Compliance
Praktischer Umgang mit Pflichtschulungen aus Compliance-Sicht
Heute wenden wir uns in unserem Blogbeitrag einem Thema zu,
das jedes Unternehmen und jede Behörde angeht und das in der praktischen
Umsetzung manchmal komplexer ist, als es auf den ersten Blick scheint. Konkret
geht es um das Thema Pflichtschulungen und der Frage, wie man diese in der
Praxis durchführen kann. Dabei beleuchten wir die Frage, wie man Prozesse
etablieren kann, die wasserdicht sind und die die hohen Anforderungen der
Rechenschaftspflicht erfüllen. Eine kurze Warnung an dieser Stelle: Dieser
Blogbeitrag wird etwas länger, er bietet dafür am Ende auch konkrete
Lösungsmöglichkeiten. Aber
fangen wir von vorne an.
Welche Pflichtschulungen müssen durchgeführt werden?
Die Frage, welche Pflichtschulungen überhaupt durchgeführt werden müssen, ist in vielen Organisationen noch unbeantwortet. Zu Beginn sollte daher eine Bestandsaufnahme durchgeführt werden, welche die gesetzlich verpflichtenden Schulungen systematisch erfasst. Die Anforderungen können dabei je nach Unternehmen oder Behörde ganz unterschiedlich ausfallen, folgende Pflichtschulungen sind aber beinahe für jede Organisation relevant:
- Allgemeine Arbeitssicherheit,
- Allgemeines Verhalten im Brandfall,
- Allgemeine Datenschutzschulung,
- Allgemeine Informationssicherheitsschulung.
Das diese Schulungen grundsätzlich für jede Organisation verpflichtend sind, ergibt sich teilweise direkt aus dem Gesetz (z. B. nach dem Arbeitsschutzgesetz und der Datenschutzgrundverordnung), teilweise aber auch mittelbar aus den Forderungen von Aufsichtsbehörden.
Neben den allgemeinen Pflichtschulungen können je nach Organisation noch viele weitere Schulungen erforderlich werden. Organisationen, die sich z. B. nach ISO 27001 (eine sehr anerkannte Zertifizierung im Hinblick auf die Einhaltung eines Informationssicherheitsmanagements) aufstellen möchten, müssen ihre Beschäftigten im Hinblick auf die Elementargefährdung „Social Engineering“ sensibilisieren. Organisationen, die mit Gefahrstoffen arbeiten, müssen im Detail weitere Schulungen zur speziellen Arbeitssicherheit anbieten. Die Brandbreite ist hier je nach Organisation weit gestreut. Es macht daher Sinn, innerhalb der Organisation eine individuelle Bestandsaufnahme der anzubietenden Pflichtschulungen durchzuführen und hier eine verantwortliche Person zu benennen, die sich um diese Bestandsaufnahme kümmert (z. B. eine Person aus der Personalabteilung oder der/die Compliancebeauftragte). In diesem Rahmen sollten unbedingt auch die relevanten Funktionsträger des Beauftragtenwesens im Unternehmen eingebunden werden, sofern diese vorhanden sind, also z. B.:
- Arbeitssicherheitsbeauftragte*r
- Datenschutzbeauftragte*r
- Informationssicherheitsbeauftragte*r
- Compliance-Beauftragte*r
- Brandschutzbeauftragte*r
Ziel sollte die Erstellung eines Schulungsplans sein, welcher neben den Pflichtschulungen auch das Intervall der Pflichtschulungen festlegt. Dieses wird je nach Pflichtschulung in der Regel ein bis zwei Jahre betragen. In diesem Rahmen müssen die Schulungen also wiederholt werden bzw. es müssen Aufbauschulungen angeboten werden.
Es sollte zudem beachtet werden, dass auch neue Beschäftigte jeweils zeitnah entsprechend geschult werden müssen. Wir empfehlen hier die Grundschulungen innerhalb der ersten sechs Wochen durchzuführen.
Art der Durchführung der Pflichtschulungen
Es gibt verschiedene Möglichkeiten, die Pflichtschulungen durchzuführen. Hierzu gehören u.a.
- Vor-Ort- bzw. Videokonferenz-Schulungen,
- eLearning-Kurse,
- besondere Awareness-Kampagnen.
In der Praxis macht es häufig Sinn, hier mit einem Mischkonzept der verschiedenen Schulungsarten zu arbeiten. Gerade in größeren Organisationen wird hierbei aber insbesondere auch der Baustein eLearning oftmals eine zentrale Rolle spielen. Denn die Organisation muss sicherstellen, dass alle Beschäftigten zeitnah und regelmäßig geschult werden – also auch neue Beschäftigte. Zudem dürfen Kolleg*innen, die Urlaub haben, krank sind oder sich in Elternzeit etc. befinden nicht vergessen werden. Hier muss die Schulung dann jeweils nach Rückkehr nachgeholt werden – eine Anforderung, die gerade in großen Organisationen kaum umzusetzen ist und insgesamt hohe Ressourcen fordern würde, würden die Schulungen nicht durch eLearnings abgebildet.
Rechenschaftspflicht beachten
Im Hinblick auf die Durchführung der Pflichtschulungen ist die Organisation grundsätzlich abstrakt und individuell rechenschaftspflichtig. Das bedeutet, dass die Organisation auf Nachfrage der entsprechenden Aufsichtsbehörden (z. B. der Datenschutzaufsichtsbehörde oder der Gewerbeaufsicht) den allgemeinen Schulungsprozess nachweisen muss. Dies erfolgt am besten durch ein schriftliches Schulungskonzept. Darüber hinaus muss für jede einzelne Person die Teilnahme an den entsprechenden Schulungen nachgewiesen werden können. Dies erfolgt zum Beispiel durch das Nachhalten von Schulungslisten oder Teilnahmezertifikaten.
Prozesse planen
Im Rahmen der Organisation der Pflichtschulungen ergeben sich neben der Erstellung des Schulungskonzepts schnell eine Reihe weiterer Fragen. Es muss zum Beispiel festgelegt werden, wer sich um die Einladungen der Teilnehmer*innen kümmert, wie mit Beschäftigten umgegangen wird, die trotz Aufforderung nicht an den Schulungen teilnehmen, wer das Monitoring übernimmt, wie neue und ausgeschiedene Mitarbeiter berücksichtigt und wo die Schulungsnachweise aufbewahrt werden. Zudem kann es oftmals erforderlich sein, innerhalb der Organisation eine verbindliche Richtlinie zu erlassen, die den Beschäftigten vorschreibt, an den ausgerollten Pflichtschulungen auch tatsächlich teilzunehmen. Hier steckt in der Praxis eine Menge Detailarbeit.
Unsere eLearning-Plattform und unsere Inhalte
Auch wenn sich das gerade Beschriebene nach viel Arbeit anhört, kann diese durch smarte Lösungen erheblich reduziert werden. Bereits seit einigen Jahren arbeiten wir mit vielen Kolleg*innen an der Erstellung von eLearnings zu Pflichtschulungen. Mittlerweile ist das Team zur Inhaltserstellung auf vier Personen gewachsen, die sich täglich um neue Inhalte kümmern. Dabei legen wir großen Wert drauf, die oftmals als trocken empfundenen Themen so zu vermitteln, dass die Schulungen Spaß machen. Eine Übersicht zu unseren Kursen finden Sie auf dieser Seite.
Daneben arbeiten wir mittlerweile mit einer zweistelligen Zahl an Entwicklern und Produktverantwortlichen an smarten Lösungen, um Sie nicht nur bei den komplexen Anforderungen rund um Datenschutz, Informationssicherheit und Compliance zu unterstützen, sondern Ihnen auch die Organisation von Pflichtschulungen in der Praxis so einfach wie möglich zu gestalten. Hierfür haben wir mit DSN port eine eigene Schulungsplattform geschaffen.
Pflichtschulungen ganz konkret – Teilnehmende anlegen
Wenn Sie das Schulungskonzept ihrer Organisation erstellt haben und es nun an die praktische Umsetzung von eLearnings geht, stellt sich zuerst einmal die Frage, wie man alle Beschäftigte erreicht. Konkret müssen alle Beschäftigte, die geschult werden sollen, in der Lernplattform angelegt werden.
DSN port bietet hierzu gleich mehrere Möglichkeiten:
- Teilnehmende können einzeln manuell angelegt werden,
- noch einfacher ist der Import von Teilnehmenden aus den bestehenden Systemen – z. B. dem Personalsystem,
- es ist aber auch möglich alle Beschäftigte direkt über eine Schnittstelle zum Verzeichnisdienst der Organisation (z. B. zum Active Directory) zu synchronisieren.
Hierbei sollten mindestens die Namen der Beschäftigten angelegt werden und die dienstliche E-Mail-Adresse (sofern eine solche existiert). Darüber hinaus können über ein einfaches Verschlagwortungssystem weitere Unterscheidungsmerkmale getroffen werden. Es ist also z. B. möglich die Standorte der Beschäftigten, den Einsatzbereich und weitere Kriterien, die für das Ausspielen von Schulungsinhalten relevant sind, zu erfassen. Im Idealfall sind immer alle Beschäftigte im System eingepflegt und auch Änderungen werden übernommen.
Pflichtschulungsinhalte anlegen und zuweisen
In einem weiteren Schritt können dann Pflichtschulungsinhalte im System angelegt werden. Nehmen wir hier als Beispiel einmal die Grundkurse zu Arbeitssicherheit, Datenschutz und Informationssicherheit. Das Widerholungsintervall für die Schulungen wird in unserem Beispiel mit jährlich angegeben. Da dies allgemeine Schulungen sind, die für alle Beschäftigte ausgerollt werden sollen, muss bei der Zuordnung nicht zwischen Standorten, Abteilungen etc. unterschieden werden. Die Schulung soll für „alle“ ausgerollt werden. In diesem Beispiel brauchen wir also keine weiteren Schlagworte zur Unterscheidung.
Starten der Pflichtschulung
Nach ein paar wenigen weiteren Einstellungen (z. B. der Festlegung eines Erinnerungsintervalls) kann die Pflichtschulung gestartet werden. Alle Beschäftigten, die im System gespeichert sind erhalten nun eine Einladungsmail für ihre individuelle Schulung. Diese kann einfach per Klick auf einen Link, der in der vom System versendeten E-Mail enthalten ist, im Browser und somit auf fast jedem Endgerät absolviert werden. Die Pflichtschulung läuft dabei unbegrenzt. Das bedeutet, dass auch neue Beschäftigte direkt mit Aufnahme im System eine Einladung per E-Mail zu Ihren Pflichtschulungen erhalten und dies jährlich zu den individuell notwendigen Zeiten wiederholt wird.
Durch das Anlegen der Pflichtschulungen und das automatische Ausspielen ist gewährleistet, dass immer alle Beschäftigten eine Einladung zur Teilnahme an den Pflichtschulungen erhalten. Wenn die Prozesse der Anlage rund um neue und ausgeschiedene Beschäftigte sauber durchdacht sind, könnte man sich nun als schulungsverantwortliche Person eigentlich zurücklehnen, die Lernplattform ihre Arbeit machen lassen und sich z. B. der Planung der nächsten Awareness-Kampagne vor Ort widmen.
Für Beschäftigte, die nicht über eine eigene E-Mail-Adresse verfügen, geht es leider nicht ganz so automatisch – aber es bleibt trotzdem smart. Denn für Beschäftigte ohne E-Mail-Adresse besteht die Möglichkeit, QR-Codes und Links zu erzeugen und als Seriendruck auszudrucken. Die individuellen Schulungen können auf diese Art und Weise z. B. nach dem Verteilen der Ausdrucke von den Beschäftigten mit privaten Smartphones oder sonstigen browserfähigen Geräten einfach durch das Einscannen des individuellen QR-Codes oder das Eingeben des individuellen Links absolviert werden.
Rechenschaftspflichten und Nachzügler
Die einmal konfigurierte Lernplattform läuft nach der erstmaligen Einrichtung eigentlich automatisch. Als Person, die für die Schulungsverwaltung verantwortlich ist, muss dann eigentlich kaum noch etwas getan werden. Statistiken zeigen den aktuellen Stand der jeweiligen Schulungen. Sofern Beschäftigte alle Aufforderungen und auch die vom System versendeten Erinnerungsmails ignorieren, muss man allerdings wieder tätig werden. Hier besteht die Möglichkeit sich die entsprechenden Teilnehmenden anzeigen zu lassen.
Für Beschäftigte, die längere Zeit nicht arbeiten müssen (z. B. weil sie in Elternzeit sind oder ein Sabbatical nehmen), kann das Ausrollen der Schulungen übrigens pausiert werden.
Ziel ist es, eine laufende Schulungsplattform aufzustellen, die die verpflichtenden Schulungsinhalte ständig in den passenden Intervallen ausspielt, Schulungszertifikate für Pflichtschulungen erstellt und im System vorhält und langfristig zu Rechtssicherheit sowie einer erheblichen Reduktion des Organisationsaufwands rund um Pflichtschulungen führt.
Haben wir Ihr Interesse geweckt?
Sprechen Sie uns gerne zu den Themen an. Wir helfen Ihnen gerne bei:
- der Durchführung der Bestandsaufnahme zu Pflichtschulungen,
- der Erstellung eines schriftlichen Schulungskonzepts sowie weiterer Richtlinien,
- der Auswahl und Lizensierung der passenden Kursinhalte aus unserem Portfolio,
- der Einrichtung und Lizensierung unserer Lernplattform,
- der Einbindung von Drittanbieterinhalten, der Erstellung individueller Schulungen oder dem Import von vorhandenen PowerPoint-Schulungen.
Sprechen Sie uns auch bei allen weiteren Fragen – z. B. zu unseren Kurinhalten abseits des Pflichtprogramms – jederzeit gerne an.