betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung ds-gvo

Schulungen zum Datenschutz: Security Awareness Kampagnen

Das BDSG verpflichtet die verantwortlichen Stellen, ihre Beschäftigten hinsichtlich der Erfordernisse des Datenschutzes zu schulen. Die Verantwortung hierfür liegt beim betrieblichen Datenschutzbeauftragten (DSB).

Festgelegt ist dies in § 4g Abs. 1 Satz 4 Nr. 2 BDSG. Demnach hat der DSB „die bei der Verarbeitung personenbezogener Daten beschäftigten Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.“

Inhalte der Schulung

Was der Gesetzgeber unter „geeigneten Maßnahmen“ versteht wird nicht näher erläutert. In Frage kommen Präsenzschulungen, schriftliche Unterlagen mit Informationen und Anweisungen oder Online-Schulungen.

Zu den notwendigen Inhalten der Schulungen lässt sich der Gesetzgeber ebenfalls nicht aus. Diese haben sich natürlich am jeweiligen Umfang und am Schutzbedarf der durch den einzelnen Mitarbeiter verarbeiteten personenbezogenen Daten zu orientieren. So wird ein Auslieferungsfahrer, der außer den Kontaktdaten des Empfängers kaum mit personenbezogenen Daten in Berührung kommt weniger Schulungsbedarf haben als ein Mitarbeiter der Personalabteilung oder ein Beschäftigter in einem Krankenhaus, der Gesundheitsdaten verarbeitet.

Wiederholung!

In regelmäßigen Abständen sollten diese Schulungen wiederholt werden, insbesondere dann wenn es durch neue Gesetze oder technischen Fortschritt Änderungen gibt. Auch eine Kontrolle des Lernerfolgs ist zu empfehlen. Bei Online-Schulungen sind häufig automatisierte Tests implementiert.

Security Awareness Kampagne

Eine sehr gute Möglichkeit, den Lernerfolg zu überprüfen und die Mitarbeiter für Angriffe von außen zu sensibilisieren ist die Durchführung einer Security Awareness Kampagne. Bei einer solchen Kampagne werden möglichst realistisch Angriffe simuliert und der Mitarbeiter anschließend auf seine eventuell gemachten Fehler und die damit verbundenen Risiken hingewiesen. Typische Beispiele für Inhalte solcher Kampagnen sind z. B.:

  • E-Mails, mit denen versucht wird, den Benutzer auf eine mit Malware infizierte Seite zu locken
  • Versuche, den Benutzer zur Eingabe vertraulicher Informationen (Kennwörter) zu bewegen
  • Attachment Kampagnen, die den Besucher dazu verleiten sollen, Malware auszuführen.

Verschiedene Anbieter haben hierzu vorgefertigte Lösungen geschaffen, mit denen ein gewünschtes Bedrohungsszenario komfortabel konfiguriert und verwaltet werden kann. Eine kostenlose Möglichkeit bietet die Anwendung „Lucy“ die hier angeboten wird.

Sprechen Sie mich an, gerne unterstütze ich Sie bei der Planung und Durchführung Ihrer Schulungen zum Datenschutz oder einer Security Awareness Kampagne.