Art. 39 Abs. 1 b) DSGVO

Gesetzlich nicht explizit geregelt ist die Frage, ob eine einmalige Schulung aller mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiterinnen und Mitarbeiter genügt, oder ob Nachschulungen erforderlich werden.

Da der Gesetzgeber bewusst mit einer sehr offenen Formulierung (“Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter”) gearbeitet hat, ist es in das Ermessen des Datenschutzbeauftragten gestellt, ob er es bei der Erstschulung belassen kann, oder ob und ggf. wann Nachschulungen erforderlich werden.

Regelmäßig ist dies dann der Fall, wenn neue Mitarbeiterinnen und Mitarbeiter in das Unternehmen oder intern in die relevanten Bereiche kommen. Ferner dann, wenn neue Techniken eingeführt, neue Software eingesetzt oder bestehende Zweckbestimmungen ergänzt oder erweitert werden sollen. Darüber hinaus können Nachschulungen notwendig werden, wenn

• die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter erkennbar nachlässt oder die Erstschulung nicht den gewünschten Erfolg hatte,
• seit der Erstschulung lange Zeit vergangen ist,
• in bestimmten Bereichen sehr sensitive Daten verarbeitet werden und deshalb dort eine gesteigerte Sensibilisierung erforderlich ist,
• Beschwerden von außen oder intern erkennen lassen, dass nach wie vor der Umgang mit personenbezogenen Daten nicht gesetzeskonform erfolgt,
• neue Standorte besondere Anforderungen mit sich bringen.

Anders als bei den Erstschulungen kann sich der Datenschutzbeauftragte bei Nachschulungen auch anderer Methoden (z.B. Online-Schulungen, Aushängen, Arbeitspapieren etc.) bedienen.

Auch Inhalte von Nachschulungen oder die Teilnahme an ihnen sollte durch den Datenschutzbeauftragten dokumentiert werden.