Schulungspflicht Mitarbeiter

Auch: Datenschutzschulung · Mitarbeitersensibilisierung

Maklerbüros müssen ihre Mitarbeiter regelmäßig zum Datenschutz schulen und förmlich auf die Vertraulichkeit personenbezogener Daten verpflichten. Diese Sensibilisierung ist Teil der geforderten technischen und organisatorischen Maßnahmen und wird bei Kontrollen der Aufsichtsbehörde häufig abgefragt.

Ausführliche Erklärung

Auch wenn die DSGVO keine explizite Norm mit dem Titel „Schulungspflicht“ enthält, ergibt sie sich aus dem Zusammenspiel mehrerer Vorschriften:

  • Art. 24 und Art. 32 DSGVO verlangen geeignete technische und organisatorische Maßnahmen, zu denen nach allgemeiner Auffassung der Aufsichtsbehörden auch die Sensibilisierung und Schulung der Mitarbeiter zählt.
  • Eine ausdrückliche gesetzliche Pflicht zur förmlichen „Verpflichtung auf das Datengeheimnis" besteht für private Unternehmen seit der DSGVO-Reform 2018 nicht mehr: Die frühere Regelung des § 5 BDSG a. F. wurde durch § 53 BDSG ersetzt – dieser gilt aber nur für öffentliche Stellen im Anwendungsbereich der JI-Richtlinie (Polizei- und Justizbehörden), nicht für Maklerbüros. In der Praxis verpflichten Maklerbüros ihre Mitarbeiter dennoch weiterhin auf Vertraulichkeit, gestützt auf die allgemeine Vertraulichkeitspflicht aus Art. 5, 32 DSGVO sowie – bei Tätigkeit als Auftragsverarbeiter – auf Art. 28 Abs. 3 lit. b DSGVO. Ohne Verständnis der Grundregeln (Zweckbindung, Vertraulichkeit, Weisungsgebundenheit) bleibt eine solche Verpflichtung praktisch wirkungslos.

Für ein Maklerbüro bedeutet das konkret:

1. Einstellungsschulung: Jeder neue Mitarbeiter (auch Auszubildende, Praktikanten, Werkstudenten) wird vor Aufnahme der Tätigkeit auf Vertraulichkeit und Datenschutz verpflichtet und in die grundlegenden Regeln eingewiesen (Umgang mit Interessentendaten, Ausweiskopien, Bonitätsunterlagen, E-Mail-Verkehr).

2. Regelmäßige Auffrischung: Empfohlen wird eine jährliche Wiederholungsschulung, insbesondere bei Gesetzesänderungen (z. B. neue Vorgaben zu Cookies durch das TTDSG) oder nach internen Vorfällen.

3. Themenspezifische Schwerpunkte: Phishing- und Social-Engineering-Erkennung, korrekter Umgang mit Auskunftsersuchen Betroffener, Meldewege bei vermuteten Datenpannen, Regeln für Home-Office und mobile Endgeräte.

4. Dokumentation: Schulungsnachweise (Teilnehmerlisten, Datum, Inhalte) sind aufzubewahren – sie sind ein zentraler Baustein der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und werden bei Bußgeldverfahren regelmäßig als mildernder bzw. bei Fehlen als erschwerender Faktor gewertet (Art. 83 Abs. 2 DSGVO).

In der Praxis reicht bei kleinen Maklerbüros oft eine kompakte jährliche Schulung (extern oder als E-Learning) verbunden mit einer schriftlichen Verpflichtungserklärung, die jeder Mitarbeiter unterschreibt.

Beispiel aus der Praxis

Ein Maklerbüro mit fünf Mitarbeitern führt einmal jährlich eine 90-minütige Datenschutzschulung durch, dokumentiert die Teilnahme mit Unterschriftenliste und lässt neue Mitarbeiter am ersten Arbeitstag eine Verpflichtungserklärung zum Datengeheimnis unterschreiben. Bei einer Kontrolle der Aufsichtsbehörde kann das Büro diese Nachweise vorlegen.

Rechtsgrundlage

  • Art. 24, Art. 32 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen, worunter Mitarbeiterschulungen fallen.
  • Art. 28 Abs. 3 lit. b DSGVO – Vertraulichkeitspflicht für zur Verarbeitung befugte Personen bei Auftragsverarbeitern; eine gesetzliche Pflicht zur förmlichen Verpflichtung auf das Datengeheimnis nach § 5 BDSG a. F. besteht für private Unternehmen seit 2018 nicht mehr (Nachfolgeregelung § 53 BDSG gilt nur für öffentliche Stellen).

Verwandte Begriffe