene Daten unterscheiden. Die Sensibilisierung fördert auch ein ethisches Geschäftsverhalten. Unwissentliche Datenschutzverletzungen können schwerwiegende Folgen für Einzelpersonen und Organisationen haben. Schulungen sensibilisieren Mitarbeiter für Datenschutzrisiken und zeigen ihnen, wie sie diese minimieren können.

Insgesamt tragen Datenschutzschulungen dazu bei, das Bewusstsein für Datenschutzbelange zu schärfen, die Einhaltung gesetzlicher Anforderungen sicherzustellen und das Risiko von Datenschutzverletzungen zu minimieren, was letztendlich dazu beiträgt, das Vertrauen von Kunden und Partnern zu erhalten und zu stärken.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Also lieber Dr. Datenschutz, dieser Artikel ist aber wirklich weit unter eurem Niveau. Oder habt ihr das von der KI schreiben lassen. Wie sollen die armen LKW-Fahrer in einer Stunde Schulung das verstehen, wofür wir 5 Jahre studiert und dann 15 Jahre Erfahrung gesammelt haben. DAS GEHT NICHT! Mit Schulungen versuchen inkompetente Datenschutzbeauftrage nur die Schuld von sich auf die anderen zu verlagern, für den Fall, dass mal was passieren sollte.

  • Wie man hier vom LKW-Fahrer auf den Fuhrparkmanager kommt ist mir auch rätselhaft. Ich möchte den DSB sehen der gerade in dieser Berufssparte LKW-Fahrer in 10-25 Sprachen schult.

  • Sicher ist der LKW-Fahrer ein bisschen weit hergeholt. Aber dass nur Menschen die Schulungen zur DSGVO verstehen, die “ 5 Jahre studiert und dann 15 Jahre Erfahrung gesammelt haben“, ist absurd und bar jeglicher fachlichen Kompetenz. DAS GEHT WIRKLICH NICHT. Und die Aussage „Mit Schulungen versuchen inkompetente Datenschutzbeauftrage nur die Schuld von sich auf die anderen zu verlagern, für den Fall, dass mal was passieren sollte.“ zeigt eigentlich nur die Inkompetenz des Autors, für den augenscheinlich Schulungen Teufelswerk sind und Gesetze nur Empfehlungscharakter haben. Gott schütze das Unternehmen, in dem dieser Mann tätig ist.

  • Hallo zusammen, ich oute mich mal als Vorschlaggeber zu dem Thema, da mir jedes Jahr wieder die Frage unserer LKW-Fahrer gestellt wird, warum sie denn unbedingt eine Datenschutzschulung benötigen… Leider muss ich gestehen, dass ich von dem Artikel inhaltlich doch arg entäuscht bin. Dieser wirkt doch recht schnell geschrieben um ihn schlussendlich als „erledigt abzuhaken“. Dass mit Blick auf den Datenschutz eine jährliche Schulung mehr als sinnvoll ist, ist denke ich klar. Aber aus der Perspektive eines reinen LKW-Fahrers, der täglich 8-10 Stunden im LKW sitzt, eines Busfahrers, Zugführers oder einfachen Fliebandmitarbeiters ist dies jedoch (teilweise) nicht klar, da diese auf den ersten Blick keine personenbezogenen Daten verarbeiten. Daher wäre es denke ich interessant gewesen, das Thema aus Sicht eines Mitarbeiters zu betrachten, der der Meinung ist, dass er keine Datenschutzschulung benötigt.
    Viele Grüße

    • Sicherlich ist eine Schulung nicht für jedermann, das hätte der Artikel ruhig etwas mehr herausarbeiten können. Gleichzeitig wollten wir gerade nicht auf vermeintlich unbelehrbare Personengruppen abzielen, um keinen falschen Eindruck zu vermitteln. Eine solche Personengruppe, bei der es „nicht geht“, diese in den Datenschutz einzuführen, gibt es unseres Erachtens gerade nicht. „Dass mit Blick auf den Datenschutz eine jährliche Schulung mehr als sinnvoll ist“, ist – nach den Kommentaren zu urteilen – gerade nicht klar. Auch LKW-Fahrer, dessen Fahrzeuge Unmengen an personenbezogenen Daten erfassen, die beispielsweise für eine Verhaltens- und Leistungskontrolle missbraucht werden können, haben diese Information genauso verdient, wie ein Fuhrparkmanager. Auch wenn sie „nur“ LKW fahren. Wie gesagt, Datenschutz kennt keine Kasten (oder Klassen) – und deshalb schreiben wir unsere Artikel auch so. Danke dennoch für das Feedback, nur so können wir immer besser werden.

    • Datenschutzschulungen sind prinzipiell für JEDEN sinnvoll. Auch der LKW-Fahrer verarbeitet und generiert personenbezogene Daten, sei es über Routenpläne z.B. von Kollegen oder den Kontakt mit Daten bei den angefahrenen Kunden. Auch der LKW-Fahrer hat Betroffenenrechte, für die der Datenschutzbeauftragte des Unternehmens ebenfalls mit Sorge trägt. LKW-Fahrer sind zum Beispiel fantastische Kandidaten für das Thema GPS-Tracking. Und auch für den LKW-Fahrer ist Datenschutz interessant bis ins Privatleben hinein, weil auch er zum Beispiel ein Handy hat. Und wenn man mal verschwörungstheoretisch an die Sache rangeht, kann z.B. der LKW-Fahrer über sein Privathandy bei der Tour getrackt werden. Je nachdem, was er wo transportiert und welche Interessengruppen es gibt, kann das durchaus haarige Konsequenzen haben – Stichwort Ukraine-Krieg und auf GPS-Signale eingestelltes Feuer.

      Und das ansprechend und anschaulich auch mit unterhaltsamen und/oder schockierenden Beispielen rüberzubringen, so dass der Mitarbeiter in der Schulung nicht vor sich hin starrt und sich fragt, für welches schlimme Verbrechen er hier eigentlich grad vom Schicksal bestraft wird, ist keine Aufgabe des LKW-Fahrers sondern desjenigen, der die Schulung hält.

  • Ich bin NICHT der Meinung, dass es gemäß DSGVO zu den Aufgaben des Datenschutzbeauftragten gehört, Schulungen selbst durchzuführen. Das muss man anders lesen (auch in der engl. Fassung): „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: … Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;“
    Die Betonung liegt hier auf „Überwachung der Strategien“. Der DSB muss also prüfen, ob der Verantwortliche/Auftragsverarbeiter (neben den anderen Teilen des Datenschutzmanagements) ein geeignetes Schulungskonzept hat. Er MUSS nicht selbst schulen, natürlich KANN er sich beteiligen.
    Wenn nun nationale Normen darüber hinaus gehen, wäre das aus meiner Sicht DSGVO-Widrig. Der DSB ist vor allem eine Art oberste Kontrollinstanz des Datenschutzmanagements und Berater, aber selbst die Kontrollen sind vielfach durch das IKS durchzuführen, nicht den DSB – der überwacht auch die Kontrollstrategie und Durchführung.

    • Die Mitarbeiterschulung obliegt grundsätzlich dem Verantwortlichen bzw. Auftragsverarbeiter. Die Umsetzung dieser Pflicht ist vom Beauftragten zu überwachen. Allerdings hat der Datenschutzbeauftragte die Pflicht, die an der Datenverarbeitung beteiligten Personen über ihre Pflichten aktiv zu informieren. Die Grenze zwischen dieser Informationspflicht und Schulungen ist fließend. Aus ökonomischen Gesichtspunkten ist es Verantwortlichen und Auftragsverarbeitern deshalb zu empfehlen, die ihnen obliegenden Aufgaben der datenschutzrechtlichen Weiterbildung von Mitarbeitern direkt an den Datenschutzbeauftragten zu übertragen. In der Praxis werden Schulungen deshalb sinnvoller Weise und in der Regel von Datenschutzbeauftragten gehalten. Diese verfügen über die notwendige Expertise und können durch Schulungen zugleich ihrer Informationspflicht nachkommen. Auch ohne eine ausdrückliche Übertragung der Schulungsaufgabe auf den Datenschutzbeauftragten darf er daneben nach eigenem Ermessen, wenn er dies zur Erfüllung seiner Aufgaben als notwendig erachtet, Mitarbeiterschulungen unabhängig von denen des Verantwortlichen bzw. Auftragsverarbeiters durchführen (vergleiche zum Ganzen Plath, DSGVO-Kommentar, Art. 39).

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.