Nun ja, bislang zwar noch kein offizieller Feiertag und vom Großteil der Bevölkerung vermutlich eher weniger als ein Anlass zum Feiern erachtet - dennoch wurde der 28. Januar nicht grundlos zum Europäischen Datenschutztag erkoren. Angesichts der Geschwindigkeit der zunehmenden Technologisierung und Digitalisierung wird das Thema Datenschutz noch in diesem Jahrhundert zu einem der wichtigsten Themen unserer Gesellschaft werden. Dass sich diese Entwicklung schon vor 41 Jahren abzeichnete, scheint heute überraschend, doch muss es zumindest für den Europarat schon damals hinreichend Anlass gegebenen haben, das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten anzunehmen. Das allererste internationale und rechtsverbindliche Abkommen zum Thema Datenschutz war geboren.

Seit seiner Einführung im Jahr 2007 verfolgt der Aktionstag das Ziel, Bürger:innen zum Thema Datenschutz zu sensibilisieren. Und Aktionen sind genau das, was es braucht - von allein stellt sich schließlich keine Sensibilisierung ein. Die dacuro möchte den Europäischen Datenschutztag daher zum Anlass nehmen und anregen, mit Hilfe gezielter Aktionen selbst zur Sensibilisierung Ihrer Beschäftigten, Mitglieder und/oder Partner beizutragen. Zu diesem Zwecke möchten wir Ihnen ein paar Aktionen vorstellen, mit deren Hilfe das Thema Datenschutz schnell wieder ins Bewusstsein gerufen wird.

1. Mehr Wissen - mehr Verständnis - mehr Mitmachbereitschaft

Sensibilisierung hat viel mit Verständnis zu tun. Daher bietet es sich an, beim Thema Datenschutz zunächst einmal für ein gewisses Grundverständnis zu sorgen. Das kann am besten mit Hilfe einer interessant gestalteten und abwechslungsreichen Schulung erreicht werden. Doch was macht eine gute Datenschutzschulung aus? Typische Begrifflichkeiten des Datenschutzrechts sollten erklärt und anhand praxisnaher Beispiele erläutert werden. Auch die Grundprinzipien der Datenschutzgrundverordnung (DSGVO) und des Datenschutzrechts sollten erörtert werden. Das mag auf den ersten Blick sehr abstrakt und praxisfern erscheinen, erweist sich bei näherem Hinsehen aber als durchaus sinnvoll: schlussendlich wird man von keinem/keiner Mitarbeiter:in erwarten können, Kenntnis über den genauen Inhalt der einzelnen DSGVO-Artikel zu haben. Das ist in der Regel auch nicht erforderlich, da die meisten Artikel der DSGVO schriftliche Fixierungen der oben genannten Grundprinzipien enthalten. Während die Pflichtinformationen aus Art. 13 und 14 DSGVO den Transparenzgrundsatz manifestieren, setzt das Recht auf Datenlöschung in Art. 17 DSGVO die Grundsätze der Datenminimierung und Speicherbegrenzung um. Die in Art. 32 DSGVO geforderten „geeigneten technischen und organisatorischen Maßnahmen“ sollen die Integrität und Vertraulichkeit gewährleisten und das in Art. 16 DSGVO festgehaltene Recht auf Berichtigung unrichtiger Daten setzt dient dem Grundsatz der Richtigkeit.

Ein weiterer, nicht zu vernachlässigender Schulungsinhalt ist zudem die Wissensvermittlung im Bereich der Datenschutzvorfälle und Datenpannen. Verantwortliche Stellen sollten darüber informieren, was sich hinter dem Begriff einer Datenpanne verbirgt (mehr als man denkt!), wie Angestellte damit umzugehen haben und welche Fristen zu beachten sind. Wird dieses Wissen nicht vermittelt, kann sich ein Verantwortlicher bei Eintritt einer Datenpanne leicht dem Vorwurf des Organisationsverschuldens ausgesetzt sehen.  

Auch das Thema Betroffenenrechte sollte im Rahmen von Schulungsveranstaltungen angesprochen werden. Als ein von Datenverarbeitungsprozessen betroffener Personenkreis sind Arbeitnehmer:innen nicht nur Träger dieser Rechte; Betroffenenanfragen (Auskunftsersuchen, Löschanfragen etc.) können auf allen möglichen Kanälen in einem Unternehmen eingehen. Wie bei Datenpannen sollten Angestellte hier nicht allein gelassen werden, sondern frühzeitig über den Umgang mit derartigen Anfragen und den entsprechenden Rechten informiert werden.

2. Großer Schock – großer Lerneffekt

Gerade in Unternehmen, die über eine größere IT-Abteilung verfügen, kann mit Hilfe gezielter Awareness-Aktionen ein großer Lerneffekt erzielt werden. In der digitalisierten Welt greifen Datenschutz und Informationssicherheit zunehmend ineinander. Phishing-Attacken und SPAM-Mails stellen eine immer größer werdende Bedrohung für die Sicherheit der IT-Infrastruktur und damit auch der Daten dar. Um Beschäftigten vor Augen zu führen, wie gut solche Angriffe teilweise gemacht sind, können IT-Abteilungen etwa Fake-Phishing Mails an die Belegschaft versenden, die beim Anklicken des Links bzw. beim Öffnen des Anhangs zum Absturz des jeweiligen Rechners führen. Die E-Mails können gut getarnt sein, als unternehmensinterne Gewinnspiele oder Mitarbeiterumfragen. Der Schock sitzt tief – aber auch der Lerneffekt. Im Anschluss sollten mit allen Beschäftigten die E-Mails analysiert, Auffälligkeiten aufgezeigt und Strategien zur Prävention entwickelt werden.

3. Datenschutz kann Spaß machen

Der Datenschutz hat nicht den besten Ruf - ein Grund mehr, ihn mit etwas Positivem und Unterhaltsamen zu verknüpfen.  Versuchen Sie sich doch mal an „Stadt, Land, Datenschutz“. Das allseits bekannte Spiel „Stadt, Land, Fluss“ wird um die Kategorie „Datenschutz“ ergänzt und neben Städte- und Ländernamen muss nun noch eine Begrifflichkeit des Datenschutzrechts gefunden werden. Sie werden überrascht sein, wie viele Begriffe aus der letzten Schulung noch hängen geblieben sind. Und wem partout nichts einfällt, der weiß am Ende – es wäre wohl mal wieder Zeit für eine Datenschutzschulung.