Im Art. 5, Absatz 2 ist gefordert, dass das Unternehmen (z.B. eine Arztpraxis) die umgesetzten Maßnahmen, jederzeit nachweisen zu können, dass die Verarbeitung personenbezogener Daten DSGVO-konform erfolgt. Das bedeutet, dass alle datenschutzrechtlichen Vorgaben eingehalten werden müssen. Damit Mitarbeiter diese Vorgaben umsetzen können, müssen sie darüber informiert und entsprechend geschult werden.
Die Pflicht zur Datenschutzschulung für Mitarbeiter gemäß DSGVOHerleitung und Begründung
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen (z.B. eine Arztpraxis) indirekt dazu, ihre Mitarbeiter im Bereich Datenschutz zu schulen. Die Verpflichtung ergibt sich zwar nicht explizit aus einem Artikel der DSGVO, jedoch aus mehreren Vorschriften und Grundsätzen der Verordnung, die zusammen eine solche Schulung erforderlich machen. Nachfolgend zeige ich Ihnen anhand von 4 Beispielen:
Grundsatz der Rechenschaftspflicht (Artikel 5 Absatz 2 DSGVO)
Datensicherheit und organisatorische Maßnahmen (Artikel 32 DSGVO)
Artikel 32 DSGVO schreibt vor, dass Unternehmen (z.B. eine Arztpraxis) geeignete technische und organisatorische Maßnahmen treffen müssen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Eine solche Maßnahme ist die Sensibilisierung und Schulung der Mitarbeiter für die Umsetzung des Datenschutzes.
Beispielhafte Maßnahmen, die explizit in Artikel 32 genannt werden, sind: Vertraulichkeit: Nur Mitarbeiter, die sich der Datenschutzanforderungen bewusst sind, können dafür sorgen, dass personenbezogene Daten vertraulich behandelt werden. Integrität und Verfügbarkeit: Mitarbeiter müssen geschult sein, um Datenverluste oder Sicherheitsverletzungen zu vermeiden und mit solchen umzugehen.
Meldung von Datenschutzverletzungen (Artikel 33 und 34 DSGVO)
Im Falle einer Datenschutzverletzung, muss der Verantwortliche im Unternehmen (z.B. eine Arztpraxis) diese der zuständigen Aufsichtsbehörde und den betroffenen Personen melden. Damit ein Verstoß erkannt werden kann, müssen alle Mitarbeiter im Hinblick auf Meldepflichten und -prozesse geschult werden. Nur geschulte Mitarbeiter wissen, wie sie mit Datenschutzverstößen umgehen sollen und welche Maßnahmen zu ergreifen sind.
Aufgaben des Datenschutzbeauftragten (Artikel 39 DSGVO)
Unabhängig, davon ob eine Arztpraxis verpflichtet ist einen Datenschutzbeauftragten zu bestellen, müssen die Anforderungen der DSGVO vollständig umgesetzt werden. Im Artikel 39 Absatz 1b ist explizit die Sensibilisierung und Schulung der Mitarbeiter genannt.
Zusammenfassung der Herleitung der Schulungspflicht gemäß DSGVO
Die DSGVO fordert, dass Unternehmen (z.B. eine Arztpraxis) personenbezogene Daten sicher und rechtskonform verarbeiten und geeignete Maßnahmen zum Schutz der Daten umsetzen. Die Schulung von Mitarbeitern stellt dabei eine essenzielle Maßnahme dar, um diese Anforderungen zu erfüllen.