Sensibilisierung

Hat jemand von den DSB unter Euch schon mal einenen Schulungsplan resp. ein Sensibilisierungskonzept vom Verantwortlichen angefordert? Welche Erfahrungen habt Ihr gemacht? Welche Sensibilisierungsmodelle gibt es bei Euch?

Theoretisch könnte es einfach sein. Ich stelle mir das zumindest “einfach” vor:
Schritt 1: Der Verantwortliche legt einen verbindlichen Schulungsplan fest, bestimmt Inhalte und Zielgruppen und einen groben Zeitrahmen. Er beteiligt den/die DSB oder bittet den/die DSB gleich von Anfang an um Vorschläge bzw. einen Entwurf. Das Modell, dass DSBs von sich aus einen Schulungsplan vorschlagen, ist auch denkbar, und vielleicht legt man auch schon fest, wer die Schulungen anbieten kann. (In vielen Fällen werden das die DSB das selbst in vernünftiger Qualität anbieten können, allerdings gibt es auch DSBs mit monatlichem Mini-Stundenumfang für Datenschutz zusätzlich zu einer anderen Funktion. Und daneben gibt es einen riesigen Beratermarkt, der in die Unternehmen drängt. Die Festlegung trifft nun mal der Verantwortliche.) So entstünde ein Rahmen.
Die Teilnahme an den Schulungen soll für die benannten Zielgruppen grundsätzlich verbindlich sein.
Schritt 2: Abstimmung mit der Personalvertretung, Änderungswünsche einarbeiten, und am Ende steht irgendein Kompromiss.
Schritt 3: Verbindliche Termine rein, Vorhaben kommunizieren und umsetzen.

Leider habe ich das in der Praxis noch nie gesehen, sondern stattdessen werde ich mit den - aus meiner Sicht - absurdesten Modellen konfrontiert.

Meine Frage an Euch stelle ich, um zu überprüfen, ob ich mit meiner eigenen Wahrnehmung auf dem Holzweg bin, und aus Neugierde, was Eure Erfahrungen sind.

Meine Erfahrungen mit Sensibilisierung sind eher mau. Ich habe das Thema fast komplett eingestellt. Nach vielen Schulungen musste ich feststellen, das höchstens 10% des Inhaltes hängen geblieben sind - was den Aufwand nicht rechtfertigt. Ich kann es aber auch verstehehen, denn wie lange hat es gedauert, bis wir alle hier das Thema Datenschutz einigermaßen verstanden haben. Wir können nicht erwarten, dass Mitarbeiter mit anderen Aufgabengebieten sich mal auf die schnelle in das Thema Datenschutz einarbeiten.
Aus dem Grund führe ich als DSB auch das Verarbeitungsverzeichnis - auch wenn einige jetzt aufschreien werden, weil es ja laut Gesetz nicht meine Aufgabe ist. Aber anders funktioniert es ja leider nicht - und ich mache es gerne, weil ich dadurch einen guten Überblick über alles habe, was im Unternehmen läuft.

Ich kenne es nur so, dass der DSB ein Schulungskonzept entwickelt, dieses dann von der verantwortlichen Stelle genehmigen lässt und sich auch selbst um die Umsetzung kümmert…

Egal, wer das Konzept erstellt. Die Verbindlichkeit kommt nicht durch DSB zustande, sondern müsste vom Verantwortlichen ausgehen.

Inhaltlich und bei der Detailtiefe nicht zu viel Heu auf die Gabel nehmen. Es sollte genügen, Grundsätze zu kennen. Und zu wissen, an wen man sich für “mehr” wenden kann.

Die fachspezifischen Datenschutzvorgaben müssten zusammen mit weiteren Themen (Auftragsumsetzung, Qualität, Wirtschaftlichkeit etc.) in den jeweiligen Bereichen unter die Leute gebracht werden.

D., der froh ist, dass es bei den meisten Leuten in relevanten Situationen “Bing!” macht (nicht die Suchmaschine…), und irgendwas mit Datenschutz zu beachten sein könnte.

Vielen Dank für Eure Erfahrungen!
Was ich hier lese, bewegt sich für mich alles im Bereich des Erwarteten / des Normalen. Das ist einerseits nicht schlecht, andererseits kann ich nun nicht “abkupfern”, sondern muss mir selbst was ausdenken, wie ich in meinem eigenen Wirkungsbereich die Situation verbessern kann.
(Und wenn ich´s nicht kann: dokumentieren, dokumentieren, dokumentieren.)

So, wie bei @Beabel war/ist es bei mir auch.

Ich habe ein Konzept entwickelt, das Grundschulungen durch einen externen Anbieter enthält und für Einzelthemen Schulungen durch mich persönlich. Alles ebenfalls in der Hoffnung, dass es, wie @Domasla so schön geschrieben hat, wenigstens erstmal “Bing!” macht.

Den Anbieter habe ich selbst rausgesucht und mich um die Umsetzung (in Abstimmung mit IT und Personal) gekümmert.

Viele Grüße
DE

Dieser Ansatz dürfte in der Praxis der Erfolgversprechendste sein.

Ich halte beide Varianten des Schritt 1 oben schon bei kleinen Organisationen für nicht realistisch: Dass vom Verantwortlichen selbst inhaltlicher Input kommt, dürfte die absolute Ausnahme sein. Wenn Verantwortlicher regelmäßig Ahnung von unserer Materie hätten, bräuchte es kaum DSBs.

Und wenn ein DSB die Zeit haben sollte, immer wieder die gleichen Schulungen durchzuführen statt diese Inhalte beispielsweise in einem eLearning auszulagern, dann muss das auch ein Sonderfall von erhöhtem persönlichen Schulungsbedarf sein.

Wir haben ein eLarning für alle MA, eins für Führungskräfte, eigene Schulungsmaßnahmen für DSKs sowie darüber hinaus bedarfsabhängig maßgeschneiderte Inhalte; die Teilnahmen werden getracked und sind Teil von Berichten.

Grundsätzlich sollte einem bei der Thematik bewusst sein, dass das Gehirn zu 80% im stand by unterwegs ist, sodass weniger hier grds. mehr ist. Die Inhalte sollten sich also am Risikoprofil der Organisation orientieren, möglichst knapp sein und nur die wenigen Kernaussagen herausstellen.

@Wi1h31m5
Verrätst Du, welches eLearning Ihr benutzt?

Datakontext.

Die Resonanz ist da ziemlich positiv, da die Gestaltung recht interaktiv ist.

Vielen Dank!
Das erste, das ich in meinem Beitrag genannt habe, da war es so, dass ich in einer anderen Rolle das Schulungskonzept geschrieben habe, der jeweilige Verantwortliche hat das seinen Vorstellungen angepasst (z.B. eine Punkt gestrichen, was anderes ergänzt usw.) und dann die oben genannten Schritte angestoßen. Geprüft hat das ein externer DSB, und der konnte dann sagen: Dies und jenes übernehme ich oder “macht Ihr das”. In der Praxis hat das eine Sekretärin organisiert, und wenn der DSB sich in einem Thema nicht so ausgekannt hat (z.B. spezielle Bereiche wie Websites, Drittlandtransfers) also wenn es rechtlich komplizierter wurde und/oder andere Sprachen erforderlich waren hat das von unserem Personal jemand übernommen.
(Bevor sich da eine Diskussion entfacht: Die Qualifikationen dazu waren im Betrieb vorhanden, und der externe DSB hat frei entscheiden können, ob er das machen und als Zusatzleistungen abrechnen möchte oder ob es unsere Leute machen.) Aber das war halt FRÜHER.

Seit ich selbst DSB bin, hatte ich nie mehr mit Unterehmen zu tun, die verpflichtende Schulungskonzepte hatten / haben. (In meinem Zuständigkeitsbereich natürlich - wenn ich das für repräsentativ hielte, hätte ich das Thema nicht aufgegriffen.)
Damit hätte ich einfach nicht gerechnet, ich bin bass erstaunt.

Ich habe mit keinem einzigen Betrieb zu tun, der ein verbindliches Schulungskonzept hat. (Das sind natürlich eher 10 als 100.) Thematisiert habe ich das, aber bisher in der Form sachte Hinweise, Empfehlungen etc.

“Kann das NORMAL sein, dass es nach 5 Jahren DSGVO keine verbindlichen Schulungspläne (mehr) gibt oder hab ich hier die A-Karte gezogen und bekomme die ganzen “schlimmen” Betriebe ab?” war mein Gedanke, als ich das Thema eröffnet habe.

Einer der Betriebe hat ein E-Learning, bei dem rudimentäre Infos vermittelt werden, aber als DSB durfte ich mir “das System” vor Ort nicht anschauen und habe ebenso wie die Mitarbeiter die Informationen (die nach Art. 13 DSGVO wären für den Anfang nicht schlecht gewesen) nicht bekommen.
(Ist dokumentiert.)

Ein Mitarbeiter hat mich auf einen Tee geladen, um in meiner Anwesenheit den Kurs zu machen, sodassich an Infos kommen konnte. Deshalb ist mir der Kurs inhaltlich bekannt, und ich verlasse mich mit “rudimentäre Infos” nicht nur auf einen fremden Eindruck.

Aber nicht alle haben “komplett nichts”. Manche der anderen Betriebe haben sogar regelmäßig Schulungen, allerdings auf freiwilliger Basis (!). Aua!
Das kann doch nicht üblich sein, denke ich mir da: Dann müssen sich die Mitarbeiter rechtfertigen, warum sie dort hingehen.
Hab dann aus Neugierde mal eine besucht, und von zweien “unter der Hand” das Material bekommen. (Natürlich hatte ich keine hohen Erwartungen.)
Das hat mich nur noch mehr irritiert: Sowohl die Schulung und das Material qualitativ äußerst hochwertig.
Allerdings: Mich und Referentin eingeschlossen waren insgesamt 5 Personen im Raum.
Das kostet doch alles Geld, aber wo ist da der Sinn?

Ich komme mir vor wie unter Aliens.

Womit ich meinen (Arbeits-)Tag zubringe, das könnt Ihr Euch sicher lebhaft vorstellen: Fälle abarbeiten, bei denen schon etwas passiert ist.

Ich stimme dir in deiner letzten Aussage voll und ganz zu.
Durch ein “Selbststudium” habe ich mich , ab 12/2022, in das Thema DSB reingearbeitet. In 1/23 dürfte ich, auf eigener Idee, einen 1. Überblick über das Thema DSGVO gegeben. Da hatte ich nich nicht den Nachweis zum DSB. der kam in 6/2023. Der Datenschutzordner bestand zum großen Teil nur aus “Weiterbildungsmaterialien zum DSB”. Ein Musterformular vom VzV war da, unausgefüllt. Auf erneuter Nachfrage in der Leitungsebene hieß es dann: “Halt bitte den Mund zum Thema DSGVO. Die MA sollen die Planungen schreiben.”. Diese Aussage hat mir gezeigt das das Thema DSGVO als unwichtig angesehen wird, obwohl eine bgroße Menge von Daten des Art. 9 verarbeitet werden. Für die Leitungsebene war ich nur “auf dem Papier”. Es war einer der Faktoren, von vielen Weiteren, warum ich mich vom Unternehmen abwende. .

Hallo zusammen,

ich greife das Thema Sensibilisierung nochmal auf.
Ich bin auf der Suche nach einem neuen eLearning für die Datenschutzschulung.
Datakontext werde ich mir auf jeden Fall anschauen.

Habt Ihr noch weitere Erfahrungen/Empfehlungen?

Danke im Voraus und viele Grüße
dedsb

Erfahrungen schon. Ich bin mir aber nicht sicher, ob dies der Raum ist, um Produkte zu nennen, die man besonders schrottig findet. Deshalb als allgemeine Empfehlung:
Kurse sorgfältig durchschauen, vorhandene Mängel dem Verantwortlichen schriftlich darlegen (dann kann den Hinweis auch durch weitere Stellen überprüfen lassen) und bei einem solchen Kurs auch schriftlich empfehlen, ihn nicht vor Mängelbeseitigung einzusetzen.
Dann bleibt es nicht an euch hängen, wenn der Verantwortliche das trotzdem tut.
Mir ist ein von Kollegen bestätigter Fall aus einem Unternehmen bekannt, in dem der Anbieter nach DSB-Hinweis die gröbsten inhaltlichen Fehler aus seinem Online-Kurs entfernt hat, aber nicht mal einen Preisnachlass oder eine Bonus-Leistung eingeräumt hat. Schwarze Schafe gibt es leider überall.

Ich schule am liebsten selbt, wa auch daran liegt, dass ich während meiner kompletten Laufahn Schulungen, Vorträge und Vorlesungen gehalten habe. Inhalte passe ich an den Mandanten/Kunden an.
Größter Vorteil: das “live Unterrichtsgespräch” ist m.E durch nichts zu ersetzen… per Videokonferenz ist zweite Wahl, der Rest kommt danach.

Sehe ich genauso. Übrigens Fun-Fact am Rande: Wurde in diesem Jahr bei einem meiner Kunden auf Wunsch der Belegschaft (!) erstmals eingeladen, weil die Mitarbeiter von sich aus den Wunsch geäußert hatten, sich “mit einem echten Menschen” über Datenschutz zu unterhalten, nachdem sie sich in dem betreffenden Betrieb über einen Zeitraum von mehreren Jahren ausschließlich durch Online-Kurse klicken mussten.
Begründung: Sie seien inzwischen total unsicher, was richtig oder falsch sei.
Hat mich überrascht, weil es aus meiner Sicht eher selten vorkommt, dass die Initiative, mehr über Datenschutz zu erfahren, von der Belegschaft ausgeht.
Die Termine haben inzwischen stattgefunden, und es war sagenhaft. Es handelt sich um eine Firma mit viel persönlichem Kontakt zur Kundschaft, d.h. das Personal ist Unterhaltungen mit Menschen gewohnt und die Kolleginnen und Kollegen haben untereinander wohl ein gutes Verhältnis. Sobald eine Frage gestellt wurde, haben die Beschäftigten sich gegenseitig die Lösung geliefert, ich habe nur moderiert oder ab und zu mit Stichworten oder Ergänzungen eingegriffen.
Allerdings gab es im Ergebnis auch eine Liste mit mehr als 10 Themen, zu denen die Anwesenden mehr Klarheit vom Betrieb wünschten und bei ihrem Betriebsrat mal genauer nachfragen wollten … Bin mal gespannt, ob die künftig noch “irgendwas mit einem echten Menschen” machen dürfen.