Nach Artikel 39 der Datenschutzgrundverordnung (DSGVO) obliegt dem Datenschutzbeauftragten die Aufgabe der Unterrichtung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten (Artikel 39 Absatz 1 lit. a DSGVO). Hierzu zählt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter (Artikel 39 Absatz 1 lit. b DSGVO). Diese – im Einzelnen inhaltlich umstrittene Aufgabenzuweisung – wird oft in dem Sinne missverstanden, dass dort, wo gesetzlich keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht und damit die Aufgabe der Mitarbeiterschulung nicht vom Datenschutzbeauftragten übernommen werden kann, generell keine Verpflichtung zur Sensibilisierung und Schulung der Mitarbeiter bestehe.

Schulen muss jede Praxis/jedes Labor

Dies jedoch ist ein Trugschluss und kann – insbesondere bei datenschutzrechtlich nicht beratenen Zahnarztpraxen oder Unternehmen – schnell in einem (kostspieligen) Datenschutzverstoß münden. Denn die DSGVO geht davon aus, dass die Unternehmensleitung des Verantwortlichen grundsätzlich selbst für die Einhaltung der DSGVO zu sorgen hat – und zwar unbeschadet der Bestellung eines betrieblichen Datenschutzbeauftragten. Artikel 24 Absatz 2 DSGVO normiert die Verpflichtung zur Anwendung geeigneter Datenschutzvorkehrungen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Hierzu gehört die Sicherstellung des erforderlichen Niveaus des Fachwissens, welches sich nach den durchgeführten Datenverarbeitungsvorgängen und dem hieraus erforderlich werdenden Schutz für die von dem Verantwortlichen verarbeiteten personenbezogenen Daten richtet (Erwägungsgrund 97).

Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)

Datenschutzbeauftragter nur als Unterstützer

Wenn also Artikel 39 DSGVO die Aufgabe der Sensibilisierung der Mitarbeiter auf den Datenschutzbeauftragten überträgt, so verdeutlicht dies nur eins: Dass die Sensibilisierung von Mitarbeitern in Datenschutzfragen zu einer wesentlichen Verpflichtung des Verantwortlichen gehört. Der Datenschutzbeauftragte nimmt insofern „bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO“ mit seinem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren lediglich eine unterstützende Funktion ein (Erwägungsgrund 97).  Dort, wo Art. 39 DSGVO bestimmte Aufgaben an den betrieblichen Datenschutzbeauftragten „delegiert“, wird daher das „Unterstützungsumfeld“ bestimmt und gleichsam eine hierauf bezogene Verpflichtung des Verantwortlichen selbst normiert.

Auch der Artikel 32, der Maßnahmen zur Sicherheit der Verarbeitung regelt, hebt in seinem Absatz 4 die Verpflichtung des Verantwortlichen dahingehend, die erforderlichen Schritte zu unternehmen, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, deutlich hervor. Hierzu zählen insbesondere wiederholte Schulungen und Kontrollen der mit der Verarbeitung befassten Mitarbeiter (so Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 32 Rn. 66; Kramer/Meints, in: Auernhammer, DS-GVO, Art. 32 Rn. 54).

Bei Aufsichtsbehörden ist Schulung wichtiger Punkt

Dies ist herrschende Meinung im datenschutzrechtlichen Schrifttum und auch im Verständnis der für die Durchsetzung der DSGVO zuständigen Aufsichtsbehörden fest verankert. So nimmt die Unterrichtung und Sensibilisierung der eigenen Beschäftigten beispielsweise in einer vom Bayerischen Landesamt für Datenschutz veröffentlichten Informationsbroschüre Platz 1 der Top 10 der wichtigsten Umsetzungsverpflichtungen für Unternehmen nach der DSGVO ein. Die im Bundesanzeiger Verlag veröffentlichte Fachmedien-Datenbank für Compliance und Datenschutz veranschaulicht dies im Abschnitt 12 mit der Darstellung von Prüffragen der Aufsichtsbehörden ebenso. Hier werden, die in anlasslosen Kontrollen der Datenschutzaufsichtsbehörden immer vorzufindende Fragen „Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (zum Beispiel Schulung der Mitarbeiter)?“ und „Wurde die Datenverarbeitung gemäß der Planung implementiert (einschließlich Mitarbeiterschulung und Zuweisung von Verantwortlichkeiten)?“ wiedergegeben.

Im Kurzpapier Nr. 19 der Deutschen Datenschutzkonferenz wird eine Verpflichtung zur laufenden Sensibilisierung der Beschäftigten in regelmäßigen Zeitintervallen im Rahmen von Schulungen ebenso hervorgehoben. Hier heiß es: „Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten sind – möglichst anhand typischer Fälle – darüber zu informieren, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen.“

Sensibilisierung für Datenschutz muss Standard sein

Die Sensibilisierung der Beschäftigten muss damit in jeder Zahnarztpraxis zum Standard werden. Dort, wo kein Datenschutzbeauftragter bestellt ist, ist es an der Praxisleitung dies sicherzustellen und mit Blick auf Artikel 5 Absatz 2 DSGVO nachweisbar zu dokumentieren. Bei Verstößen gegen diese Verpflichtung könnten immerhin Geldbußen von bis zu 10.000.000 Euro gegen die Praxis verhängt werden (Artikel 83 Absatz 4 DSGVO).

Dr. Robert Kazemi, Bonn

Webinar – Datenschutzschulung für Mitarbeiter

Die Datenschutzgrundverordnung (DSGVO) fordert die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter (Art. 39 DSGVO). Dazu ist es sicher nicht notwendig, Mitarbeiter tageweise zu blockieren oder gar den Betrieb des Unternehmens oder der Praxis teilweise lahm zu legen.

Mit dem Webinar „Datenschutzschulung für Mitarbeiter“  in Zusammenarbeit mit der DGZMK kommen Sie dem Schulungsanspruch von DSGVO und BDSG besonders einfach nach. So können Mitarbeiter an dem einstündigen Webinar vom Arbeitsplatz aus teilnehmen. Für die ausgezeichnete Qualität und höchste Aktualität der Schulung sorgen die Datenschutzexperten der Kazemi & Partner Rechtsanwälte.

Themenschwerpunkte der datenschutzrechtlichen Mitarbeiterschulung:

• Was ist die Datenschutzgrundverordnung und was hat sich bisher geändert?
• Begriffe und rechtliche Grundlagen wie personenbezogene Daten, Verarbeitungstätigkeit, Verantwortlicher und andere Akteure
• Erläuterung der Datenschutzgrundsätze wie das Transparenzgebot, die Speicherbegrenzung, Datenminimierung oder Vertraulichkeit der Daten
• Datenschutz in der Zahnarztpraxis organisieren und Besonderheiten des Berufsrechts berücksichtigen.

Machen Sie Ihre Mitarbeiter fit in Sachen Datenschutz. Vermeiden Sie Haftungsrisiken und dokumentieren Sie, dass Sie Ihren Verpflichtungen ordnungsgemäß nachgekommen sind. Für jeden registrierten Teilnehmen wird am Ende Teilnahmezertifikat ausgestellt. Das Seminar endet mit einem kleinen Wissenstest, zur Verständnisprüfung und Wissenskontrolle. Mehr Informationen auch zu Kosten und Anmeldung auf der Internetseite der DGZMK.

Titelbild: shutterstock.com/nmedia