Sensibilisierung

Hat jemand von den DSB unter Euch schon mal einenen Schulungsplan resp. ein Sensibilisierungskonzept vom Verantwortlichen angefordert? Welche Erfahrungen habt Ihr gemacht? Welche Sensibilisierungsmodelle gibt es bei Euch?

Theoretisch könnte es einfach sein. Ich stelle mir das zumindest “einfach” vor:
Schritt 1: Der Verantwortliche legt einen verbindlichen Schulungsplan fest, bestimmt Inhalte und Zielgruppen und einen groben Zeitrahmen. Er beteiligt den/die DSB oder bittet den/die DSB gleich von Anfang an um Vorschläge bzw. einen Entwurf. Das Modell, dass DSBs von sich aus einen Schulungsplan vorschlagen, ist auch denkbar, und vielleicht legt man auch schon fest, wer die Schulungen anbieten kann. (In vielen Fällen werden das die DSB das selbst in vernünftiger Qualität anbieten können, allerdings gibt es auch DSBs mit monatlichem Mini-Stundenumfang für Datenschutz zusätzlich zu einer anderen Funktion. Und daneben gibt es einen riesigen Beratermarkt, der in die Unternehmen drängt. Die Festlegung trifft nun mal der Verantwortliche.) So entstünde ein Rahmen.
Die Teilnahme an den Schulungen soll für die benannten Zielgruppen grundsätzlich verbindlich sein.
Schritt 2: Abstimmung mit der Personalvertretung, Änderungswünsche einarbeiten, und am Ende steht irgendein Kompromiss.
Schritt 3: Verbindliche Termine rein, Vorhaben kommunizieren und umsetzen.

Leider habe ich das in der Praxis noch nie gesehen, sondern stattdessen werde ich mit den - aus meiner Sicht - absurdesten Modellen konfrontiert.

Meine Frage an Euch stelle ich, um zu überprüfen, ob ich mit meiner eigenen Wahrnehmung auf dem Holzweg bin, und aus Neugierde, was Eure Erfahrungen sind.

Meine Erfahrungen mit Sensibilisierung sind eher mau. Ich habe das Thema fast komplett eingestellt. Nach vielen Schulungen musste ich feststellen, das höchstens 10% des Inhaltes hängen geblieben sind - was den Aufwand nicht rechtfertigt. Ich kann es aber auch verstehehen, denn wie lange hat es gedauert, bis wir alle hier das Thema Datenschutz einigermaßen verstanden haben. Wir können nicht erwarten, dass Mitarbeiter mit anderen Aufgabengebieten sich mal auf die schnelle in das Thema Datenschutz einarbeiten.
Aus dem Grund führe ich als DSB auch das Verarbeitungsverzeichnis - auch wenn einige jetzt aufschreien werden, weil es ja laut Gesetz nicht meine Aufgabe ist. Aber anders funktioniert es ja leider nicht - und ich mache es gerne, weil ich dadurch einen guten Überblick über alles habe, was im Unternehmen läuft.

Ich kenne es nur so, dass der DSB ein Schulungskonzept entwickelt, dieses dann von der verantwortlichen Stelle genehmigen lässt und sich auch selbst um die Umsetzung kümmert…

Egal, wer das Konzept erstellt. Die Verbindlichkeit kommt nicht durch DSB zustande, sondern müsste vom Verantwortlichen ausgehen.

Inhaltlich und bei der Detailtiefe nicht zu viel Heu auf die Gabel nehmen. Es sollte genügen, Grundsätze zu kennen. Und zu wissen, an wen man sich für “mehr” wenden kann.

Die fachspezifischen Datenschutzvorgaben müssten zusammen mit weiteren Themen (Auftragsumsetzung, Qualität, Wirtschaftlichkeit etc.) in den jeweiligen Bereichen unter die Leute gebracht werden.

D., der froh ist, dass es bei den meisten Leuten in relevanten Situationen “Bing!” macht (nicht die Suchmaschine…), und irgendwas mit Datenschutz zu beachten sein könnte.

Vielen Dank für Eure Erfahrungen!
Was ich hier lese, bewegt sich für mich alles im Bereich des Erwarteten / des Normalen. Das ist einerseits nicht schlecht, andererseits kann ich nun nicht “abkupfern”, sondern muss mir selbst was ausdenken, wie ich in meinem eigenen Wirkungsbereich die Situation verbessern kann.
(Und wenn ich´s nicht kann: dokumentieren, dokumentieren, dokumentieren.)

So, wie bei @Beabel war/ist es bei mir auch.

Ich habe ein Konzept entwickelt, das Grundschulungen durch einen externen Anbieter enthält und für Einzelthemen Schulungen durch mich persönlich. Alles ebenfalls in der Hoffnung, dass es, wie @Domasla so schön geschrieben hat, wenigstens erstmal “Bing!” macht. :wink:

Den Anbieter habe ich selbst rausgesucht und mich um die Umsetzung (in Abstimmung mit IT und Personal) gekümmert.

Viele Grüße
DE

Dieser Ansatz dürfte in der Praxis der Erfolgversprechendste sein.

Ich halte beide Varianten des Schritt 1 oben schon bei kleinen Organisationen für nicht realistisch: Dass vom Verantwortlichen selbst inhaltlicher Input kommt, dürfte die absolute Ausnahme sein. Wenn Verantwortlicher regelmäßig Ahnung von unserer Materie hätten, bräuchte es kaum DSBs.

Und wenn ein DSB die Zeit haben sollte, immer wieder die gleichen Schulungen durchzuführen statt diese Inhalte beispielsweise in einem eLearning auszulagern, dann muss das auch ein Sonderfall von erhöhtem persönlichen Schulungsbedarf sein.

Wir haben ein eLarning für alle MA, eins für Führungskräfte, eigene Schulungsmaßnahmen für DSKs sowie darüber hinaus bedarfsabhängig maßgeschneiderte Inhalte; die Teilnahmen werden getracked und sind Teil von Berichten.

Grundsätzlich sollte einem bei der Thematik bewusst sein, dass das Gehirn zu 80% im stand by unterwegs ist, sodass weniger hier grds. mehr ist. Die Inhalte sollten sich also am Risikoprofil der Organisation orientieren, möglichst knapp sein und nur die wenigen Kernaussagen herausstellen.

@Wi1h31m5
Verrätst Du, welches eLearning Ihr benutzt?

Datakontext.

Die Resonanz ist da ziemlich positiv, da die Gestaltung recht interaktiv ist.

1 „Gefällt mir“

Vielen Dank!
Das erste, das ich in meinem Beitrag genannt habe, da war es so, dass ich in einer anderen Rolle das Schulungskonzept geschrieben habe, der jeweilige Verantwortliche hat das seinen Vorstellungen angepasst (z.B. eine Punkt gestrichen, was anderes ergänzt usw.) und dann die oben genannten Schritte angestoßen. Geprüft hat das ein externer DSB, und der konnte dann sagen: Dies und jenes übernehme ich oder “macht Ihr das”. In der Praxis hat das eine Sekretärin organisiert, und wenn der DSB sich in einem Thema nicht so ausgekannt hat (z.B. spezielle Bereiche wie Websites, Drittlandtransfers) also wenn es rechtlich komplizierter wurde und/oder andere Sprachen erforderlich waren hat das von unserem Personal jemand übernommen.
(Bevor sich da eine Diskussion entfacht: Die Qualifikationen dazu waren im Betrieb vorhanden, und der externe DSB hat frei entscheiden können, ob er das machen und als Zusatzleistungen abrechnen möchte oder ob es unsere Leute machen.) Aber das war halt FRÜHER.

Seit ich selbst DSB bin, hatte ich nie mehr mit Unterehmen zu tun, die verpflichtende Schulungskonzepte hatten / haben. (In meinem Zuständigkeitsbereich natürlich - wenn ich das für repräsentativ hielte, hätte ich das Thema nicht aufgegriffen.)
Damit hätte ich einfach nicht gerechnet, ich bin bass erstaunt.

Ich habe mit keinem einzigen Betrieb zu tun, der ein verbindliches Schulungskonzept hat. (Das sind natürlich eher 10 als 100.) Thematisiert habe ich das, aber bisher in der Form sachte Hinweise, Empfehlungen etc.

“Kann das NORMAL sein, dass es nach 5 Jahren DSGVO keine verbindlichen Schulungspläne (mehr) gibt oder hab ich hier die A-Karte gezogen und bekomme die ganzen “schlimmen” Betriebe ab?” war mein Gedanke, als ich das Thema eröffnet habe.

Einer der Betriebe hat ein E-Learning, bei dem rudimentäre Infos vermittelt werden, aber als DSB durfte ich mir “das System” vor Ort nicht anschauen und habe ebenso wie die Mitarbeiter die Informationen (die nach Art. 13 DSGVO wären für den Anfang nicht schlecht gewesen) nicht bekommen.
(Ist dokumentiert.)

Ein Mitarbeiter hat mich auf einen Tee geladen, um in meiner Anwesenheit den Kurs zu machen, sodassich an Infos kommen konnte. Deshalb ist mir der Kurs inhaltlich bekannt, und ich verlasse mich mit “rudimentäre Infos” nicht nur auf einen fremden Eindruck.

Aber nicht alle haben “komplett nichts”. Manche der anderen Betriebe haben sogar regelmäßig Schulungen, allerdings auf freiwilliger Basis (!). Aua!
Das kann doch nicht üblich sein, denke ich mir da: Dann müssen sich die Mitarbeiter rechtfertigen, warum sie dort hingehen.
Hab dann aus Neugierde mal eine besucht, und von zweien “unter der Hand” das Material bekommen. (Natürlich hatte ich keine hohen Erwartungen.)
Das hat mich nur noch mehr irritiert: Sowohl die Schulung und das Material qualitativ äußerst hochwertig.
Allerdings: Mich und Referentin eingeschlossen waren insgesamt 5 Personen im Raum.
Das kostet doch alles Geld, aber wo ist da der Sinn?

Ich komme mir vor wie unter Aliens.

Womit ich meinen (Arbeits-)Tag zubringe, das könnt Ihr Euch sicher lebhaft vorstellen: Fälle abarbeiten, bei denen schon etwas passiert ist.