Datenschutzpflichten für Arbeitnehmer im Unternehmen

Unternehmen sollten ihre Beschäftigten regelmäßig für den Umgang mit personenbezogenen Daten sensibilisieren. Auch für Arbeitnehmer gelten Datenschutzpflichten im Arbeitsalltag, etwa beim Umgang mit Kunden-, Beschäftigten-, Bewerber- oder Lieferantendaten. Zwar enthalten weder die DSGVO noch das aktuelle Bundesdatenschutzgesetz eine ausdrückliche Pflicht, Mitarbeitende wie früher auf das „Datengeheimnis“ zu verpflichten. In der Praxis bleiben Vertraulichkeitsverpflichtungen, Schulungen und interne Datenschutzregeln aber zentrale Maßnahmen einer rechtssicheren Organisation. Hinzu kommt, dass die unbefugte Datenverarbeitung eines Mitarbeiters dem Unternehmen zugerechnet wird und diesem dann schlimmstenfalls ein Bußgeld nach Art. 83 DSGVO droht.

Vorteile von Mitarbeiterschulungen

• Sie reduzieren typische Fehlerquellen und stärken den sicheren Umgang mit personenbezogenen Daten.
• Sie helfen dem Unternehmen, seine Rechenschaftspflicht und Datenschutzorganisation besser nachzuweisen.
• Sie verbessern die Vorfallserkennung und die Einhaltung interner Meldewege.
• Sie schaffen mehr Rechtssicherheit beim Einsatz digitaler Tools, insbesondere auch bei KI-Anwendungen.

Rechtliche Grundlagen

Maßgeblich bei der Verpflichtung für Arbeitnehmer mit Beachtung des Datenschutzes sind insbesondere Art. 5 Abs. 2 DSGVO zur Rechenschaftspflicht, Art. 24 DSGVO zur Verantwortung des Unternehmens für geeignete Datenschutzmaßnahmen, Art. 32 DSGVO zu technischen und organisatorischen Maßnahmen, Art. 39 Abs. 1 lit. a und b DSGVO zu den Aufgaben des Datenschutzbeauftragten sowie § 26 BDSG für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis.

Der Arbeitgeber ist als Verantwortlicher verpflichtet, Datenschutz formal zu regeln und praktisch im Unternehmen umzusetzen. Dazu gehören festgelegte Zuständigkeiten, interne Weisungen, dokumentierte Prozesse, regelmäßige Sensibilisierung und – je nach Tätigkeit – wiederkehrende Schulungen der Beschäftigten.

Bußgelder und Haftungsrisiken

Datenschutzverstöße haben für Unternehmen erhebliche finanzielle Folgen, denn nach Art. 83 DSGVO können gegen Verantwortliche und Auftragsverarbeiter Bußgelder verhängt werden. Je nach Schwere des Verstoßes reichen diese bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes beziehungsweise bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Ein Bußgeld wird zwar noch nicht angesetzt, wenn allein nur die Schulung nicht durchgeführt wird. Fehlen aber die regelmäßige Sensibilisierung, durchdachte Anweisungen oder dokumentierte Schutzmaßnahmen, kann dies ein deutliches Zeichen dafür sein, dass das Unternehmen seine Organisationspflichten nicht ausreichend erfüllt hat. Gerade dann verschlechtert sich die Lage, wenn ein Datenschutzverstoß auf mangelnde Unterweisung oder unklare interne Prozesse zurückzuführen ist.

Rolle des Datenschutzbeauftragten

Ist ein Datenschutzbeauftragter bestellt, gehört es nach Art. 39 Abs. 1 lit. a und b DSGVO zu seinen Aufgaben, über Datenschutzpflichten zu unterrichten und die Sensibilisierung sowie Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeitenden zu überwachen. Die Verantwortung für die tatsächliche Umsetzung bleibt jedoch beim Unternehmen selbst.

Der Datenschutzbeauftragte ersetzt daher keine unternehmensweite Datenschutzorganisation. Vielmehr unterstützt er die Geschäftsleitung dabei, Schulungskonzepte, Kontrollmechanismen und praxisgerechte Verhaltensregeln aufzubauen und fortlaufend zu überprüfen.

KI-Schulung im Unternehmen

Beim Einsatz von KI-Systemen entstehen zusätzliche Risiken für den Datenschutz. Das lässt sich etwa darauf zurückführen, dass Beschäftigte häufig Texte, Dokumente oder Anfragen in KI-Tools einfügen, ohne ausreichend zu prüfen, ob darin personenbezogene, vertrauliche oder geschäftskritische Informationen enthalten sind. Deshalb sollte jede Datenschutzschulung heute ausdrücklich auch den Umgang mit KI erfassen.

Hinzu kommt, dass Art. 4 der KI-Verordnung (EU AI Act) verlangt, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei ihren Beschäftigten und sonstigen für sie handelnden Personen sicherzustellen. Unternehmen, die KI im Arbeitsalltag einsetzen, sollten daher nicht nur Datenschutzregeln, sondern auch eine dokumentierte KI-Schulung vorsehen.

Zu den Mindestinhalten einer solchen KI-Schulung gehören insbesondere:

• Keine Eingabe personenbezogener oder vertraulicher Daten in nicht freigegebene KI-Tools.
• Prüfung, ob für den KI-Einsatz eine Rechtsgrundlage und interne Freigabe vorliegen.
• Verbindliche Regeln zur Prüfung und Freigabe von KI-generierten Ergebnissen.

Besondere Vorsicht bei HR-Prozessen, Bewerbungen, Leistungsbewertungen oder Profiling.

SBS LEGAL – Kanzlei für Datenschutzrecht

Unternehmen stehen vor der Herausforderung, Datenschutzpflichten, Mitarbeiterschulungen und den rechtssicheren Einsatz von KI-Systemen miteinander zu verbinden. SBS LEGAL berät im Datenschutzrecht umfassend zu DSGVO-Compliance, Datenschutzorganisation und KI-Compliance.

Datenschutz- und KI-Compliance rechtssicher im Unternehmen umsetzen

Eine wirksame Datenschutzorganisation umfasst nicht nur technische und organisatorische Maßnahmen, sondern auch die regelmäßige Sensibilisierung und Schulung von Beschäftigten. Gerade beim Einsatz von KI-Anwendungen gewinnen Datenschutz, Dokumentationspflichten und interne Compliance-Strukturen zunehmend an Bedeutung. SBS LEGAL unterstützt Unternehmen bei der Erstellung von Datenschutzrichtlinien, Mitarbeiterschulungen, KI-Governance-Konzepten sowie bei der rechtssicheren Umsetzung der Anforderungen aus DSGVO, BDSG und KI-Verordnung.

Der Erstkontakt zu SBS LEGAL ist kostenlos.