🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

Datenschutzbewusstsein: Was es ist, warum es wichtig ist und wie Sie Ihre Mitarbeiter schulen können

Die meisten Datenschutzverletzungen werden nicht dadurch verursacht, dass Hacker Firewalls überwinden. Sie entstehen durch vermeidbare Fehler von Mitarbeitern: das Versenden einer Datei an den falschen Empfänger, das Hinterlassen eines Dokuments auf einem gemeinsam genutzten Laufwerk mit falschen Zugriffsrechten, die Nutzung eines privaten E-Mail-Kontos für geschäftliche Daten oder das Anklinken eines Phishing-Links, der zu unbefugtem Zugriff führt. Datenschutzbewusstsein ist die organisatorische Praxis, sicherzustellen, dass Mitarbeiter verstehen, was personenbezogene Daten sind, welche Verantwortlichkeiten sie gemäß Vorschriften wie der DSGVO haben und wie sie mit Daten so umgehen, dass sowohl Einzelpersonen als auch das Unternehmen geschützt sind.

Was versteht man unter Datenschutzbewusstsein?

Datenschutzbewusstsein bezeichnet das Ausmaß, in dem Mitarbeiter Datenschutzrisiken und ihre Verantwortlichkeiten beim Umgang mit personenbezogenen Daten verstehen. Es umfasst sowohl die rechtliche Dimension – also die Anforderungen von Vorschriften wie der DSGVO – als auch die praktische Dimension: Wie lassen sich diese Anforderungen in alltägliche Entscheidungen über die Erhebung, Speicherung, Weitergabe und Löschung von Daten umsetzen?

Ein Mitarbeiter mit ausgeprägtem Datenschutzbewusstsein kennt den Unterschied zwischen personenbezogenen und nicht personenbezogenen Daten, versteht, warum bestimmte Datenkategorien (Gesundheitsdaten, Finanzdaten, politische Meinungen) besonderen Schutz erfordern, erkennt, wann eine Datenanfrage legitim ist und wann es sich möglicherweise um einen Social-Engineering-Versuch handelt, und weiß, was zu tun ist, wenn er den Verdacht hat, dass eine Datenpanne aufgetreten ist.

Das Bewusstsein für den Datenschutz unterscheidet sich vom Sicherheitsbewusstsein, steht jedoch in engem Zusammenhang damit. Beim Sicherheitsbewusstsein liegt der Schwerpunkt auf dem Schutz von Systemen und Daten vor externen Bedrohungen. Beim Datenschutzbewusstsein geht es darum, wie die Mitarbeiter selbst mit Daten umgehen. In der Praxis überschneiden sich beide Bereiche erheblich: Eine Phishing-E-Mail, die zum Diebstahl von Zugangsdaten führt, ist sowohl ein Sicherheitsvorfall als auch eine Datenschutzverletzung.

Warum Datenschutzbewusstsein wichtig ist: Die DSGVO und der menschliche Faktor

Gemäß der DSGVO sind Organisationen für den Umgang mit personenbezogenen Daten verantwortlich, auch wenn es aufgrund eines Fehlers eines Mitarbeiters zu Problemen kommt. Ein Datenschutzverstoß, der dadurch verursacht wird, dass ein Mitarbeiter versehentlich eine Kundenliste an die falsche E-Mail-Adresse sendet, ist dennoch meldepflichtig. Die Organisation ist dafür verantwortlich, den Vorfall innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, gegebenenfalls die betroffenen Personen zu benachrichtigen und nachzuweisen, dass sie angemessene technische und organisatorische Maßnahmen getroffen hatte.

„Geeignete organisatorische Maßnahmen“ umfassen ausdrücklich auch die Schulung der Mitarbeiter. Die DSGVO legt zwar nicht genau fest, wie diese Schulung aussehen muss, doch die Aufsichtsbehörden legen diese Anforderung durchweg so aus, dass es sich um eine kontinuierliche, auf die jeweilige Rolle zugeschnittene Sensibilisierung handelt und nicht um ein einmaliges Modul, das am ersten Arbeitstag absolviert wird.

Die meisten bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) eingereichten Meldungen über Verstöße gegen die DSGVO sind auf menschliches Versagen zurückzuführen und nicht auf Angriffe von außen. Schulungen zum Datenschutzbewusstsein befassen sich mit der häufigsten Ursache für die häufigste Art von Datenschutzverletzungen.

Über die bloße Einhaltung gesetzlicher Vorschriften hinaus schützt das Bewusstsein für den Datenschutz das Vertrauen, das Kunden, Partner und Mitarbeiter in ein Unternehmen setzen. Eine Datenpanne ist nicht nur ein regulatorisches, sondern auch ein Reputationsrisiko. Unternehmen, die eine echte Kultur der Verantwortung für den Datenschutz vorweisen können, sind besser in der Lage, dieses Vertrauen auch dann aufrechtzuerhalten, wenn es doch einmal zu Vorfällen kommt.

Was Datenschutzbewusstsein für Mitarbeiter in der Praxis bedeutet

Beim Datenschutzbewusstsein geht es nicht darum, Mitarbeiter zu Datenschutzrechtlern zu machen. Es geht vielmehr darum, ihnen das praktische Wissen zu vermitteln, das sie benötigen, um in ihrer jeweiligen Funktion korrekt mit Daten umzugehen. In den meisten Organisationen lässt sich dies auf eine Reihe von Kernkompetenzen zurückführen:

  • Erkennen von personenbezogenen Daten. Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, Standortdaten, Gesundheitsdaten, Finanzdaten: Mitarbeiter müssen wissen, was im Rahmen ihrer Arbeit als personenbezogene Daten gilt.
  • Das „Need-to-know“-Prinzip verstehen. Auf personenbezogene Daten sollten nur Personen zugreifen dürfen, die diese für ihre Tätigkeit benötigen. Mitarbeiter, die dies verstehen, neigen weniger dazu, Daten informell weiterzugeben oder unnötigen Zugriff zu gewähren.
  • Korrekter Umgang mit Datenanfragen. Was ist zu tun, wenn ein Kunde Einsicht in seine Daten verlangt, deren Löschung beantragt oder der Verarbeitung widerspricht? Zu wissen, dass es einen festgelegten Ablauf gibt und an wen man sich wenden muss, ist wichtiger, als jedes Detail der DSGVO zu kennen.
  • Sicherer Umgang mit Daten im Arbeitsalltag. Versenden sensibler Daten über verschlüsselte Kanäle, keine Speicherung personenbezogener Daten in privaten E-Mail-Konten oder ungesicherten gemeinsamen Laufwerken, Sperren des Bildschirms beim Verlassen des Arbeitsplatzes, keine Erörterung von Kundendaten in öffentlichen Räumen.
  • Erkennen und Melden von Datenschutzvorfällen. Eine falsch adressierte E-Mail, ein Anhang, der an die falsche Person gesendet wurde, ein verlorenes Gerät mit unverschlüsselten Daten: Mitarbeiter, die wissen, dass dies einen potenziellen Datenschutzverstoß darstellt und an wen sie dies melden müssen, ermöglichen es Unternehmen, die 72-Stunden-Meldefrist einzuhalten.

Schulungen zum Datenschutzbewusstsein: So sorgt man dafür, dass das Gelernte auch wirklich hängen bleibt

Für Schulungen zum Datenschutzbewusstsein gelten dieselben Grundsätze wie für Schulungen zur Sicherheitssensibilisierung: Kurz, regelmäßig und auf die jeweilige Rolle zugeschnitten ist besser als lang, selten und allgemein gehalten. Ein 30-minütiges jährliches E-Learning-Modul zur DSGVO gewährleistet zwar auf dem Papier die Einhaltung der Vorschriften, verändert jedoch nicht zuverlässig die Art und Weise, wie ein Kundendienstmitarbeiter sechs Monate später mit einem Auskunftsersuchen einer betroffenen Person umgeht.

Eine wirksame Schulung zum Thema Datenschutzbewusstsein weist mehrere Merkmale auf:

  • Szenariobasiert. Schulungen, die realistische Situationen darstellen – „Sie erhalten eine E-Mail mit der Aufforderung, die persönlichen Daten eines Kunden an einen Dritten weiterzuleiten; wie gehen Sie vor?“ – fördern nicht nur das Wissen, sondern auch die Entscheidungsfähigkeit.
  • Aufgabenbezogen. Die Datenschutzrisiken, denen ein Kundenservice-Team ausgesetzt ist, unterscheiden sich von denen in den Bereichen Finanzen, Personalwesen oder IT. Schulungen, die auf die tatsächliche tägliche Arbeit eines Mitarbeiters zugeschnitten sind, werden eher im Gedächtnis behalten und in die Praxis umgesetzt.
  • Regelmäßig wiederholt. Die Datenschutzbestimmungen entwickeln sich weiter. Die Praktiken im Umgang mit Daten ändern sich. Ein neues Tool oder ein neuer Prozess kann neue Datenschutzrisiken mit sich bringen. Durch fortlaufende Schulungen wird sichergestellt, dass das Bewusstsein auf dem neuesten Stand bleibt.
  • Dokumentiert. Der Nachweis, dass eine Schulung absolviert wurde – wer, wann, was – ist an sich schon eine Compliance-Anforderung. Eine Schulung, die einen Prüfpfad hinterlässt, ist deutlich mehr wert als eine, bei der dies nicht der Fall ist.

Die Schulungsplattform von Guardey zum Thema Sicherheitsbewusstsein umfasst den Datenschutz als Teil ihres umfassenderen Programms und bietet Unternehmen damit eine zentrale Plattform sowohl für Sicherheits- als auch für Datenschutzbewusstsein – einschließlich der Nachverfolgungs- und Berichtsfunktionen, die erforderlich sind, um sowohl Auditoren als auch Datenschutzbeauftragte zufrieden zu stellen.

Datenschutz und Sicherheitsbewusstsein sind untrennbar miteinander verbunden

Fördern Sie das Bewusstsein für den Datenschutz in Ihrem Unternehmen und machen Sie es messbar.

Demo anfordern
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung