Datenschutz-Unterweisung: Selbst-Check statt Frontalschulung

Warum ist das Fehlverhalten der Mitarbeitenden so ein großes Datenrisiko?

Die meisten Datenpannen passieren durch Fehler oder Unachtsamkeit der eigenen Mitarbeiter im Umgang mit personenbezogenen Daten, nicht durch Attacken von außen. Typische Beispiele:

• Mitarbeiterinnen und Mitarbeiter ändern ungefragt die Sicherheits-Einstellungen am PC, Tablet oder Smartphone.
• Sie nutzen unerlaubte Endgeräte oder Software-Anwendungen.
• Sie versenden E-Mails an den falschen Empfänger.
• Sie vergeben schwache Passwörter oder notieren ihre Passwörter.
• Sie verlieren USB-Sticks oder Smartphones.
• Sie sind zu vertrauensselig fremden Besuchern gegenüber.

Was muss sich an Datenschutz-Schulungen deshalb ändern?

Sicherlich haben Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter die meisten dieser Datenrisiken bereits in einer Datenschutzschulung angesprochen. Trotzdem wollen einige Mitarbeiter ihr Verhalten nicht ändern. Warum eigentlich? Sind die nur stur? Nein, wahrscheinlich sind diese Kolleginnen und Kollegen noch nicht betroffen genug. Sie denken vielleicht: „Na gut, dieses oder jenes ist riskant. Da ist tatsächlich auch schon etwas in der Richtung passiert. Aber was geht das mich an? Bei mir passiert das nicht.“

Was ist bei Selbst-Checks und Selbstversuchen anders?

Die Mitarbeitenden müssen sich selbst betroffen fühlen. Bieten Sie daher Selbstbewertung und Selbst-Checks an. Der Bezug zur eigenen Person kann hilfreich sein, um für den Datenschutz zu sensibilisieren.

In einem ersten Schritt empfiehlt sich beispielswiese ein „Gesundheitscheck für den eigenen PC“. Dieser Selbstversuch ist ungefährlich, zeigt aber, welche Schwachstellen der eigene PC am Arbeitsplatz hat – etwa weil  bestimmte Einstellungen falsch gesetzt wurden oder spezielle Programme und Updates fehlen.

Eine Reihe von Sicherheitschecks, die die Mitarbeiter durchführen können, finden Sie zum Beispiel bei Botfrei.

Wie helfen Fragen zum eigenen Verhalten?

Belassen Sie es jedoch nicht bei Selbst-Checks zur PC-Sicherheit, auch wenn dieser Versuch dem Mitarbeiter oder der Mitarbeiterin vor Augen führt, dass es auf dem eigenen PC tatsächlich Schwachstellen gibt. Nutzen Sie stattdessen zusätzlich Fragen zum persönlichen Verhalten, ähnlich den bekannten Psycho-Tests in den einschlägigen Zeitschriften.

Die Checkliste „Selbst-Check Datenschutz“ gibt Ihnen als Datenschutzbeauftragte(r) einen ersten Fragenkatalog und eine Bewertung an die Hand. Idee dieser Checkliste ist es dabei nicht, dass der Mitarbeiter oder die Mitarbeiterin sie mit Namen versieht und bei Ihnen als DSB abgibt. Es geht um eine reine Selbsteinschätzung.

Die Auswertung regt zu weiteren Schritten an. Entsteht eine eigene Aktivität aus der Erkenntnis, welche Datenrisiken für die eigene Person bestehen, sind Sie einen wichtigen Schritt auf dem Weg zur Verhaltensänderung weitergekommen.

Dabei ist es wichtig, dass sich niemand als „Schwachstelle Mensch“ sieht, sondern als Teil der Verteidigung. So erklärt auch das BSI (Bundesamt für Sicherheit in der Informationstechnik): „Die weitverbreitete Rhetorik vom ‚Faktor Mensch’ kann tendenziell destruktiv wirken. Der Mensch ist nicht Teil des Problems, sondern als ‚Sicherheits-Faktor-Mensch’ Teil der Lösung.“

Dafür aber muss man wissen, wo man steht und wie man sich verbessern kann, ohne jeden Vorwurf durch Dritte, sondern durch eigene Erkenntnis. Genau dabei helfen die Selbst-Checks.

Oliver Schonschek