Um neue Mitarbeitende möglichst früh für den sensiblen Umgang mit personenbezogenen Daten zu gewinnen, bietet dieses kompakte Schulungsformat eine praxisnahe Einführung in zwei zentralen Themenbereichen: die datenschutzgerechte Vergabe von Zugriffsrechten und die souveräne Reaktion auf Datenschutzverletzungen. Beide Schwerpunkte werden in kurzen Rollenspielen veranschaulicht und anschließend im Plenum reflektiert, sodass Theorie und Praxis unmittelbar ineinandergreifen.
Zunächst erleben die Teilnehmenden, wie eine korrekte Rechtevergabe abläuft. In der Szene begrüßt die IT-Verantwortliche den neu eingestellten Kollegen und erläutert das Vorgehen: Welche Aufgaben übernimmt der Mitarbeitende, welche Systeme benötigt er dazu, und welche Zugriffsrechte – Lese‑, Bearbeitungs- oder gar Administratorrechte – sind wirklich erforderlich? Hier wird konsequent nach dem „Need-to-Know“-Prinzip vorgegangen. Begleitet wird die Freischaltung durch eine obligatorische Sicherheitsunterweisung gemäß DSGVO: sichere Passwörter, verantwortungsvoller Umgang mit personenbezogenen Informationen, Bildschirmsperrung bei Abwesenheit sowie die Pflicht, etwaige Datenschutzverletzungen unverzüglich zu melden. Abschließend bestätigt der neue Mitarbeiter seine Einweisung – ein Vorgang, der im realen Arbeitsalltag sowohl Compliance-Anforderungen erfüllt als auch das Bewusstsein für Datenschutz von Beginn an schärft.
Der zweite Teil der Schulung simuliert eine typische Datenpanne. Ein Mitarbeitender stellt fest, dass vertrauliche Unterlagen in einem System für Unbefugte einsehbar waren. Gemeinsam mit einer Kollegin und moderiert durch eine dritte Person wird erarbeitet, wie der Vorfall korrekt gemeldet, dokumentiert und eingegrenzt wird: Zugriffsrechte werden umgehend entzogen, der Vorfall wird protokolliert, Betroffene werden informiert. Anschließend diskutiert die Gruppe, welche Ursachen – etwa fehlerhafte Rechtevergaben oder fehlende Bildschirmsperren – den Vorfall begünstigt haben und welche präventiven Maßnahmen (regelmäßige Rechteüberprüfungen, wiederkehrende Schulungen) künftig greifen müssen.
Für die Durchführung genügen drei Personen, die Spielzeit beträgt rund 30 Minuten: je 15 Minuten pro Rollenspiel, gefolgt von einer kurzen, strukturierten Auswertung. Zusätzliche Beobachtungsrollen – beispielsweise „Achte auf Sicherheitsverstöße“ – binden größere Gruppen aktiv ein. Unterstützend können Checklisten zur Rechtevergabe sowie Formulare zur Erfassung von Datenschutzpannen eingesetzt werden, um das Gelernte zu verankern.
Mit diesem kompakten Trainingskonzept steigern Sie gezielt die Datenschutzkompetenz Ihres Teams: Neue Mitarbeitende verinnerlichen von Anfang an sichere Abläufe, erfahrene Kolleginnen und Kollegen frischen ihr Wissen auf, und das Unternehmen erfüllt zugleich interne wie gesetzliche Vorgaben zur Sensibilisierung im Datenschutz.
Teil 1: Datenschutzgerechte Rechtevergabe für neue Mitarbeitende
Rollen im Rollenspiel:
- Neue/r Mitarbeiter/in: startet neu, hat noch keine Systemzugänge.
- IT-Verantwortliche/r: zuständig für Vergabe von Zugriffsrechten gemäß Datenschutzprinzipien.
Ablauf der Schulungsszene:
- Begrüßung:
Die IT erklärt: „Willkommen im Team! Wir klären heute, welche Zugriffsrechte du für deine Aufgaben brauchst – immer unter Beachtung des Datenschutzes.“ - Bedarfsklärung:
Die/der Mitarbeitende beschreibt Tätigkeiten, z. B. Fallbearbeitung, digitale Aktenpflege, E‑Mail-Kontakt. - Rechtezuweisung:
Die IT entscheidet:- Welche Systeme werden benötigt? (z. B. Butler21, Outlook, Cloudlösungen)
- Welche Rechte sind angemessen? (z. B. Lesezugriff, Bearbeitungsrechte, Adminrechte nur bei klarer Notwendigkeit)
- Sicherheitsunterweisung (Pflicht nach DSGVO):
Die IT gibt praxisnahe Hinweise zu:- sicheren Passwörtern
- Umgang mit personenbezogenen Daten
- Sperren des Bildschirms bei Abwesenheit
- Meldepflicht bei Datenschutzverletzungen
- Bestätigung der Unterweisung:
Die/der Mitarbeitende bestätigt die Einweisung schriftlich oder mündlich.
Lernziel:
Die Teilnehmenden üben bedarfsorientierte Rechtevergabe nach dem „Need-to-Know“-Prinzip und sensibilisieren sich frühzeitig für datenschutzgerechtes Verhalten am Arbeitsplatz.
Teil 2: Rollenspiel – Datenpanne erkennen und richtig reagieren
Rollen im Datenschutz-Szenario:
- Mitarbeiter/in: entdeckt die Datenpanne.
- Kolleg/in: hatte unberechtigten Zugriff.
- Moderator/in: leitet die Szene und Diskussion.
Szenario: Ein/e Mitarbeiter/in bemerkt, dass sensible Unterlagen im System für Unbefugte zugänglich waren.
Ablauf:
- Meldung des Vorfalls an IT oder Datenschutzbeauftragte/n.
- Diskussion mit Fokus auf:
- Wie kam es zur Datenschutzverletzung?
(z. B. fehlerhafte Rechtevergabe, keine Bildschirmsperrung) - Welche Sofortmaßnahmen sind erforderlich?
(Zugriff entziehen, Vorfall dokumentieren, Betroffene informieren) - Wie lassen sich solche Datenschutzpannen künftig vermeiden?
(z. B. regelmäßige Rechteüberprüfungen, Datenschutzschulungen)
- Wie kam es zur Datenschutzverletzung?
Lernziel:
Teilnehmende lernen, Datenschutzverletzungen schnell zu erkennen, korrekt zu handeln und präventive Maßnahmen zu diskutieren.
📌 Hinweise zur Durchführung
- Dauer: ca. 30 Minuten (2x 15 Minuten + Diskussion)
- Teilnehmende: mind. 3 Personen – mehr möglich durch Beobachtungsrollen (z. B. „Achte auf Sicherheitsverstöße“)
- Hilfsmittel: optional Checkliste für Rechtevergabe oder Formular zur Fallaufnahme bei Datenschutzpannen
✅ Praxisnutzen:
Diese Schulung fördert Datenschutzkompetenz im Team, verbessert die Sicherheit im Arbeitsalltag und erfüllt interne Vorgaben zur Sensibilisierung neuer Mitarbeitender.