Vier Jahre DSGVO

Die Datenschutzgrundverordnung (DSGVO) ist nun schon seit vier Jahren Bestandteil der Unternehmenswirklichkeit und der Schutz von personenbezogenen Daten steht nun schon seitdem im Fokus von Unternehmen, die diese Informationen verarbeiten und speichern. Neben den vielzitierten Datenschutzaspekten sollten Unternehmen zum Schutz dieser Daten vier Jahre nach der Einführung der DSGVO auf Security Awareness-Trainings setzen. Diese Schulungen helfen Mitarbeitern die gesetzlichen Regelungen nicht nur zu verstehen, sondern im Arbeitsalltag auch entsprechend umsetzen zu können. Richtlinien sind wichtig und richtig, jedoch braucht es dauerhaft auch eine Firmenkultur, die Datenschutz fördert, ohne diesen als Hindernis zu empfinden. Dies lässt sich auch durch Security Awareness fördern.

Dafür bedarf es jedoch regelmäßiger durchgeführter Trainings mit Übungen, die am besten spielerisch aufbereitet werden. Neben der Wiederholung ist vor allem der Gamification Effekt nicht zu unterschätzen. Diese Anwendung von Spiel- und Designtechniken auf das gesamte Konzept des Sicherheitsbewusstseins in einen Wettbewerb kann auch Datenschutz-relevante Informationen vermitteln. Ein Beispiel für einen solchen spielerischen Ansatz ist das „Leader Board“. Hier könnte z. B. an der Punktzahl bei Quizspielen gemessen werden, wie viele Monate die Mitarbeiter nicht Opfer von Phishing-Attacken geworden sind. Die Mitarbeiter wetteifern dann darum, die „Führung zu übernehmen“. Eine weitere Möglichkeit sind Abzeichen. Es gibt Leistungsabzeichen für verschiedene Kurse oder Ausbildungsstufen, die die Mitarbeiter absolvieren. Für Erfolge kann beispielsweise ein Punkte- oder Währungssystem eingeführt werden. Je mehr Punkte die Mitarbeiter sammeln, desto mehr Dinge können sie tun (z. B. Firmengeschenke kaufen, Teamessen usw.). Mitarbeiter können Punkte sammeln, indem sie weitere Schulungen absolvieren, Newsletter lesen, Fragen zu Security Awareness und Datenschutz beantworten, anderen helfen, sich zu schützen usw. Wenn Teilnehmern das Austauschen, Teilen und Verschenken von Punkten gewährt wird, kann dies auch den Teamgedanken stärken. Herausforderungen, also sogenannte Challenges zur Stärkung der Security Awareness zwischen Benutzern oder sogar Abteilungen sind noch ein Beispiel. Das Ziel ist nicht, Spiele für die Schulung des Sicherheitsbewusstseins zu schaffen, sondern die Schulung der Security Awareness und die Änderung von Verhaltensweisen zu einem unterhaltsamen Spiel zu machen.

Das SANS Institute hat zur DSGVO eine Extra-Webseite gestartet, um alle offenen Fragen zu beantworten: https://www.sans.org/security-awareness-training/gdpr/