25. März 2009 - Datenschutzschulung

So machen Sie Datenrisiken begreifbar

Obwohl die Medien häufig über Verstöße gegen den Datenschutz berichten und Datenschutzbeauftragte regelmäßig die Mitarbeiterinnen und Mitarbeiter unterweisen, kommt es immer wieder zu vermeidbaren Datenpannen. Offensichtlich werden die Datenrisiken durch die Beschäftigten nicht richtig wahrgenommen. Dagegen können Sie etwas tun!

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Vielleicht kennen Sie das Gefühl, mit Ihren Datenschutzschulungen nicht richtig bei den Mitarbeiterinnen und Mitarbeitern anzukommen.

Wie gegen die Wand gesprochen …

Erst kürzlich haben Sie über ein bestimmtes Datenrisiko gesprochen – und nun ist es passiert.

Selbst die Medien informieren immer wieder prominent über Datenschutzprobleme in Unternehmen – auch das hat nichts geholfen, trotzdem ist es zu der Datenpanne gekommen.

Kommunikation unter die Lupe nehmen

Und dann hören Sie noch die Bemerkung „Ich hätte nie gedacht, dass das bei uns auch möglich ist.“

Bevor Sie aus der Haut fahren, sollten Sie sich einmal die Kommunikation der Datenrisiken in Ihrem Unternehmen genau ansehen.

Die Risiken sind oft zu abstrakt

Wenn Sie die Mitarbeiterinnen und Mitarbeiter über Sicherheitsrisiken und die möglichen Gefahren für personenbezogene Daten informieren, stolpern so manche Zuhörer bereits über das Wort „Risiko“.

Was versteckt sich dahinter? Das Produkt aus Schaden und Eintrittswahrscheinlichkeit?

Das ist für den Einzelnen kaum greifbar. Denn den Schaden durch Datenverlust und Datendiebstahl kann man nicht in allen Fällen beziffern, und die Wahrscheinlichkeit ist ebenfalls nicht leicht zu schätzen.

Gegen Abstraktion helfen Beispiele

Wenn Sie also zum Beispiel eine Datenschutzunterweisung zu den neuartigen Gefahren durch Hackerangriffe machen, sollten Sie konkrete Beispiele nutzen.

Zum einen echte Fälle, wie sie in den Medien immer wieder dargestellt werden. Aber auch Beispiele, die zeigen, was dies konkret im eigenen Unternehmen bedeuten würde.

Damit erreichen Sie die notwendige Verständlichkeit und Nachvollziehbarkeit in der Kommunikation der Datenrisiken.

Aber Sie brauchen noch mehr, denn Sie wollen ja nicht nur informieren, sondern eine Änderung im Verhalten bewirken.

Die Risikowahrnehmung muss stimmen

Wie ein Risiko vom Einzelnen genau wahrgenommen wird und ob sie oder er darauf reagiert, hängt von vielen Faktoren ab, darunter

  • das Vorwissen der Unterwiesenen,
  • die individuelle Einschätzung des Bedrohungspotenzials,
  • das Verhalten der anderen Beschäftigten und
  • die Art der Darstellung des Datenrisikos.

Je nach Risikowahrnehmung kann der Einzelne dann zu einer unterschiedlichen Einschätzung gelangen, eben auch zu einer Fehleinschätzung der Gefahrenlage.

Die persönliche Ebene erreichen

Psychologen lehren uns, dass eine Verhaltensänderung nicht durch die allgemeine, sondern die individuelle Risikowahrnehmung bestimmt wird.

Für Ihre Datenschutzschulungen bedeutet das: Sie müssen den Beteiligten deutlich machen, dass die Risiken nicht immer nur die anderen betreffen können, sondern sehr schnell auch jeden Einzelnen selbst.

Jede Mitarbeiterin und jeder Mitarbeiter muss also begreifen, dass nicht die personenbezogenen Daten an sich bedroht sein können, sondern dass auch ihre eigenen persönlichen Daten in Gefahr sind.

Wie erreichen Sie nun diesen Selbstbezug, der zu Änderungen im Verhalten führen kann?

Selbstbezug entsteht durch Beteiligung

Dies wird möglich, wenn Sie die eher eindimensionale Kommunikation in der Datenschutzschulung auf neue Gleise bringen.

Ermuntern Sie die Teilnehmer zu einem Dialog, zu einer persönlichen Beteiligung.

Das Risikobewusstsein der einzelnen Beschäftigten steigt, wenn Sie jeden Teilnehmer einbringen lassen, wo sie oder er Datenrisiken im eigenen Bereich und für die eigenen Daten sieht.

Eine offene Datenschutzkultur ist gefragt

Dazu müssen die Mitarbeiter aber Datenrisiken auch offen angesprechen können, ohne fürchten zu müssen, für ein erkanntes Problem auch verantwortlich gemacht zu werden.

Schutzmaßnahmen gemeinsam definieren

Wenn dies möglich ist, sollten Sie auch Vorschläge für den Schutz und die Sicherheit der Daten von den Teilnehmern an der Unterweisung erfragen.

Kommt nichts oder nichts wirklich Brauchbares, so sollten Sie die entsprechenden Empfehlungen und Anleitungen zur Hand haben.

Denn wenn Sie schon eine entsprechende Risikowahrnehmung geweckt haben, sollten Sie gleich zur Tat schreiten und die Mittel zur Verhaltensänderung bereit stellen.

Dann wird hoffentlich bald keiner mehr sagen, sie oder er hätte nicht gedacht, dass diese Datenpanne auch im eigenen Unternehmen passieren kann.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und freier IT-Fachjournalist
.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln