Datenschutzbewusstsein aufbauen und erhalten - wie geht das?

Wenn Sie sich die 10 Schritte ansehen, die die niederländische Datenschutzbehörde ausgearbeitet hat, um Organisationen bei der Vorbereitung auf die DSGVO zu unterstützen, ist die Bewusstseinsbildung der erste Schritt. Das ist verständlich, denn es ist entscheidend, das Bewusstsein der Mitarbeiter zu schärfen, wenn man das Thema als Organisation im Griff behalten will. Nicht nur von dem, was das Thema umfasst, sondern auch von dem, was es für die Organisation bedeutet. Wie Sie mit einer solchen internen "Sensibilisierungskampagne" umgehen können, erfahren Sie in diesem Blog!

Jetzt, über ein Jahr nach dem 25. Mai 2018, sehen wir, dass viele Unternehmen immer noch darum kämpfen, das Thema Datenschutz innerhalb des Unternehmens am Leben zu erhalten. Meiner Meinung nach hat dies zwei Hauptursachen:

1.      Es ist schwierig, genau zu definieren, was Datenschutz bedeutet. Das liegt zum Teil daran, dass Datenschutz für jeden etwas anderes bedeutet. Der eine hat "nichts zu verbergen", der andere hat Schwierigkeiten damit, dem Datenhunger von Unternehmen zu akzeptieren. Das bedeutet auch, dass die Mitarbeiter innerhalb einer Organisation das Thema verschieden betrachten und dass dies wahrscheinlich auch den Umgang mit datenschutzrelevanten Informationen innerhalb der Organisation beeinflusst. Von der Wichtigkeit, den Computer zu sperren, wenn der Arbeitsplatz verlassen ist, bis hin zur Durchführung einer DSFA für eine riskante Verarbeitungstätigkeit, wird es immer Mitarbeiter geben, die finden, dass dies nur "Aufwand" ist. Die Herausforderung besteht daher darin, ein Bewusstsein zu schaffen, das wirklich jeden Mitarbeiter anspricht.

2.      Das Unternehmen berücksichtigt nicht ausreichend die Tatsache, dass der Datenschutz - wie auch jeder andere Teil des Unternehmens - Teil des Geschäftsbetriebs sein muss. Die Organisation unterschätzt die Auswirkungen der Umsetzung der DSGVO und die Anforderungen an die gesamte Organisation. Im Anlauf zum 25. Mai 2018 wurde die Umsetzung der DSGVO oft als etwas angesehen, dass schnell erledigt werden musste, so dass nur einige Mitarbeiter dafür zur Verfügung gestellt wurden. Nach dem 25. Mai hat es aber eigentlich erst richtig angefangen, denn jetzt stehen Unternehmen vor der Herausforderung, dauerhaft datenschutzkonform sein zu müssen, und das erfordert Zeit und Mühe von fast jedem Mitarbeiter innerhalb des Unternehmens.

Wie stellt man also sicher, dass man dieses dauerhafte Bewusstsein ganzheitlich angeht? Die Datenschutzbehörde macht einen wichtigen ersten Schritt, indem sie relevante Personen in der Organisation über die neuen Datenschutzbestimmungen informiert. Die oben verlinkten 10 Schritte wurde natürlich im Anlauf zum 25. Mai geschrieben, aber das ändert nichts daran, dass dies sehr wichtig ist. Sicherlich für diejenigen Organisationen, die in dem Datenschutz in der Organisation noch nicht wirklich investiert haben, aber auch für Organisationen, die dies bereits getan haben, wäre es eine gute Idee, ein Jahr später noch einmal zu prüfen, ob die aktuelle Arbeitsmethode den Bedürfnissen der Organisation entspricht. Hat der aktuelle Ansatz das gewünschte Ergebnis erbracht?

Zusammenstellung eines Teams und Zuweisung von Rollen und Verantwortlichkeit

Schaffen Sie Führungsrollen innerhalb der Organisation. Richten Sie z.B. Privacy Champions oder designierte Ansprechpartner so ein, dass dadurch eine solide Grundlage geschaffen wird. Diese solide Grundlage funktioniert am besten, wenn das Datenschutzteam gemischt zusammengesetzt ist. Stellen Sie sicher, dass Mitarbeiter aus allen Abteilungen des Unternehmens einbezogen werden. Schließlich sind sie die Menschen, die wissen, wie die Praxis aussieht. Involvieren Sie die Rechtsabteilung, soweit die Organisation Juristen anstellt. Stellen Sie sicher, dass die Kommunikationsabteilung einbezogen wird, denn sie weiß, wie der Ton bei der Kommunikation mit Kunden, aber auch mit internen Mitarbeitern, ist. Und stellen Sie sicher, dass das Management involviert ist. Wenn das Management der Organisation den Datenschutz hauptsächlich als Kostenfaktor betrachtet, dann wird es ein schwieriges Projekt werden. Auf der anderen Seite funktioniert die Einbindung des Managements dann besonders gut, wenn es eine eigene Motivation hat, den Datenschutz richtig zu gestalten, sehr gut. Es hilft dem Unternehmen, wirklich datenschutzfreundliche Lösungen zu entwickeln. Für den Datenschutzbeauftragten – oder den Verantwortlichen für den Datenschutz – ist dies ein willkommener Nebeneffekt, denn der Mangel an Kapazität und Engagement ist eine wesentliche Ursache für den Kampf um die Einhaltung der DSGVO-Richtlinien.

Diese Verantwortung auf nur eine Person zu übertragen, ist ebenfalls eine schwierige Wahl. Das übt nicht nur großen Druck auf diese eine Person aus, sondern erreicht dadurch auch nicht den Sensibilisierungsgrad, den die Datenschutzbehörde gerne sehen möchte. Es ist auch wichtig einzuschätzen, wie viel Zeit und Bemühungen das Datenschutzteam braucht, um Datenschutz in die Organisation zu integrieren. Stellen Sie also auch sicher, dass diese Personen frei sind, um diese Aufgabe richtig auszuführen. Wenn dies nicht geschieht, werden Sie sehen, dass das Bewusstsein und die Notwendigkeit des Themas bald zurückfallen werden.

Sensibilisierung über die Auswirkungen und Folgen der DSGVO

Also, das wäre geklärt - das DSGVO-Projektteam ist gesichert. Der erste Sensibilisierungsgrad ist erreicht. Nun zu der nächsten Herausforderung: Wie stellen Sie sicher, dass alle Personen in der Organisation, einschließlich des Projektteams, wissen, was Datenschutz bedeutet und was die DSGVO vorgibt?

Es ist wichtig, zuerst die Vision des Unternehmens festzulegen; was sollen die Mitarbeiter Ihrer Meinung nach beitragen? Wie wichtig ist dem Unternehmen das Thema? Was können die Mitarbeiter von dem Unternehmen erwarten? Und, nicht unwichtig: was erwartet die Organisation von den Mitarbeitern? Wie bereits erwähnt, gehen Sie davon aus, dass die Mitarbeiter – aus persönlicher Sicht – das Thema "Datenschutz" individuell anders betrachten. Wählen Sie eine Art der Kommunikation, die den Mitarbeiter anspricht. Normalerweise funktioniert es gut, dem Mitarbeiter eine bestimmte, für das Unternehmen wichtige Situation zu vermitteln – wie z.B. den sorgfältigen Umgang mit sensiblen Informationen von Kunden – so, dass die Bedeutung aus der eigenen Perspektive des Mitarbeiters verstanden wird. Handelt es sich beispielsweise um die Kopien eines Reisepasses, so kann die Bedeutung einer sorgfältigen Behandlung dieser Daten hervorgehoben werden. Auf diese Weise können Sie dem Mitarbeiter aufzeigen, welche Folgen – auch für ihn persönlich – ein Missbrauch dieser Informationen hat, z.B. im Falle von Identitätsdiebstahl.

Darüber hinaus ist es wichtig, sorgfältig darüber nachzudenken, welches Medium verwendet wird, oder besser noch: welche verschiedenen Medien verwendet werden. Ein guter Ausgangspunkt könnte eine E-Mail der Geschäftsleitung sein, in der auf das Thema aufmerksam gemacht wird. Leider führt die Fortsetzung der Kommunikation per E-Mail oft nicht zum gewünschten Ergebnis, da wir ja bereits so viele davon lesen müssen. Ein Poster mit den Highlights der DSGVO ist daher eine gute Idee. Vielleicht hat die Organisation im ganzen Gebäude Bildschirme, auf denen interessant aufbereitere Infos zum Thema Privatsphäre gezeigt werden können? Oder haben Sie einen "Mailbox-Nachmittag", an dem die Mitarbeiter die Zeit haben, ihre Mailboxen richtig zu säubern? Es gibt noch viele andere unterhaltsame und dennoch informative Möglichkeiten, das Datenschutzbewusstsein Ihrer Mitarbeiter zu schärfen.

Und vergessen Sie nicht, die Bemühungen zur Bewusstseinsbildung in der Zwischenzeit in einem Aktionsplan zu dokumentieren! Nachvollziehbare Verantwortlichkeit und Rechenschaftspflicht ist einer der Schlüsselbegriffe der DSGVO. Und wenn es jetzt darum geht, wie man nachweislich das Bewusstsein der Mitarbeiter schärfen kann und wie sehr dies eine Speerspitze ist, dann eignet sich E-Learning sehr gut dafür. So wird beispielsweise durch ein spezielles datenschutzbezogenes E-Learning sofort erfasst, ob der Mitarbeiter das E-Learning verfolgt hat oder nicht. Auf diese Weise können Sie auch nachweisen, dass Sie dem Thema Aufmerksamkeit schenken. Natürlich können Sie auch Trainingstage organisieren oder Sensibilisierungssitzungen durchführen. Diese Sensibilisierungssitzungen könnten beispielsweise von den SPOCs der Abteilungen, die Teil des Datenschutzteams sind, durchgeführt werden. Schließlich sind sie die ersten Ansprechpartner in der Organisation, wenn es um private Angelegenheiten innerhalb ihrer Abteilung geht, und sie sind auch diejenigen, die das Thema am besten in das Geschehen innerhalb der Abteilung übersetzen können.

Datenschutz als integraler Bestandteil des Geschäftsbetriebs

Zusammenfassend lässt sich sagen, dass der Kern die Wiederholung ist! Datenschutz ist etwas, das ein natürlicher Teil des Unternehmens sein sollte. Es ist relativ einfach, alle Datenschutzrichtlinien in Ordnung zu bringen. Die eigentliche Herausforderung besteht darin, das Verhalten der Organisation und ihrer Mitarbeiter zu ändern. Verhaltensänderungen brauchen Zeit und erfordern Anstrengung und Engagement. Das ist nicht unmöglich oder unrealistisch, denn wenn man die richtigen Personen mit einbezieht, können sie zusammen miteinander und mit ihrer Begeisterung für das Thema dafür sorgen, dass sich die Organisation ständig der Bedeutung des Datenschutzes bewusst ist und dass die Organisation auf diese Weise leicht den Datenschutz im Griff behalten kann.

Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company