Database Reference
In-Depth Information
Grundsatz der Verhältnismäßigkeit bei der Verarbeitung personenbezogener Daten -,
dem nicht immer klar erkennbaren Personenbezug von Daten und der niemals einhun-
dertprozentigen Sicherheit durch Technik nimmt der Mensch eine zentrale Rolle in der
Umsetzung der Datenschutzanforderungen ein. Zudem wird die Bedeutung des Daten-
schutzes aufgrund der Zunahme an (personenbezogenen) Daten („Big Data“) immer mehr
Tätigkeitsbereiche betreffen und daher nicht mehr nur auf einen eng abgesteckten Mit-
arbeiterkreis eingrenzbar sein. Folglich können technische Sicherheitsmaßnahmen und
einzelne Datenschutzexperten im Unternehmen alleine den Datenschutz nicht mehr aus-
reichend sicherstellen. Vielmehr bedarf es einer
allgemeinen
Datenschutz-Awareness
19
im
Unternehmen. Denn nur mit dieser können die Hintergründe der im Rahmen des DSMS
aufgestellten Handlungsanweisungen von den Beschäftigten befolgt werden. Außerdem
bietet Awareness Schutz gegen Attacken, beispielsweise Social Engineering.
Die Notwendigkeit einer Datenschutz-Awareness hat auch der deutsche Gesetzgeber
erkannt, steht doch der betriebliche Datenschutzbeauftragte nach § 4g I Nr. 2 BDSG in
der Pflicht, die mit der Datenverarbeitung beschäftigen Mitarbeiter mit den Regelungen
des Datenschutzrechtes vertraut zu machen. Neben speziellen Schulungsangeboten nur
für den Datenschutzbeauftragten hat sich als Folge für diese Form der Mitarbeitertrainings
ein Markt aufgetan, auf dem private Anbieter wie auch die Aufsichtsbehörden tätig sind.
Gleich ob das Unternehmen die Schulungen über eigenes oder fremdes Personal abhalten
lässt, in beiden Fällen sind einige grundsätzliche Aspekte der Datenschutztrainings zu
beachten, die im Folgenden dargestellt werden.
5.2.6.2 Grundlegende Aspekte von Datenschutztrainings
Einen wichtigen Aspekt bei der Gestaltung von Datenschutztrainings stellt die Auswahl
der teilnehmenden Mitarbeiter dar. Eine solche Auswahl sollte gut durchdacht sein, weil
Maßnahmen der Personalentwicklung generell verhältnismäßig aufwändig sind und die
begrenzten Ressourcen für das DSMS sinnvoll allokiert werden müssen. Mindestens müs-
sen diejenigen Mitarbeiter aus dem DSMS-Anwendungsbereich adressiert werden, die
während ihrer Tätigkeit mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigt sind. Sinnvoll ist es zudem, Mitarbeiter miteinzubeziehen, die mit einer ge-
wissen Wahrscheinlichkeit solche Tätigkeiten ausführen werden. Das sind beispielsweise
Vertretungen oder absehbare Versetzungen. Ebenfalls dazu gehören Personen, die im
Rahmen der Arbeitnehmerüberlassung im Unternehmen tätig sind. Personal von Dienst-
leistern ist grundsätzlich auch vom jeweiligen Dienstleister in nachgewiesener Form zu
befähigen, was im Rahmen eines qualifizierten ADV-Managements vom Auftraggeber zu
ermitteln (beispielsweise eine Selbstauskunft, siehe dazu Abschn. 5.2.7.5) und regelmäßig
zu überprüfen ist.
19
Awareness wird in diesem Praxisleitfaden als Oberbegriff für die Bewusstseins- und Aufmerk-
samkeitsbildung sowie Sensibilisierung eines Individuums zu einem bestimmten Themenfeld (hier:
Datenschutz) verwendet. Awareness wird als internationaler Begriff in Bezug auf die Mitarbeiter
v.a. in sicherheitsrelevanten Gebieten wie IT-Sicherheit, Informationssicherheit und eben auch dem
Datenschutz verwendet.
Search WWH ::
Custom Search