Datenschutzbewusstsein: eine Frage der Verhaltensänderung

Was ist das größte Risiko von Datenschutzverletzungen am Arbeitsplatz? Der Mensch! Der Verlust von USB-Sticks, der unbefugte Zugriff von Dateien oder das Versenden einer E-Mail an die falsche Person gehören zum Alltag von Unternehmen. Glücklicherweise steht das Datenschutzbewusstsein daher ganz oben auf der Agenda der Datenschutzbeauftragten und DSBs. Leider denken die Menschen oft fälschlicherweise, dass das alles ganz einfach ist. Bei der Sensibilisierung für Datenschutz geht es darum, Verhaltensänderungen umzusetzen, und das ist eine komplexe Herausforderung. In diesem Blog finden Sie eine Erklärung, wie Sie Ihr Datenschutzbewusstsein nutzen können, um Initiativen zur Verhaltensänderung zu steuern.

Veränderung erfordert Aufmerksamkeit

Stellen Sie sich vor: Ihre interne Richtlinie schreibt vor, dass Mitarbeiter nur genehmigte Online-Tools (z.B. SharePoint, nicht Google Drive) verwenden dürfen. Dennoch stellen Sie fest, dass Google Drive häufig verwendet wird. Was können Sie tun, um das zu ändern? Oft ist die erste Reaktion: Es fehlt an Wissen darüber, welche Anwendungen erlaubt sind. Das ist nicht verwunderlich: Der Mangel an Wissen kann sicherlich das wichtigste Problem sein, das angegangen werden muss. Dies kann z.B. durch eine Nachricht über das Intranet gelöst werden. Es ist einfach nicht der einzige Aspekt des Problems, der angegangen werden kann, wenn man eine Verhaltensänderung anstrebt.

Verhalten ist schwer zu ändern. Sobald sich Menschen auf bestimmte Weise festgelegt haben, erfordert es Mühe, es anders zu machen. Wenn eine Abteilung seit Jahren mit Google Drive arbeitet, um Dokumente mit personenbezogenen Daten zu teilen, muss diese Abteilung einen Änderungsprozess durchlaufen. Oft sind die Menschen bereit, sich zu verändern, aber es ist ein Prozess, der nicht zu unterschätzen ist. Es erfordert Geduld, Kenntnis des Verhaltens und Flexibilität sowohl von der Person, die ihr Verhalten ändern will, als auch von der Umwelt.

Wissen, Wollen, Können

Eine Möglichkeit, über Verhaltensänderungen nachzudenken, ist das Verhaltensänderungsmodell von Marcel Balm. Balm beschreibt drei wichtige Aspekte zur Realisierung von Verhaltensänderungen: Wollen, Wissen, Können.

1: Wissen: Du musst wissen, was das neue Verhalten bedeutet.

Jemand muss sich der Tatsache bewusst sein, dass eine Verhaltensänderung gewünscht wird, und es muss klar sein, was diese Änderung bedeutet. Im Falle von genehmigten Online-Anwendungen bedeutet dies, dass die Mitarbeiter wissen müssen, welche Anwendungen sie nicht verwenden dürfen, und vor allem, welche Anwendungen sie verwenden sollten. Die Arbeit am Aspekt des "Wissens" bedeutet, dass man sich auf Kommunikation und Training konzentrieren muss. Beispielsweise können Sie hierfür E-Learning nutzen.

2: Wollen: Du musst dein Verhalten ändern wollen.

Um sicherzustellen, dass Menschen motiviert sind, ihr Verhalten zu ändern, können Sie sich darauf konzentrieren, das Problem diskutierbar zu machen. Der Mitarbeiter muss verstehen, warum es dringend ist. Sie können zum Beispiel erklären, warum Google keine zuverlässige Partei für die Verarbeitung sensibler Daten ist und was die Risiken sind. Wenn die Mitarbeiter in das Gesamtbild einbezogen werden, ist die Wahrscheinlichkeit höher, dass sie von sich aus zur Veränderung motiviert sind. Um diese intrinsische Motivation effektiv zu stimulieren, ist es wichtig, nicht nur in eine Richtung zu kommunizieren, sondern auch in den Dialog zu treten. So können Sie beispielsweise regelmäßig Workshops organisieren, in denen die Diskussion im Mittelpunkt steht.

3: Kann: Du musst in der Lage sein, dein Verhalten zu ändern.

Der dritte Aspekt des Wandels ist die "Fähigkeit". Weil Menschen fehlbar sind - schließlich sind alle manchmal müde oder abgelenkt - kann man Veränderungen nicht allein aus der Perspektive des Menschen angehen. Sie müssen alles tun, um eine Umgebung so einzurichten, dass sich der Mitarbeiter leicht wie gewünscht verhalten kann. Das ist auch die Grundidee des Prinzips "Privacy by Design" bzw. Datenschutz durch Technikgestaltung: Wenn Sie Systeme und Prozesse datenschutzgerecht gestalten, wird es einfach, datenschutzgerecht zu arbeiten. Im Falle einer unerwünschten Nutzung von Google Drive ist es wichtig, dass es eine Alternative gibt, die einfach zu bedienen ist. So hat beispielsweise die UWV dieses Prinzip gut gemeistert (Niederländisch). Als sich herausstellte, dass sie regelmäßig mit Datenlecks aufgrund von Excel-Dateien auf werk.nl zu kämpfen hatten, beschlossen sie, den Versand von Excel-Dateien zu blockieren.

Lernen aus Vorfällen

Menschen sind nicht zuverlässig, so dass Sie sich immer mit Datenlecks und Sicherheitsvorfällen am Arbeitsplatz auseinandersetzen werden müssen. Vorfälle sind auch da, um daraus zu lernen. Leider ist die endgültige Schlussfolgerung einer Vorfallsanalyse oft "es war menschliches Versagen". Menschliches Versagen sollte aber der Anfang einer Analyse sein und nicht das Ende. Wenn Sie Ihr Verhalten nach einem Vorfall ändern wollen, können Sie versuchen, das problematische Verhalten zu verstehen. Auf diese Weise können Sie sehen, welcher Aspekt der Verhaltensänderung am notwendigsten ist (Wollen, Wissen und/oder Können).

Möchten Sie mehr über Privacy by Design zum Thema Datenschutz erfahren? Oder benötigen Sie Hilfe bei einer Vorfallsanalyse oder bei der Gestaltung eines Awareness-Trainings für Ihre Mitarbeiter? Nehmen Sie Kontakt mit uns auf!

Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company