Schulung und Awareness
Vermeiden der häufigsten Datenschutzpannen
Beschäftige stehen mittlerweile verstärkt im Fokus von Cyberattacken. Mittels raffinierten Social Engineering Techniken sollen sie dazu verleitet werden, sicherheitskritische Aktionen auszuführen. Ebenso bestehen erhebliche Risiken etwa den falschen Umgang mit Datenschutzverletzungen und Betroffenenrechten. Viele Datenschutzverletzungen ereignen sich auch in eher profanen Bereichen.
Top 5 der Datenschutzpannen
- Fehlversand von Emails / Briefpost
- offene Verteilerlisten
- falsche Entsorgung von Dokumenten und Datenträgern
- falscher Umgang mit Betroffenenanfragen
- Datenschutzverletzungem
Eine der einfachsten und sinnvollsten Maßnahme zur Reduzierung von Datenschutzrisiken ist daher die Sensibilisierung und Schulung von Mitarbeitern.
Dementsprechend gehört es gemäß Art. 39 Abs 1 lit b. DS-GVO zu den zentralen Aufgaben des Datenschutzbeauftragten, regelmäßig zu überprüfen, ob die Mitarbeiter hinreichen sensibilisiert und geschult sind. Diese Schulung gehört wieder zu den technischen und organisatorischen Maßnahmen, die das Unternehmen nach Art. 32 DS-GVO zu treffen hat.
Vorsorge für Sicherheit und Datenschutzaufsicht
Folgende Schulungsthemen (und Organisation) werden von den Datenschutzbehörden regelmäßig abgefragt
(Bayerisches Landesamt für Datenschutzaufsicht: Good Practice bei technischen und organisatorischen Maßnahmen/Checkliste Sicherheit der Verarbeitung):
- Das gesamte Personal der Organisation sollte eine angemessene Schulung für Informationssicherheit und Datenschutz erhalten, soweit dies für die jeweilige Funktion relevant ist
- Datenschutzschulungen für neue Beschäftigte zeitnah nach Aufnahme des Beschäftigungsverhältnisses
- Regelmäßige Auffrischungsschulungen für das bestehende Personal (z.B. einmal pro Jahr)
- Regelmäßige Informationen im Betrieb an alle über Neuigkeiten zum Datenschutz und der IT-Sicherheit (z.B. per Mail, Intranet, Kollaborationsplattform, Aushang)
- Relevante Richtlinien, z. B. zur E-Mail-/Internetnutzung, Umgang mit Schadcodemeldungen, Einsatz von Verschlüsselungstechniken, werden aktuell gehalten und sind leicht auffindbar (z. B. im Intranet)
- Datenschutzhandbuch (welches z. B. auch Schulungsinhalte bereitstellt) ist zugänglich für alle betroffenen Mitarbeiter
- Schulungsinhalte: Ausgewählte Mitarbeiter, die bei der Erkennung von Sicherheitsverletzungen beteiligt sind (wie z. B. IT, DSB, Geschäftsführung, Führungskräfte, Geschäftsstelle, ggf. Telefonzentrale oder Sekretariat) kennen die internen Prozesse zum Umgang mit Vorfällen (u. a. Meldung nach Art. 33 DS-GVO, Notfallplan)
- Schulungsinhalte: Beschäftigten lernen kennen, wie Cyberangriffe mittels Social-Engineering eingeleitet werden (Hilfe zur Selbsthilfe)
- Schulungsinhalte: Beschäftigten erfahren von den Gefahren der E-Mail-Kommunikation, insbesondere bei verschlüsselten E-Mail-Anhängen (z. B. Zip-Datei mit Passwort)
- Schulungsinhalte: Beschäftigten erkennen gefälschte E-Mails (z. B. Absenderadressen, Auffälligkeiten, eingebettete Links)
- Sensibilisierung des Personals, das mit Externen wie z. B. Lieferanten interagiert, in Bezug auf angemessene Einsatzregeln, Richtlinien, Prozesse und Verhalten (u. a. welche Daten dürfen in welcher Form weitergegeben werden, was kann sicherheitskritisch sein)
- Von Heimarbeit betroffenen Mitarbeiter werden die sichere Nutzung von Home Office Lösungen erläutert und spezifische Gefahren aufgezeigt
Mögliche Geldbußen
Im Falle von meldepflichtigen Datenschutzverletzungen ist es von besonderer Bedeutung, dass das Unternehmen eine regelmäßige Datenschutzschulung/It-Sicherheitsschulung nachweisen kann. Nicht zuletzt wird bei der Höhe einer möglichen Geldbuße nach Art. 83 Abs. 2 lit. d DS-GVO strafmildernd oder straferhöhend berücksichtigt, welche technisch und organisatorischen Maßnahmen die Verantwortlichen oder Auftragsverarbeiter getroffen oder eben nicht getroffen haben.
Wie können wir Ihnen helfen?
Wir bieten ein modulares Schulungskonzept, das sowohl allgemeine Basiskenntnisse im Datenschutz als auch fach- bzw. prozessspezifische Sachverhalte der Organisation berücksichtigt. Entsprechende Schulungsmaßnahmen können in Präsenzveranstaltungen oder virtuellen Schulungen durchgeführt werden. Ergänzt wird dies durch Newsletter oder Leitfäden für bestimmte Prozesse oder Problemfelder.
Gerne erarbeiten wir mit Ihnen ein passendes „System“ für den Datenschutz.
Durch unser umfassendes Wissen können wir Ihr Unternehmen ganzheitlich im Blick haben, schätzen mit Ihnen das Unternehmerische Risiko und die Effizienz von unterschiedlichen Maßnahmen ab. Wir erarbeiten maßgeschneiderte Strategien für Ihre Situation.
Schreiben Sie uns, wir unterstützen Sie gerne.
Felder mit einem * sind Pflichtfelder
Weitere Möglichkeiten für Cybersicherheit
Für die Schulung und Sensibilisierung bietet die Mitgliedschaft im Verein für Cyber-Sicherheit Niedersachsen e.V. eine weitere interessante Möglichkeit. Der 2021 gegründete Verein wird vom ehemaligen Göttinger Polizeipräsidenten Dipl. Verw.-Wirt Uwe Lührig geführt. Der Verein bietet seinen Mitgliedern regelmäßige Warnmeldungen und Info-Briefe zum Thema Cybersicherheit. Daneben wird die Schulung von Beschäftigten im Bereich präventiver Maßnahmen ebenso geboten wie die Organisation von Veranstaltungen.
Insgesamt können die Angebote des Vereins einen wichtigen Mosaikstein zum Nachweis der hinreichenden Schulung und Sensibilisierung von Beschäftigten und Verantwortlichen bieten. Nähere Informationen finden Sie unter: