Die EU-Datenschutzgrundverordnung (kurz DSGVO) hält fast alle Unternehmen auf Trab, die sich innerhalb der EU befinden oder personenbezogene Daten von EU-Bürgern verarbeiten. Sie verpflichtet sie dazu, geeignete organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und diese vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen.
Was hat Awareness-Training mit der DSGVO zu tun?
Viele Unternehmen konzentrieren sich dabei auf rein technische Maßnahmen wie Verschlüsselung, Anti-Virus und Co; vernachlässigen dabei aber die Schulung ihrer Mitarbeiter in sicherheitsrelevanten IT-Themen komplett. Dabei ist Security-Awareness-Training keine Option, sondern ein Must-have!
Bei der Wahl der geeigneten Anbieter und Lösungen, gibt es zwei Fragen, deren Antworten einen enormen rechtlichen Unterschied machen: Wo werden die erhobenen Daten gespeichert und aus welchem Land stammen die datenverarbeitenden Unternehmen?
Der Patriot Act wirft seinen Schatten nach Europa
Viele Awareness-Lösungsanbieter kommen aus den USA und sind dem Patriot Act unterworfen. Ursprünglich konzipiert als Anti-Terror Waffe, um die Sammlung von Überwachungsdaten zu erleichtern und den Informationsaustausch zwischen den amerikanischen Bundesbehörden zu verbessern, stellt er für viele US-Unternehmen und ihre Kunden ein echtes Problem dar. Der prominente Fall von Microsoft aus dem Jahr 2014 hat gezeigt, dass die US-Regierung die Herausgabe von Daten auch dann erzwingen kann, wenn sich die Daten außerhalb der USA befinden, in diesem Fall auf irischen Servern.
Daran konnte auch das seit Juli 2016 geltende EU-US Privacy Shield nichts ändern, der Nachfolger des Safe Harbor Abkommens, das angesichts der PRISM-Enthüllungen im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US Privacy Shield gibt US-Recht immer noch den Vorrang und nennt sogar sechs Fälle in denen Massenüberwachung nach wie vor zulässig ist.
Der jahrelange Rechtsstreit zwischen Microsoft und der US-Regierung mündete im März 2018 im CLOUD Act, der den Zugriff auf personenbezogene Daten von US-Bürgern ermöglicht, die in der EU gespeichert sind und ebnete gleichzeitig den Zugriff auf Daten von EU-Bürgern in den USA. Zusätzlich macht der CLOUD Act die Herausgabe der Daten nicht davon abhängig, ob zwischen dem betroffenen Land und den USA ein Rechtshilfeabkommen besteht. US-Unternehmen sind damit verpflichtet US-Recht zu folgen und werden im Ernstfall vor die Entscheidung gestellt entweder gegen die DSGVO oder den CLOUD Act zu verstoßen.
Zusammenfassend kann man sagen, dass die DSGVO mit dem Patriot Act, dem CLOUD Act und dem EU-US Privacy Shield kollidieren kann, wenn US-Unternehmen involviert sind bzw. Unternehmen deren Datenserver sich in den USA befinden. Nimmt man die Dienste dieser Unternehmen in Anspruch, begibt man sich in eine gefährliche Grauzone. „Wo kein Kläger da kein Richter“ endet dann, wenn z.B. Mitarbeiter gegen diese Praxis Beschwerde bei den Aufsichtsbehörden einlegen. Dies kann im Worstcase-Szenario in einem Bußgeld von 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes münden.
Butter bei die Fische – So gelingt DSGVO-konformes Awareness-Training
Es gibt also viele Gründe, um aktiv einen Weg aus dieser rechtlichen Grauzone zu suchen. Doch wie kann nun eine Lösung dieser verzwickten Situation aussehen? Die Lösung ist so einfach wie auch konsequent – entscheiden Sie sich für einen Awareness-Lösungsanbieter aus der EU, dessen Server sich ebenfalls in der EU befinden. So lösen Sie auf einen Schlag die oben aufgeführten rechtlichen Fallstricke und die damit verbundenen, erheblichen finanziellen Risiken sowie potenzielle Imageschäden.
Bei der Einführung von Awareness-Lösungen findet sich sehr oft ein weiterer wichtiger Player am Verhandlungstisch – der Betriebsrat. Kein Wunder, denn nach § 87 BetrVG betritt man bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ seinen Einflussbereich.
Da bei modernen Awareness-Lösungen automatisierte Phishing-Tests und E-Learning Plattformen eingesetzt werden, stellt sich für den Betriebsrat schnell die Frage, wie sichergestellt werden kann, dass der Mitarbeiter nicht in Angst leben muss, dass ein schlechtes Abschneiden bei den Trainingsmaßnahmen negative Konsequenzen für ihn haben kann.
Die Lösung besteht in anonymisiertem Awareness-Training und Phishing-Tests sowie transparenter Kommunikation. So kann sichergestellt werden, dass nicht gefühlt „gegen“, sondern „mit“ dem Mitarbeiter gearbeitet wird und der Mitarbeiter kann sich so ganz auf das Lernen konzentrieren. In Verbindung mit Edutainment, also einer Kombination von spannenden Lerninhalten, mundgerechten Micro-Lernmodulen, einer spielerischen Aufbereitung und dem berüchtigten „Lernen am Objekt“, kann so ein effektives Awareness-Training gestaltet und ein nachhaltiger Lernerfolg erzielt werden.
Als Full-Service-Lösungsanbieter, bietet Ihnen SoSafe ein Rundum-sorglos-Paket, bestehend aus automatisierten Phishing-Test und einer modernen und motivierenden E-Learning Plattform. Als deutscher Anbieter mit Servern innerhalb der EU können Sie gedanklich den Haken hinter DSGVO-Konformität setzen und haben dank anonymisiertem Awareness-Training, welches sogar noch Spaß macht, sowohl Ihre Mitarbeiter als auch Ihren Betriebsrat auf Ihrer Seite.
Besuchen Sie das kostenlose Webinar von SoSafe, um noch mehr über DSGVO-konformes Awareness-Training zu erfahren Zum Webinar.