Richtlinie zur Datenschutzschulung, Sensibilisierung und Kompetenz

Die Richtlinie zur Datenschutzschulung, Sensibilisierung und Kompetenz definiert, wie eine Organisation Datenschutzschulungen innerhalb ihres Privacy Information Management Systems steuert. Ihr Zweck besteht darin sicherzustellen, dass Personen, deren Arbeit die Verarbeitung personenbezogener Daten betrifft, ihre Verantwortlichkeiten verstehen, Schulungen nach einem definierten Turnus abschließen, rollenrelevante Kompetenz aufrechterhalten und auditierbare Nachweise zu Schulung, Sensibilisierung und Eskalation erzeugen. Die Richtlinie gilt für Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter und ist damit für Organisationen relevant, die personenbezogene Daten direkt verarbeiten oder nach Kundenweisung beziehungsweise über Verarbeitungsvereinbarungen mit Drittparteien handeln. Der Geltungsbereich ist bewusst breit und operativ ausgerichtet. Er gilt für Personal, Auftragnehmer, Zeitarbeitskräfte, relevante Drittparteien, Auftragsverarbeiter, Unterauftragsverarbeiter und andere interessierte Parteien, deren Arbeit die Verarbeitung personenbezogener Daten, Rechte betroffener Personen, Datenschutzrisiken, Informationssicherheit im Zusammenhang mit personenbezogenen Daten, Weisungen an Auftragsverarbeiter, Datenschutzvorfälle, dokumentierte Information oder Nachweise der Einhaltung beeinflussen kann. Die Richtlinie umfasst die Identifizierung von Datenschutz-Schulungszielgruppen, Onboarding-Schulung, jährliche Auffrischungsschulung, rollenbasierte und ereignisgesteuerte Schulung, Abschlussnachweise für Schulungen, Eskalation bei Nichtabschluss, Überprüfung der Schulungswirksamkeit sowie Nachweise zur Schulungssicherung von Auftragsverarbeitern, Unterauftragsverarbeitern und Drittparteien. Ein zentrales Merkmal der Richtlinie ist ihr Nachweismodell. Sie legt fest, dass keine separate Schulungsmatrix, kein separates Dashboard, Kompetenzregister, Disziplinarregister oder Kundenschulungsregister erstellt wird. Stattdessen werden Schulungszuweisungen, Abschlüsse, Erinnerungen, Kompetenznachweise und Sensibilisierungsnachweise in REG11 erfasst. Ausnahmen, Eskalationen, Nichtkonformitäten, Korrekturmaßnahmen und Überprüfungsnachweise werden in REG12 erfasst. Nachweise zur Schulungssicherung von Auftragsverarbeitern, Unterauftragsverarbeitern und Drittparteien werden, soweit relevant, in REG08 erfasst, während Erkenntnisse aus Vorfällen über REG10 verknüpft werden können. Dieser Ansatz unterstützt die Nachverfolgbarkeit von Datenschutzschulungen, ohne Register zu duplizieren oder unnötigen administrativen Aufwand zu erzeugen. Die Richtlinie legt konkrete Schulungsturnusse und Auslöser fest. Eine grundlegende Schulung zur Datenschutzsensibilisierung muss innerhalb von 10 Geschäftstagen nach dem Onboarding für Personal mit Zugriff auf personenbezogene Daten oder PIMS-Verantwortlichkeiten zugewiesen werden, und das Personal muss die Onboarding-Datenschutzschulung abschließen, bevor unbeaufsichtigter Zugriff auf personenbezogene Daten genehmigt wird oder innerhalb von 30 Tagen nach dem Onboarding, je nachdem, was zuerst eintritt. Eine jährliche Datenschutz-Auffrischungsschulung muss mindestens einmal alle 12 Monate zugewiesen werden. Gezielte Auffrischungsschulung ist innerhalb von 30 Tagen nach einer wesentlichen Änderung der Datenschutzrichtlinie, einer wesentlichen Änderung eines PIMS-Prozesses, einer Audit-Feststellung, einem wiederkehrenden Schulungsfehler oder einer relevanten Erkenntnis aus einem Datenschutzvorfall erforderlich. Rollenbasierte Schulung ist außerdem erforderlich, bevor Personal Verantwortlichkeiten im Zusammenhang mit Rechtsgrundlage, Datenschutzhinweisen, Einwilligung, Rechten betroffener Personen, DSFA, Aufbewahrung, Datenweitergabe, internationalen Übermittlungen, privilegiertem Zugriff, Sicherheitsadministration, Protokollierung, Überwachung oder Vorfallsunterstützung übernimmt. Governance und Durchsetzung sind durch definierte Verantwortlichkeiten, Überwachung und Eskalation in die Richtlinie integriert. Die Datenschutzleitung / der PIMS-Manager pflegt Schulungsinhalte, Zuweisungen, Abschlussnachweise, Bestätigungen und Nachweise zur Wirksamkeit. Prozessverantwortliche unterstützen den Abschluss für Personal in ihrem Verantwortungsbereich, Systemverantwortliche prüfen Schulungen, bevor sie privilegierten Zugriff oder Zugriff auf PII-Systeme mit hoher Tragweite genehmigen, und Lieferanten- / Beschaffungsverantwortliche pflegen Schulungsnachweise oder gleichwertige Sicherungsnachweise für Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und externe Arbeitskräfte. Die Richtlinie verlangt eine vierteljährliche Überprüfung von Abschlüssen, überfälligen Schulungen, rollenbasierten Zuweisungen und Ausnahmen, wobei ungelöste Nachweislücken vor der Managementbewertung berichtet werden. Interne Audit- / Compliance-Prüfer ziehen Stichproben aus REG11- und REG12-Nachweisen gemäß dem genehmigten Auditplan und unterstützen damit die kontinuierliche Verbesserung und zertifizierungsfähige Rechenschaftspflicht.