Database Reference
In-Depth Information
etc.), da diese - im Gegensatz zum Verantwortlichen für den Datenschutz - meist keine
Expertise in Datenschutzangelegenheiten aufweisen können. Neben den Inhalten ist auch
die zeitliche Durchführung dieser Trainings im Rahmen des DSMS-PDCA abweichend
von den allgemeinen Mitarbeitertrainings anzusetzen. Im Idealfall sind die DSMS-Akteure
nämlich bereits zum Zeitpunkt des Roll-out (Abschn. 5.2.5) entsprechend geschult, wobei
sich ein Beginn nach ihrer Ernennung anbietet. Aus Gründen der thematischen Nähe soll
jedoch an dieser Stelle im Praxisleitfaden darauf eingegangen werden.
Auch eine Schulung nach dem Roll-out ist möglich: Das DSMS startet dann etwas
langsamer und entwickelt sich aus den wechselseitigen Interaktionen der Beteiligten her-
aus. Hierin liegt auch eine Chance, können sich auf diese Weise doch alle Beteiligten
(Mitarbeiter und DSMS-Akteure) zunächst einmal in der neuen Umgebung orientieren.
Dies bedeutet jedoch für den Verantwortlichen für den Datenschutz einen höheren Ko-
ordinierungsaufwand in dieser Anfangsphase. In einem solchen Fall sollte sich zwischen
Roll-out und Schulung unabhängig von ihrer Reihenfolge ein möglichst geringer Zeitraum
befinden.
Für die Inhalte der Trainings für die DSMS-Akteure gilt derselbe Grundsatz wie
für die Mitarbeitertrainings: Wird einem Beschäftigten eine Aufgabe im Rahmen des
DSMS zugewiesen, so ist dieser zur effektiven Umsetzung dieser Aufgabe entsprechend
zu befähigen. Da sich die Aufgaben der DSMS-Akteure aber schwerpunktmäßig auf füh-
rende, koordinierende und kontrollierende Tätigkeiten konzentrieren, ist eine umfassende
Schulung im Datenschutzrecht nicht zwingend erforderlich, zumal bei funktionierender
Arbeitsteilung die rechtslastigen Tätigkeiten (ADV-Verträge, Vorabkontrolle etc.) auf die
Fachabteilungen verteilt sind.
Esistdaheroftmalsausreichend, diegrundlegendenAspektedesDatenschutzesundder
Datenschutzziele des Unternehmens zu vermitteln sowie schwerpunktmäßig auf die Auf-
gaben einzugehen, die im Rahmen des DSMS zu übernehmen sind. Die Wiederholungen
der Tätigkeiten im Rahmen des PDCA-Zyklus führen dabei auch zu einem „Learning-on-
the-job“-Effekt, sodass nicht unverhältnismäßig viel Aufwand dafür aufgewendet werden
muss. Als Folge können diese „Trainings“ auch lediglich in Form einer Instruktion durch
beispielsweise den Verantwortlichen für den Datenschutz ausfallen, v.a. wenn die Tätig-
keiten im DSMS lediglich eine Erweiterung der regulären Tätigkeiten bedeuten. Beispiel:
Ein Mitglied des Managements bekommt zusätzlich zu seiner regulären Aufgabe der allge-
meinen Budgetverwaltung noch die Aufgabe zugeteilt, das Budget des DSMS zu verwalten.
Allein auf dieser Basis ist keine umfangreiche Schulung im Datenschutzrecht erforderlich.
Je nachdem könnte ohne eine detaillierte Ausdifferenzierung der Trainingsinhalte der
einzelnen Rollen ein Trainingskonzept aus der oben erwähnten Basisschulung bestehen
sowie einer Schwerpunktschulung zum DSMS, in welchem das Governance Model, die
einzelnen Schritte des DSMS-PDCA sowie anhand der Dokumentation die einzelnen Auf-
gaben der DSMS-Akteure dargestellt werden. Diese Schwerpunktschulung muss nicht
formalisiert werden und kann dann auch lediglich aus einer persönlichen Instruktion
durch den Verantwortlichen für den Datenschutz bestehen, oder aber - bei weitgehend
Search WWH ::
Custom Search