Schulungspflicht nach der DSGVO?
Regelmäßig kommt die Frage auf, ob Mitarbeiter im Bereich der Pflege nach der – nun nicht mehr ganz so neuen – Datenschutzgrundverordnung (DSGVO) regelmäßig zu Schulen sind.
Zunächst ist festzuhalten, dass die Datenschutzgrundverordnung keine Pflicht zur Schulung der Mitarbeiter vorsieht, die regelmäßig erfolgen müsste und deren Durchführung eine Aufsichtsbehörde gegenüber nachzuweisen wäre. So etwas kennen wir beispielsweise aus dem Bereich des Gesundheitsschutzes, der Belehrnungsnachweis nach §43 InfSchG (sogenannte Rote Karte). Hierzu hat man sich in der Datenschutzgrundverordnung nicht entschieden.
Allgemein gilt damit: Solange nichts passiert, also kein Verstoß gegen datenschutzrechtliche Regelungen vorliegt, wird niemand etwas sagen.
Eine Schulungspflicht gibt es folglich nur mittelbar.
Sicherheit der Verarbeitung durch Organisation der Einrichtung
So sieht Art. 32 DSGVO vor, dass geeignete technische und organisatorische Maßnahmen zu treffen sind, damit die datenschutzrechtlichen Regelungen eingehalten werden. Interessant ist in diesem Rahmen alleine die Frage der organisatorischen Maßnahmen, denn nur hierunter könnten Schulungen fallen. Das bedeutet, dass der Arbeitgeber seine Daten dadurch sichern kann, in dem die Mitarbeiter sensibilisiert sind (Schulungen), aber eben auch dadurch, indem ich den Zugriff auf die Daten verhindert. Dann aber braucht er keine Schulungen. Da nun Pflegekräfte mit sensiblen Daten umgehen müssen, ist die zweite Alternative kaum praktikabel.
Das bedeutet aber weiterhin nicht, dass die Mitarbeiter zwingend über eine Fortbildung zu schulen wären. Es kann auch im Einzelgespräch und unter Anleitung erfolgen. Allerdings haben hier Schulungen den Vorteil, dass am Ende irgendein Zertifikat oder Teilnahmenachweis vorhanden ist, über den der Arbeitgeber darlegen kann, dass er die erforderlichen organisatorischen Maßnahmen getroffen hat. Ob der Datenschutzbeauftragte dann ein jährliches Schulungsvideo als ausreichende organisatorische Maßnahme betrachtet, ist vom Einzelfall, insbesondere der Sensibilität der Daten abhängig.
Soweit also der Arbeitgeber keine Fortbildungen, keine individuellen Anleitungen, keine Betriebsvereinbarungen, keine Fallbesprechungen zum Datenschutz vorweisen kann, läuft er in Gefahr, alleine deswegen zu einem Bußgeld herangezogen zu werden (Art. 83 Abs. 4 lit a DSGVO).
Schadensfall
Wenn es zu einem Schadensfall kommt, also ein Mitarbeiter in der Pflege unerlaubt Daten weiterreicht (das gefährliche ist ja, dass dieses kaum einmal aus böser Absicht heraus geschieht), könnte der Verletzte – neben der Geltendmachung eigener Schadenersatzansprüchen nach Art. 82 DSGVO – sich an den Datenschutzbeauftragten wenden, der dann eine Prüfung des Sachverhaltes in der Einrichtung vornehmen würde. Hierbei würde er dann feststellen, dass die Mitarbeiter nicht geschult worden sind. Damit aber trägt der Arbeitgeber einen großen Teil der Schuld an dem Datenschutzverstoß. Anders ein Arbeitgeber, der seine Mitarbeiter regelmäßig in den Regeln des Datenschutzes geschult hat. Und genau dieser Umstand würde sich in der Höhe des Bußgeldes niederschlagen. Wer also seine Mitarbeiter nicht schult, riskiert höhere Bußgelder. Wer seine Mitarbeiter regelmäßig schult und zur Einhaltung des Datenschutzes anleitet, hat hingegen gute Chancen, selbst dann ohne ein Bußgeld davon zu kommen, wenn ein Mitarbeiter in böser Absicht und Kenntnis(!) der Datenschutzgrundverordnung und ihrer Ideen datenschutzrechtliche Regelung verletzt. Denn das Bußgeld ist kein Schadenersatz für eingetretene Rechtsverletzung. Es bemisst sich alleine danach, inwieweit der Arbeitgeber eine Verantwortung dafür zu tragen hat, dass es zu dem Datenschutzrechtsverstoß gekommen ist.
Foerster, Rechtsanwalt
16.11.2022