Datenschutzpannen vorsorgen

Beschäftige stehen mittlerweile verstärkt im Fokus von Cyberattacken. Mittels raffinierten Social Engineering Techniken sollen sie dazu verleitet werden, sicherheitskritische Aktionen auszuführen. Ebenso bestehen erhebliche Risiken etwa den falschen Umgang mit Datenschutzverletzungen und Betroffenenrechten. Viele Datenschutzverletzungen ereignen sich auch in eher profanen Bereichen, so gehören zur Top-Five der Datenschutzpannen:

  • Fehlversand von E-Mails/Briefpost
  • offene Verteilerlisten
  • falsche Entsorgung von Dokumenten und Datenträgern
  • Dazu kommen etwa falscher Umgang mit Betroffenenanfragen
  • Datenschutzverletzungen

Eine der einfachsten und sinnvollsten Maßnahme zur Reduzierung von Datenschutzrisiken ist daher die Sensibilisierung und Schulung von Mitarbeitern.

Dementsprechend gehört es gemäß Art. 39 Abs 1 lit b. DS-GVO zu den zentralen Aufgaben des Datenschutzbeauftragten, regelmäßig zu überprüfen, ob die Mitarbeiter hinreichen sensibilisiert und geschult sind. Diese Schulung gehört wieder zu den technischen und organisatorischen Maßnahmen, die das Unternehmen nach Art. 32 DS-GVO zu treffen hat.

Prüfungen durch die Datenschutzaufsicht

Folgende Schulungsthemen (und Organisation) werden von den Datenschutzbehörden regelmäßig abgefragt (Bayerisches Landesamt für Datenschutzaufsicht: Good Practice bei technischen und organisatorischen Maßnahmen/Checkliste Sicherheit der Verarbeitung):

  • Das gesamte Personal der Organisation sollte eine angemessene Schulung für Informationssicherheit und Datenschutz erhalten, soweit dies für die jeweilige Funktion relevant ist
  • Datenschutzschulungen für neue Beschäftigte zeitnah nach Aufnahme des Beschäftigungsverhältnisses
  • Regelmäßige Auffrischungsschulungen für bestehendes Personal (z. B. einmal pro Jahr)
  • Regelmäßige Informationen im Betrieb an alle über Neuigkeiten zum Datenschutz und der IT-Sicherheit (z. B. per Mail, Intranet, Kollaborationsplattform, Aushang)
  • Relevante Richtlinien, z. B. zur E-Mail-/Internetnutzung, Umgang mit Schadcodemeldungen, Einsatz von Verschlüsselungstechniken, werden aktuell gehalten und sind leicht auffindbar (z. B. im Intranet)
  • Datenschutzhandbuch (welches z. B. auch Schulungsinhalte bereitstellt) ist zugänglich für alle betroffenen Mitarbeiter
  • Schulungsinhalte: Ausgewählte Mitarbeiter, die bei der Erkennung von Sicherheitsverletzungen beteiligt sind (wie z. B. IT, DSB, Geschäftsführung, Führungskräfte, Geschäftsstelle, ggf. Telefonzentrale oder Sekretariat) kennen die internen Prozesse zum Umgang mit Vorfällen (u. a. Meldung nach Art. 33 DS-GVO, Notfallplan)
  • Schulungsinhalte: Beschäftigten lernen kennen, wie Cyberangriffe mittels Social-Engineering eingeleitet werden (Hilfe zur Selbsthilfe)
  • Schulungsinhalte: Beschäftigten erfahren von den Gefahren der E-Mail-Kommunikation, insbesondere bei verschlüsselten E-Mail-Anhängen (z. B. Zip-Datei mit Passwort)
  • Schulungsinhalte: Beschäftigten erkennen gefälschte E-Mails (z. B. Absenderadressen, Auffälligkeiten, eingebettete Links)
  • Sensibilisierung des Personals, das mit Externen wie z. B. Lieferanten interagiert, in Bezug auf angemessene Einsatzre­geln, Richtlinien, Prozesse und Verhalten (u. a. welche Daten dürfen in welcher Form weitergegeben werden, was kann sicherheitskritisch sein)
  • Von Heimarbeit betroffenen Mitarbeiter werden die sichere Nutzung von Home Office Lösungen erläutert und spezifi­sche Gefahren aufgezeigt

Mögliche Geldbußen

Im Falle von meldepflichtigen Datenschutzverletzungen ist es von besonderer Bedeutung, dass das Unternehmen eine regelmäßige Datenschutzschulung/It-Sicherheitsschulung nachweisen kann. Nicht zuletzt wird bei der Höhe einer möglichen Geldbuße nach Art. 83 Abs. 2 lit. d DS-GVO strafmildernd oder straferhöhend berücksichtigt, welche technisch und organisatorischen Maßnahmen die Verantwortlichen oder Auftragsverarbeiter getroffen oder eben nicht getroffen haben.

Wie können wir Ihnen helfen

Wir bieten ein modulares Schulungskonzept, das sowohl allgemeine Basiskenntnisse im Datenschutz als auch fach- bzw. prozessspezifische Sachverhalte der Organisation berücksichtigt. Entsprechende Schulungsmaßnahmen können in Präsenzveranstaltungen oder virtuellen Schulungen durchgeführt werden. Ergänzt wird dies durch Newsletter oder Leitfäden für bestimmte Prozesse oder Problemfelder.

Weiter Möglichkeiten für die Cybersicherheitsschulung

Für die Schulung und Sensibilisierung bietet die Mitgliedschaft im Verein für Cyber-Sicherheit Niedersachsen e.V. eine weitere interessante Möglichkeit. Der 2021 gegründete Verein wird vom ehemaligen Göttinger Polizeipräsidenten Dipl. Verw.-Wirt Uwe Lührig geführt. Der Verein bietet seinen Mitgliedern regelmäßige Warnmeldungen und Info-Briefe zum Thema Cybersicherheit. Daneben wird die Schulung von Beschäftigten im Bereich präventiver Maßnahmen ebenso geboten wie die Organisation von Veranstaltungen.

Insgesamt können die Angebote des Vereins einen wichtigen Mosaikstein zum Nachweis der hinreichenden Schulung und Sensibilisierung von Beschäftigten und Verantwortlichen bieten. Nähere Informationen finden Sie unter:

Verein für Cyber-Sicherheit Niedersachsen e.V.

0551 / 79097161