DSGVO-konforme Mitarbeiterschulungen nach Schrems-II

Letzten Sommer wurde das Privacy-Shield-Abkommen vom EuGH für ungültig erklärt. Einige europäische Unternehmen nutzen trotzdem US-amerikanische Dienste, was besonders bei der Verarbeitung sensibler Mitarbeiterdaten problematisch sein kann.

Dabei gibt es sichere Lösungen, wie unser Beispiel zeigt. 

Anzeige

Vor über einem halben Jahr – am 16. Juli 2020 – erklärte der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig, da es nicht mit den Richtlinien der Datenschutzgrundverordnung (DSGVO) zu vereinen ist. Seither herrscht in einigen Unternehmen Unklarheit darüber, welche praktischen Implikationen das Urteil für den eigenen Betrieb hat. Das Abkommen diente zahlreichen Unternehmen als rechtliche Grundlage für die DSGVO-konforme Übermittlung personenbezogener Daten in die USA. 

Vielerorts haben sich die betrieblichen Praktiken bisher nicht verändert: US-amerikanische Dienste sind weiterhin in die Prozesse europäischer Unternehmen involviert. Besonders brisant ist die Nutzung dieser Dienste, wenn Mitarbeiterdaten verarbeitet werden. Bei Mitarbeiterschulungen und Awareness-Trainings entstehen beispielsweise sensible Daten, die Auskunft über das Verhalten und den Lernstand einzelner Personen geben. 

Unternehmen, die weiterhin US-amerikanische Dienste nutzen, bewegen sich somit seit Monaten in einer gefährlichen Grauzone. Kommt es zu einer Beschwerde, kann laut Artikel 83 der DSGVO ein Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes verhängt werden. Wie viel Geld im Einzelfall fällig wird, richtet sich nach der Schwere des Verstoßes und wird von der zuständigen Datenschutzbehörde individuell festgelegt.

Mitarbeitende haben ein Recht auf Datenschutz – besonders bei Schulungen

Die Verarbeitung und Speicherung personenbezogener Daten stellt für Unternehmen in vielerlei Hinsicht ein sensibles Thema dar. Neben hohen Bußgeldern drohen bei einem Verstoß gegen die DSGVO auch immaterielle Schäden wie Imageschäden und der Verlust des Vertrauens bei den Stakeholdern. Unternehmen sollten hierbei insbesondere an ihre Mitarbeiterinnen und Mitarbeiter denken, da ihnen im Arbeitsvertrag der Schutz ihrer personenbezogenen Daten zugesichert wurde. 

Die rechtlichen Fallstricke entstehen zudem nicht nur durch den physischen Standort des Servers, auf dem die personenbezogenen Daten gespeichert werden. Durch den PATRIOT Act können Unternehmen mit Sitz in den USA grundsätzlich durch die US-Behörden zur Herausgabe von personenbezogenen Daten gezwungen werden. Selbst wenn die Server in der EU stehen, kann auf Basis des CLOUD Acts die Herausgabe von europäischen Daten verlangt werden. „Deutsche Arbeitgeber können daher nicht sicherstellen, dass die personenbezogenen Daten ihrer Mitarbeitenden gemäß der DSGVO geschützt sind, wenn sie US-amerikanische Anbieter für Schulungen und Awareness-Trainings nutzen“, erklärt der Kölner Rechtsanwalt Benedikt Woltering, der beim deutschen Schulungsanbieter SoSafe als juristischer Berater tätig ist. 

Deutsche Aufsichtsbehörden sind alarmiert – Nicht nur Serverstandort zählt

Trotz der drohenden Risiken haben einige europäische Unternehmen ihre Praktiken bis heute nicht angepasst. Dies könnte sich bald ändern: Aufgrund von Beschwerden haben deutsche Aufsichtsbehörden bereits Verfahren eingeleitet, um gezielt gegen DSGVO-Verstöße vorzugehen. Die Beschwerden kommen hierbei auch von NGOs wie noyb, dem europäischen Zentrum für digitale Rechte. Nach eigenen Angaben reichte noyb schon kurz nach dem Urteil über 100 Beschwerden gegen europäische Unternehmen ein. Zudem erhöht sich das Risiko, dass auch Beschwerden von Mitarbeiterinnen und Mitarbeitern eingereicht werden, da laut Artikel 33 der DSGVO bei Verstößen eine Meldepflicht besteht. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was können Unternehmen tun, um Mitarbeitende DSGVO-konform zu schulen?

Um Vertrauensverluste und Bußgelder zu verhindern, sollten Unternehmen demnach schnellstmöglich prüfen, ob im eigenen Betrieb durch die Verarbeitung personenbezogener Daten gegen die DSGVO verstoßen wird. Die zentralen Fragen sind hierbei:

  1. Werden personenbezogene Daten auf Servern außerhalb der EU verarbeitet?

  2. Werden die personenbezogenen Daten an US-amerikanische Unternehmen übermittelt, beispielsweise während der Nutzung von E-Learnings oder Awareness-Trainings wie Phishing-Simulationen?

Wenn eine der beiden Fragen bejaht werden muss, besteht Handlungsbedarf. Auch die Nutzung von Standardvertragsklauseln – die von manchen Unternehmen als Interimslösung eingesetzt werden – stellt keine hinreichende Rechtsgrundlage für den Datentransfer zwischen den Kontinenten dar. Rechtssicherheit kann derzeit nur ein Ausweg garantieren: Der Wechsel auf europäische Dienstleiter, deren Server ebenfalls in der EU betrieben werden.

Das Kölner Software-Unternehmen eyeo geht in diesem Kontext auf Nummer sicher und achtet gerade in sensiblen Bereichen wie für Security-Schulungen auf DSGVO-Konformität. Peter Meyer, IT-Security Specialist bei eyeo, betont: „Wir haben uns für einen EU-Anbieter entschieden, um unseren Mitarbeitenden die Garantie geben zu können, dass ihre personenbezogenen Daten gemäß der DSGVO geschützt sind. Alle Orte, an denen die Schulungsdaten verarbeitet werden, befinden sich in der EU. Schließlich möchte kein Mitarbeitender, dass die sensiblen Daten, die bei E-Learnings und Phishing-Simulationen entstehen, von US-Behörden eingesehen werden können“.

DSGVO-Konformität als Qualitätsmerkmal bei der Anbietersuche

Bei der Suche neuer Anbieter sollten Unternehmen demnach DSGVO-Konformität achten. Europäische Anbieter können eine Rechtssicherheit garantieren, die US-Dienste nicht leisten können. Auch wenn die Umstellung aus Sicht vieler Unternehmen zunächst mit Aufwand verbunden ist, bietet der Wechsel auch Chancen. US-amerikanische Dienste haben in den letzten Jahren vor allem von ihrer Bekanntheit profitiert – und nicht unbedingt deshalb, weil sie die besten Produkte auf dem Markt anbieten. Allein in Deutschland hat sich in den letzten Jahren mit Blick auf digitale Schulungsangebote und Awareness-Trainings viel getan. Durch den Wechsel auf einen deutschen Anbieter können Unternehmen demnach nicht nur die DSGVO-Vorgaben erfüllen, sondern auch von hochwertigen Lösungen made in Germany profitieren.

Niklas Hellemann

SoSafe GmbH -

Geschäftsführer

Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.