Datenschutz-Grundunterweisung für Unternehmen: DSGVO-konform & praxisnah

Die rechtliche Grundlage für eine Datenschutz-Grundunterweisung ergibt sich aus mehreren Regelwerken: Arbeitsschutzgesetz (ArbSchG) § 12 schreibt vor, dass der Arbeitgeber die erforderlichen Maßnahmen zu treffen hat, um die Sicherheit und den Gesundheitsschutz der Beschäftigten zu gewährleisten. Dazu zählt auch die Information und Unterweisung über Risiken, die sich aus der Verarbeitung personenbezogener Daten ergeben können. Betriebssicherheitsverordnung (BetrSichV) § 4 verlangt eine Gefährdungsbeurteilung, in der auch datenschutz­bezogene Risiken – etwa unbefugter Zugriff oder Daten­panne – identifiziert und geeignete Schutzmaßnahmen festgelegt werden müssen. DGUV Vorschrift 1 „Grundsätze der Prävention“ fordert in § 4 Abs. 3, dass Mitarbeiter regelmäßig unterwiesen werden müssen, wenn Tätigkeiten mit besonderen Gefährdungen verbunden sind. Der Umgang mit personenbezogenen Daten wird ausdrücklich als solche Gefährdung eingestuft. DSGVO Art. 39 legt fest, dass der Datenschutzbeauftragte geeignete Maßnahmen zur Einhaltung der Verordnung unterrichtet und überwacht. Dazu gehört die Schulung aller Mitarbeitenden, die Zugriff auf personenbezogene Daten haben.

Der Arbeitgeber trägt die Verantwortung dafür, dass jeder Mitarbeiter datenschutzkonform arbeitet. Konkret bedeutet das: Unterweisungspflicht: Gemäß ArbSchG § 12 und DGUV Vorschrift 1 § 4 müssen alle Beschäftigten vor Aufnahme ihrer Tätigkeit und mindestens einmal jährlich wiederkehrend geschult werden. Gefährdungsbeurteilung: Nach BetrSichV § 4 ist eine betriebsindividuelle Risikoanalyse zu erstellen, die erfasst, welche Datenarten in welchen Prozessen verarbeitet werden und welche Schutzziele verletzt sein könnten. Dokumentation: Die Unterweisung ist nach DGUV Vorschrift 2 § 26 schriftlich oder digital zu dokumentieren und mindestens fünf Jahre aufzubewahren, um im Prüfungsfall nachweisen zu können, dass die Pflichten erfüllt wurden.

1. Rechtsrahmen und Grundbegriffe Die Kursteilnehmenden lernen die zentralen Begriffe der DSGVO kennen: personenbezogene Daten, Auftragsverarbeitung, Einwilligung, Auftragsdatenverarbeitung, „Privacy by Design“ und „Privacy by Default“. Anhand von Alltagsbeispielen wird erläutert, wann eine Datenverarbeitung rechtmäßig ist und welche Rechte Betroffene haben (Auskunft, Löschung, Berichtigung). 2. Prinzipien rechtmäßiger Datenverarbeitung

• Zweckbindung: Daten nur für den ursprünglich festgelegten Zweck nutzen.
• Datenminimierung: Nur die Daten erheben, die für den festgelegten Zweck auch erforderlich sind.
• Richtigkeit: Falsche oder veraltete Daten sofort korrigieren.
• Speicherbegrenzung: Daten nicht länger aufbewahren als nötig.
• Integrität und Vertraulichkeit: Durch Verschlüsselung und Zugriffskontrollen sicherstellen.

3. Umgang mit Einwilligungen Die Teilnehmenden üben, wie man transparente, eindeutige und jederzeit widerrufbare Einwilligungen einholt. Praxisbeispiele zeigen, wie Online-Formulare und Cookie-Banner rechtmäßig gestaltet werden. 4. Betroffenenrechte umsetzen Anhand einer Checkliste wird durchgespielt, wie Mitarbeiter auf Auskunfts- oder Löschanfragen reagieren müssen, welche Fristen gelten (1 Monat) und wann eine Identitätsprüfung erforderlich ist. 5. Datenpanne & Meldepflicht Ein simulierter Daten­leck-Fall zeigt, was sofort zu tun ist: Sperren von Zugriffen, interne Eskalation, Dokumentation gemäß DSGVO Art. 33 (72-Stunden-Frist). 6. Technische & organisatorische Maßnahmen (TOM) Die Kursteilnehmenden erhalten eine Toolbox mit Sofort-Maßnahmen: Verschlüsselung von E-Mails und Datenträgern, starke Passwörter, Zwei-Faktor-Authentifizierung, regelmäßige Updates, Clean-Desk-Policy. 7. Verantwortlichkeiten im Team Klare Rollenverteilung: Wer ist Verantwortlicher, wer Auftragsverarbeiter? Was muss im Auftragsdatenverarbeitungs­vertrag stehen? Wann muss ein Datenschutzbeauftragter bestellt werden?

Typische Gefährdungen:

• Unverschlüsselte E-Mail mit Kundendaten
• USB-Stick verloren
• Phishing-Mail führt zur Daten­abfrage
• Laptop im Home-Office ungesichert
• Falsche Empfänger-Adresse bei Serienbrief
• Cloud-Dienst ohne DPA

TOP-Prinzip (Technisch – Organisatorisch – Personal): Technisch: Verschlüsselung, Passwortrichtlinien, Firewall, regelmäßige Pen-Tests. Organisatorisch: Berechtigungskonzept, „Need-to-Know“-Prinzip, saubere Prozessdokumentation, interne Audits. Personal: Regelmäßige Schulung, Sensibilisierung per Phishing-Simulationen, klare Eskalationswege bei Verdachtsfällen.

Branchen mit besonderem Fokus:

• Gesundheitswesen: Patientendaten nach § 22 BDSG-neu, sensible Daten.
• Finanzdienstleister: Kreditdaten, Versicherungsmakler, BaFin-Anforderungen.
• Online-Handel: Cookie-Banner, Kundenaccounts, Zahlungsdaten.
• Personaldienstleister: Bewerberdaten, Zeitarbeit, Video-Ident-Verfahren.

Für alle Branchen gelten dieselben DSGVO-Grundsätze, jedoch variiert die Gefährdungs­landschaft und die Häufigkeit der Schulung.

Das Bundesdatenschutzgesetz (BDSG-neu) und die DGUV Vorschrift 1 empfehlen eine regelmäßige Unterweisung in jährlichem Rhythmus. Bei Einführung neuer Technologien, Prozess-Änderungen oder nach einem Datenschutzvorfall ist eine Wiederholung unverzüglich erforderlich. Die Dokumentation erfolgt digital oder schriftlich (Unterschriftenliste oder LMS-Export) und muss laut DGUV Vorschrift 2 § 26 mindestens fünf Jahre aufbewahrt werden. Bei externen Audits oder Bußgeldverfahren ist diese Nachweispflicht zwingend.