Nach Art. 39 DSGVO obliegt dem Datenschutzbeauftragten die Aufgabe der Unterrichtung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten (Art. 39 Abs. 1 lit. a DSGVO). Hierzu zählt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter (Art. 39 Abs. 1 lit. b DSGVO). Diese – im Einzelnen inhaltlich umstrittene Aufgabenzuweisung – wird oft in dem Sinne missverstanden, dass dort, wo gesetzlich keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht und damit die Aufgabe der Mitarbeiterschulung nicht vom Datenschutzbeauftragten übernommen werden kann, generell keine Verpflichtung zur Sensibilisierung und Schulung der Mitarbeiter bestehe.
Dies jedoch ist ein Trugschluss und kann – insbesondere bei datenschutzrechtlich nicht beratenen Kanzleien – schnell in einem (kostspieligen) Datenschutzverstoß münden. Denn die DSGVO geht davon aus, dass die Unternehmensleitung des Verantwortlichen grundsätzlich selbst für die Einhaltung der DSGVO zu sorgen hat und zwar unbeschadet der Bestellung eines betrieblichen Datenschutzbeauftragten. Art. 24 Abs. 2 DSGVO normiert die Verpflichtung zur Anwendung geeigneter Datenschutzvorkehrungen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Hierzu gehört die Sicherstellung des erforderlichen Niveaus des Fachwissens, welches sich nach den durchgeführten Datenverarbeitungsvorgängen und dem hieraus erforderlich werdenden Schutz für die von dem Verantwortlichen verarbeiteten personenbezogenen Daten richtet (Erwägungsgrund 97). Wenn also Art. 39 DSGVO die Aufgabe der Sensibilisierung der Mitarbeiter auf den Datenschutzbeauftragten überträgt, so verdeutlicht dies nur eins, nämlich, dass die Sensibilisierung von Mitarbeitern in Datenschutzfragen zu einer wesentlichen Verpflichtung des Verantwortlichen gehört. Der Datenschutzbeauftragte nimmt insofern „bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO“ mit seinem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren lediglich eine unterstützende Funktion ein (Erwägungsgrund 97). Dort, wo Art. 39 DSGVO bestimmte Aufgaben an den betrieblichen Datenschutzbeauftragten „delegiert“, wird daher das „Unterstützungsumfeld“ bestimmt und gleichsam eine hierauf bezogene Verpflichtung des Verantwortlichen selbst normiert. Auch Art. 32, der Maßnahmen zur Sicherheit der Verarbeitung regelt, hebt in seinem Absatz 4 die Verpflichtung des Verantwortlichen dahingehend, die erforderlichen Schritte zu unternehmen, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, deutlich hervor. Hierzu zählen insbesondere wiederholte Schulungen und Kontrollen der mit der Verarbeitung befassten Mitarbeiter (so Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 32 Rn. 66; Kramer/Meints, in: Auernhammer, DS-GVO, Art. 32 Rn. 54).
Dies ist h.M. im datenschutzrechtlichen Schrifttum und auch im Verständnis der für die Durchsetzung der DSGVO zuständigen Aufsichtsbehörden fest verankert. So nimmt die Unterrichtung und Sensibilisierung der eigenen Beschäftigten beispielsweise in einer vom Bayerischen Landesamt für Datenschutz veröffentlichten Informationsbroschüre Platz 1 der Top 10 der wichtigsten Umsetzungsverpflichtungen für Unternehmen nach der DSGVO ein. Die im Bundesanzeiger Verlag veröffentlichte Fachmedien-Datenbank für Compliance und Datenschutz veranschaulicht dies im Abschnitt 12 mit der Darstellung von Prüffragen der Aufsichtsbehörden ebenso. Hier werden die in anlasslosen Kontrollen der Datenschutzaufsichtsbehörden immer vorzufindenden Fragen „Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (z.B. Schulung der Mitarbeiter)?“ und „Wurde die Datenverarbeitung gemäß der Planung implementiert (einschließlich Mitarbeiterschulung und Zuweisung von Verantwortlichkeiten)?“ wiedergegeben. Im Kurzpapier Nr. 19 der Deutschen Datenschutzkonferenz wird eine Verpflichtung zur laufenden Sensibilisierung der Beschäftigten in regelmäßigen Zeitintervallen im Rahmen von Schulungen ebenso hervorgehoben. Hier heiß es:
„Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten sind – möglichst anhand typischer Fälle – darüber zu informieren, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen.“
Die Sensibilisierung der Beschäftigten muss damit in jeder Kanzlei zum Standard werden. Dort, wo kein Datenschutzbeauftragter bestellt ist, ist es an der Kanzleileitung, dies sicherzustellen und mit Blick auf Art. 5 Abs. 2 DSGVO nachweisbar zu dokumentieren. Bei Verstößen gegen diese Verpflichtung können Geldbußen von bis zu 10 000 000 EUR gegen die Kanzlei verhangen werden (Art. 83 Abs. 4 DSGVO).
Datenschutz Schulungen für Kanzlei-Mitarbeiterinnen und -Mitarbeiter kurz und bündig als Webinar
