DSGVO Mitarbeiterschulung richtig umsetzen

Jede deutsche Aufsichtsbehörde stellt inzwischen dieselbe Frage, wenn sie ein Unternehmen prüft: Wo ist das schriftliche Schulungskonzept, und wer wurde wann tatsächlich geschult? Wer diese Frage nicht dokumentiert beantworten kann, verliert im Bußgeldverfahren jede Entlastung.

Bei konkretem Handlungsbedarf bietet unsere anwaltliche Unterstützung im Datenschutz die passende rechtliche Vertiefung.

Für Geschäftsführungen kleiner und mittlerer Unternehmen ist das Thema doppelt heikel.

Andererseits reichen die in der Praxis verbreiteten Lösungen - ein PDF per E-Mail, ein Klick-durch-Quiz oder eine einmalige Einweisung beim Jobantritt - in Kontrollen regelmäßig nicht aus. Seit 2025 verschärft sich die Lage zusätzlich: Die KI-Verordnung verlangt eine eigenständige Schulungspflicht zu KI-Kompetenz, und die NIS2-Richtlinie ergänzt jährliche Sensibilisierung zur Cybersicherheit.

Dieser Ratgeber beantwortet drei Fragen:

• Ist eine DSGVO-Mitarbeiterschulung rechtlich verpflichtend, und welche Artikel begründen diese Pflicht?
• Wer muss geschult werden, wie oft, in welchem Format, und welche Inhalte sind verpflichtend?
• Wie dokumentiert man die Schulung so, dass sie einer Behördenprüfung oder einem Bußgeldverfahren standhält?

Ist eine DSGVO-Schulung für Mitarbeiter wirklich Pflicht?

Die Pflicht ergibt sich stattdessen aus dem Zusammenspiel mehrerer Vorschriften und aus der konstanten Aufsichtspraxis deutscher Datenschutzbehörden.

Die Rechtsgrundlagen im Zusammenspiel

Fünf Vorschriften greifen ineinander und ergeben zusammen die faktische Schulungspflicht. Keine dieser Vorschriften regelt die Schulung für sich allein vollständig, aber jede davon wäre ohne Mitarbeiterschulung nicht erfüllbar.

Art. 39 richtet sich zwar an den Datenschutzbeauftragten, setzt aber voraus, dass das Unternehmen solche Schulungen überhaupt durchführen lässt. Der Datenschutzbeauftragte koordiniert und überwacht; die operative Durchführung bleibt Aufgabe der Unternehmensleitung.

“Schritte unternehmen” ist eine aktive Handlungspflicht. Weisungen, die der Mitarbeiter nicht kennt, können nicht befolgt werden - deshalb setzt diese Norm eine Sensibilisierung voraus.

32 Abs. 4 DSGVO.

Die Rechenschaftspflicht ist die scharfe Kante. Sie verwandelt Schulung von einer Best Practice in einen nachweispflichtigen Akt. Wer keine Teilnehmerliste, kein Schulungsprotokoll und kein Konzept vorlegen kann, erfüllt die Rechenschaftspflicht nicht - unabhängig davon, ob tatsächlich geschult wurde. Im Kontext einer Behördenprüfung bedeutet das: Keine Dokumentation, keine Entlastung.

Schulung ist eine klassische organisatorische Maßnahme.

Eine Schulung, die Stand 2021 vermittelt, deckt den heutigen Rechtsstand nicht mehr ab - sie ist damit nicht “geeignet” im Sinne des Art. 24 DSGVO.

Art.

Er wirkt nur, wenn der Mitarbeiter die Weisungen und die rechtlichen Grenzen kennt. Eine unbeschulte Person kann nicht weisungsgemäß handeln - sie erfindet ihre Regeln im Zweifel selbst. Damit ist Schulung keine Option, sondern die Voraussetzung dafür, dass diese Norm in der Praxis funktioniert.

Wann greift die Pflicht - ab wie vielen Mitarbeitern?

Ein Drei-Personen-Startup, das Kundendaten verarbeitet, unterliegt denselben Grundsätzen wie ein Großkonzern - nur proportional angepasst in Umfang und Tiefe.

Die Verantwortung wandert in solchen Fällen nicht weg - sie bleibt bei der Geschäftsführung.

Der Mythos “Wir sind zu klein dafür” ist damit eine der gefährlichsten Fehlvorstellungen.

Entscheidend ist nicht, ob ein Datenschutzvorfall passiert ist. Entscheidend ist, dass im Prüfungsfall kein Nachweis vorliegt.

Was Bußgelder mit fehlender Schulung zu tun haben

Fehlende Schulung ist selten der alleinige Grund für ein Bußgeld, aber oft der entscheidende Multiplikator.

Übersetzt: Wer eine nachweisbare, dokumentierte und regelmäßige Schulung vorlegen kann, erhöht die Chance auf eine Reduktion des Bußgeldes deutlich. Wer das nicht kann, verliert diesen Entlastungshebel komplett.

Die Entscheidung zementiert die unmittelbare Verbandshaftung.

Und genau hier wird die Schulung zum zentralen Entlastungsinstrument: Nachweisbare, aktuelle Schulungen verhindern den Fahrlässigkeitsvorwurf oder mindern ihn zumindest.

Wer muss geschult werden - und wer nicht?

Der Kreis der Schulungspflichtigen ist in der Praxis oft größer als gedacht. Er umfasst auch Personen, die nur fallweise oder am Rand mit Daten in Berührung kommen. Eine klare Abgrenzung zwischen “relevanten” und “irrelevanten” Rollen ist oft erst nach einer Bestandsaufnahme möglich, die zugleich Grundlage für das Verzeichnis von Verarbeitungstätigkeiten ist.

Alle Mitarbeiter mit Datenzugang

Dazu gehören alle typischen Rollen, die in einem Unternehmen Kunden-, Mitarbeiter- oder Lieferantendaten verarbeiten, also Vertrieb, Kundenservice, Buchhaltung, Einkauf, Marketing, Personal, IT und Leitungsebene.

Wer nur das HR-Team schult, während der Vertrieb unbeschult Kundenlisten exportiert, riskiert in der Prüfung den Vorwurf strukturellen Versäumnisses.

Auch Mitarbeiter, die vermeintlich keinen direkten Datenzugang haben, fallen oft doch in den Kreis. Pförtner erfassen Besucherdaten. Lagerpersonal sieht Versandetiketten mit Kundenadressen. Die Marketingabteilung verarbeitet Einwilligungen für Newsletter.

Führungskräfte und Geschäftsleitung

Führungskräfte müssen nicht nur geschult, sondern oft intensiver geschult werden als operative Mitarbeiter. Sie treffen Entscheidungen über Datenverarbeitungen, genehmigen neue Softwaresysteme, stellen externe Dienstleister ein und reagieren im Datenschutzvorfall. Fehler auf dieser Ebene sind systemisch.

Das Verfahren macht deutlich, wie teuer es wird, wenn Führungskräfte die Grundprinzipien des Datenschutzes - insbesondere Zweckbindung und Schutz besonderer Datenkategorien - nicht ausreichend kennen. Der Schaden entstand nicht bei operativen Beschäftigten, sondern im mittleren und höheren Management.

Leiharbeiter, Werkstudenten und Praktikanten

In der Praxis bricht dieses Modell regelmäßig, weil Leiharbeiter oft kurzfristig eingesetzt werden und kein Nachweis der Grundschulung vorliegt. Der sichere Umgang besteht darin, im Überlassungsvertrag die Grundschulung durch den Verleiher verbindlich zu verankern und betriebsspezifische Inhalte am ersten Einsatztag in Form eines schriftlichen Briefings mit Unterschrift zu ergänzen. Das Briefing muss nicht umfangreich sein - ein zweiseitiges Dokument mit den zentralen Regeln, der Benennung des Ansprechpartners und einer Verpflichtung auf Vertraulichkeit reicht häufig aus.

Praktikanten und Werkstudenten sind besonders heikel, weil sie oft in mehreren Abteilungen rotieren und dabei unterschiedliche Datenkategorien kennenlernen. Sie sollten am ersten Tag eine kompakte Einführung erhalten und beim Abteilungswechsel nachgeschult werden. Das kann formlos geschehen, muss aber dokumentiert sein.

Externe Dienstleister und Reinigungspersonal

Externe Dienstleister sind eine häufige Schwachstelle. Wer Zugriff auf Systeme, Räume oder Daten hat, braucht eine datenschutzrechtliche Einweisung - und zwar unabhängig davon, ob er formal Auftragsverarbeiter ist oder nicht.

Reinigungspersonal ist der klassisch übersehene Fall. Es hat Zugang zu Büros, Schreibtischen und gelegentlich zu Bildschirminhalten. Eine Clean-Desk-Policy ohne Schulung des Reinigungspersonals ist wirkungslos.

Eine kurze Unterrichtung in der Landessprache des Personals mit schriftlicher Bestätigung löst das Problem in der Regel.

Wenn Sie tiefer in das Zusammenspiel mit externen Dienstleistern einsteigen wollen, hilft der Ratgeber zum Auftragsverarbeitungsvertrag dabei, die vertraglichen und organisatorischen Pflichten im Verhältnis zu Dritten sauber zu trennen.

Wer die Schulung durchführen darf

Weder muss es ein Anwalt noch ein zertifizierter Datenschutzbeauftragter noch ein externer Trainer sein. Entscheidend ist die fachliche Eignung - also die Fähigkeit, den Stoff rechtssicher und verständlich zu vermitteln.

In der Praxis übernehmen drei Personengruppen die Schulung am häufigsten. Der betriebliche oder externe Datenschutzbeauftragte ist der klassische Schulungsleiter, weil Art.

Die Geschäftsführung oder eine intern beauftragte Führungskraft mit Datenschutz-Expertise ist die zweite Option, insbesondere in Mini-Betrieben. Externe Berater oder spezialisierte Rechtsanwälte bilden die dritte Gruppe, oft für die Führungskräfte-Schulung oder bei komplexen Branchenthemen wie KI-Einsatz oder Beschäftigtendatenschutz.

Wie oft muss geschult werden? Frequenz in der Behördenpraxis

Deutsche Aufsichtsbehörden leiten aus der Rechenschaftspflicht und dem Gebot der Aktualisierung nach Art. 24 DSGVO jedoch einen klaren Standard ab: mindestens jährliche Wiederholung plus anlassbezogene Nachschulung bei Rechtsänderungen oder neuen Verarbeitungen.

Warum “regelmäßig” faktisch jährlich bedeutet

Die Aufsichtspraxis ist hier deutlich konkreter als der Gesetzestext.

Der Hintergrund ist pragmatisch: Datenschutzrecht ändert sich ständig. Neue Gerichtsentscheidungen, geänderte Aufsichtspraxis, neue Softwaretools und neue Verarbeitungen entwerten Schulungsinhalte innerhalb von zwölf bis achtzehn Monaten.

Wer nicht nachschult, riskiert, dass seine Mitarbeiter mit veralteten Annahmen arbeiten.

Anlassbezogene Nachschulungen sind Pflicht

Jährlich ist der Basistakt - anlassbezogen ist der Notfalltakt.

• Neue Software oder neues Tool - Wenn eine Abteilung ein neues System einführt, das personenbezogene Daten verarbeitet, müssen die Nutzer zuvor geschult werden.
  Das gilt besonders bei KI-gestützten Tools, Cloud-Systemen und Analytics-Lösungen.
• Neue Rechtsprechung - Grundsatzentscheidungen des Europäischen Gerichtshofs oder wichtige Bußgeldverfahren können sofortigen Anpassungsbedarf auslösen, etwa nach Entscheidungen zu Datentransfers oder automatisierten Entscheidungen.
• Datenschutzvorfall im Unternehmen - Nach einer gemeldeten Datenpanne ist eine gezielte Nachschulung des betroffenen Bereichs Pflicht, weil sie Teil der Korrekturmaßnahmen ist.
• Reorganisation oder neue Rolle - Wer die Abteilung wechselt oder eine neue Funktion mit anderem Datenzugang übernimmt, braucht eine rollenspezifische Ergänzungsschulung.
• Neue Aufsichtshinweise - Ein neues Kurzpapier der Datenschutzkonferenz oder eine neue Orientierungshilfe der zuständigen Aufsichtsbehörde zwingt zu einer Inhaltsaktualisierung.

Wer sie ignoriert, baut an einem Konzept, das formal “jährlich” schult, inhaltlich aber veraltet ist.

Onboarding-Schulung als Pflichteinstieg

Ein häufiges Missverständnis ist die Annahme, dass neue Mitarbeiter bis zur nächsten Jahresschulung warten können. Das ist aufsichtsrechtlich unzulässig.

Konkret bedeutet das: Ein Mitarbeiter darf erst dann produktiv mit personenbezogenen Daten arbeiten, wenn er datenschutzrechtlich eingewiesen und auf das Datengeheimnis verpflichtet wurde. In der Praxis geschieht das oft in drei Schritten am Onboarding-Tag: eine kompakte Grundlagenschulung, eine schriftliche Verpflichtungserklärung, und eine Einweisung in die abteilungsspezifischen Prozesse. Wer diese Reihenfolge durchhält, erfüllt den Onboarding-Standard.

32 Abs. 4 DSGVO.

Welche Formate erfüllen die DSGVO-Anforderungen?

Entscheidend ist, dass das gewählte Format echten Lernerfolg vermittelt und sich dokumentieren lässt.

Der Trend in der Aufsichtspraxis geht von reiner Compliance-Prüfung zu qualitätsorientierter Prüfung. Behörden wollen echte Wissensvermittlung sehen, nicht nur Teilnahmebescheinigungen. Das hat direkte Konsequenzen für die Format-Wahl.

Präsenzschulung - Vorteile und Grenzen

Präsenzschulung ist das klassische Format und im Kern unkritisch. Sie ermöglicht Interaktion, Rückfragen, Diskussion konkreter Szenarien und eine hohe Aufmerksamkeitsbindung. Ein geschulter Leiter kann auf konkrete Rückfragen eingehen und Fälle aus dem Unternehmensalltag diskutieren.

Die Grenzen liegen in der Logistik und den Kosten. Schichtarbeit, Außendienst und verteilte Standorte lassen sich oft nicht in einem gemeinsamen Termin bündeln. Kleine Betriebe haben keine Räume, die für ganze Abteilungen geeignet sind. Und Präsenzschulung bindet Arbeitszeit in konzentrierter Form, was in der laufenden Produktion zu echten Ausfällen führt.

Online-Schulung und E-Learning - was reicht, was nicht

Genau hier liegt die häufigste Schwachstelle vieler Angebote am Markt.

• Reine Klick-durch-Module ohne Verständnisprüfung - Ein E-Learning, bei dem der Mitarbeiter ohne Kontrolle durchklickt und am Ende einen Abschluss-Button drückt, steht in Prüfberichten der Aufsichtsbehörden regelmäßig in der Kritik, weil kein echter Lernerfolg nachgewiesen werden kann.
• E-Learning mit Lernkontrolle und Fortschritts-Tracking - Notwendig sind Testfragen, die bestanden werden müssen, ein Lernmanagement-System, das den Abschluss protokolliert, und ein Zertifikat mit eindeutiger Zuordnung zum Mitarbeiter.
• Hybride Formate - Kombinieren die Stärken: E-Learning für den Basisinhalt plus eine kurze Präsenz- oder Videokonferenz-Nachbesprechung, in der unternehmensspezifische Fälle diskutiert werden.
  Deutsche Aufsichtsbehörden bewerten hybride Konzepte oft am positivsten, weil sie Interaktion und Skalierbarkeit vereinen.

Wer E-Learning einsetzt, sollte das Angebot auf unternehmensspezifische Inhalte anpassen können.

Homeoffice und Remote-Teams

Homeoffice hat die Schulungslogistik fundamental verändert.

Der Grundsatz ist einheitlich: Remote bedeutet nicht weniger Dokumentationspflicht, sondern andere Dokumentationsformen.

Videokonferenz-Schulungen sind zulässig, aber aufmerksamkeitstechnisch schwächer als Präsenz. In der Praxis zeigen Erfahrungsberichte, dass bei reinen Videokonferenzen ein erheblicher Teil der Teilnehmer nebenbei arbeitet oder abgelenkt ist. Der sichere Weg besteht in einer Kombination aus verpflichtender Kamera-Einschaltung, gelegentlichen interaktiven Fragen und einem abschließenden Test.

Für die Dokumentation gilt: Screenshots der Teilnehmerliste im Videokonferenzsystem, automatische Teilnehmerprotokolle der Plattform und Testergebnisse aus dem Lernmanagement-System sind die drei typischen Bausteine. Sie müssen nicht perfekt sein, aber sie müssen vorhanden sein.

Schichtarbeit, Außendienst und Produktion

Schichtarbeit, Außendienst und Produktion gehören zu den härtesten Schulungsszenarien. Monteure können nicht aus dem Kundentermin gezogen werden. Produktionsmitarbeiter können die Fertigung nicht für vier Stunden stoppen. Außendienst-Teams treffen sich selten gemeinsam im Büro.

Die Lösungsansätze sind pragmatisch, nicht elegant. E-Learning auf betrieblichen Tablets oder Smartphones, das in Pausen absolviert werden kann, deckt einen Großteil der Fälle ab. Regelmäßige Schulungsschichten - also eine kurze Unterweisung zu Schichtbeginn, die rotierend alle Mitarbeiter erreicht - sind in Produktionsbetrieben etabliert. Für reinen Außendienst haben sich asynchrone Formate bewährt, bei denen der Mitarbeiter das Material von zuhause oder vom Auto aus durcharbeitet und einen Online-Test ablegt.

Entscheidend bleibt die Dokumentation.

Das ist insbesondere deshalb heikel, weil Außendienst- und Schichtrollen oft direkt mit Kundendaten arbeiten - der Verstoßfall ist hier besonders wahrscheinlich.

Die Gegenüberstellung zeigt, warum viele Unternehmen den pragmatischen Weg über hybride Formate gehen, obwohl er mehr Organisationsaufwand verlangt. Der Aufwand zahlt sich aus, sobald es zur Prüfung kommt - denn dort entscheidet Qualität der Dokumentation über Bußgeldmilderung oder -verschärfung.

Welche Inhalte muss eine DSGVO-Schulung abdecken?

Eine belastbare DSGVO-Schulung deckt mindestens sieben Themenbausteine ab.

Weniger abzudecken riskiert, dass eine Schulung in der Prüfung als unvollständig eingestuft wird.

Die inhaltliche Tiefe je Baustein ist proportional anzupassen. Eine Kernschulung für alle Mitarbeiter kann jeden Baustein kompakt abdecken; eine rollenspezifische Schulung für IT, HR oder Vertrieb geht bei bestimmten Bausteinen in die Tiefe. Das ist kein Luxus, sondern Aufsichtsstandard.

Grundprinzipien und Rechtsgrundlagen

Wer diese Grundbegriffe nicht kennt, kann keine belastbare Entscheidung über einzelne Verarbeitungen treffen.

Betroffenenrechte

Jeder Mitarbeiter muss die Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO kennen und wissen, wie mit einer entsprechenden Anfrage umzugehen ist. Auskunftsersuchen, Löschbegehren, Berichtigungen, Widersprüche und Widerrufe sind im Alltag häufig. Wer sie falsch behandelt, riskiert ein Bußgeld und einen Reputationsschaden.

Der praktische Ansatz ist ein interner Prozess: Jede Anfrage wird unverzüglich an eine zentrale Stelle weitergeleitet, typischerweise den Datenschutzbeauftragten oder ein dediziertes Postfach. Die Schulung vermittelt die Anfragetypen, die Fristen und den internen Weiterleitungsweg. Detailliertes Hintergrundwissen bieten eigene Ratgeber zu den einzelnen Rechten, zum Beispiel zum Auskunftsanspruch nach Art. 15 DSGVO.

Meldepflicht bei Datenpannen

Diese Frist ist in der Praxis das größte Schulungsthema, weil sie nur eingehalten werden kann, wenn Mitarbeiter eine mögliche Panne sofort nach Entdeckung melden.

Die Schulung muss konkret machen, was eine Datenpanne ist (Verlust eines Laptops, falsche E-Mail an den falschen Empfänger, Hackerangriff, unbeabsichtigte Veröffentlichung einer Kundenliste), wer intern der erste Ansprechpartner ist und welche Informationen sofort gesammelt werden müssen. Je kürzer der interne Meldeweg, desto belastbarer die 72-Stunden-Frist.

Cyberhygiene und Phishing

Cyberhygiene ist der Bereich, in dem DSGVO und NIS2 direkt aufeinandertreffen. Passwortsicherheit, Erkennung von Phishing-Mails, sicherer Umgang mit mobilen Geräten, Verschlüsselung und Homeoffice-Setup sind zentrale Inhalte.

Eine testweise Phishing-Kampagne mit anschließender Auswertung zeigt, wie gut das Sicherheitsbewusstsein der Belegschaft ist. Die Klickrate ist dabei keine Bewertung einzelner Mitarbeiter, sondern eine Kennzahl für die Wirksamkeit der Schulung.

Rollenspezifische Ergänzungen

Eine pauschale Schulung für alle reicht nicht. Aufsichtsbehörden erwarten rollenspezifische Vertiefungen für kritische Funktionen:

• Vertrieb und Marketing - Umgang mit Leads, Einwilligungsmanagement, Newsletter-Versand, CRM-Systeme.
• HR und Personal - Beschäftigtendatenschutz nach § 26 BDSG, Bewerbungsmanagement, Löschung ausgeschiedener Mitarbeiterdaten, Krankmeldungen und Gesundheitsdaten.
• IT und Administration - Zugriffskontrollen, Protokollierung, Verschlüsselung, Zusammenarbeit mit Auftragsverarbeitern, Umgang mit Log-Daten.
• Buchhaltung und Einkauf - Lieferanten- und Kundendaten, Rechnungsdaten, Aufbewahrungsfristen, steuerrechtliche Kollisionen mit Löschpflichten.
• Kundenservice und Call-Center - Identifikationsverfahren, Umgang mit Auskunftsbegehren am Telefon, Dokumentation des Kontakts.

Damals hatten Call-Center-Mitarbeiter unzureichende Identifikationsabläufe angewandt, was die Aufsichtsbehörde als strukturellen Verstoß gegen Art. 32 DSGVO wertete.

Wie dokumentiert man die Schulung rechtssicher?

Dokumentation ist der Teil, an dem Schulungskonzepte in Prüfungen am häufigsten scheitern. Viele Unternehmen schulen durchaus regelmäßig, können aber nicht belegen, wer wann welchen Inhalt absolviert hat. Ohne Dokumentation ist die Schulung aus Sicht der Aufsichtsbehörde rechtlich nicht vorhanden.

Wer die Einhaltung nicht nachweisen kann, verliert im Bußgeldverfahren jeden Entlastungshebel.

Welche Nachweise Behörden anerkennen

Diese Formen sind nicht exklusiv, aber die Mindestinhalte überschneiden sich.

Die Dokumentation muss nachvollziehbar sein.

Das ist der Grund, warum viele Unternehmen auf ein Lernmanagement-System umsteigen - es erzeugt die geforderten Nachweise automatisch.

Das schriftliche Schulungskonzept

Das Schulungskonzept ist das Grundsatzdokument, aus dem sich alle Einzelnachweise ableiten.

Ein belastbares Konzept beantwortet mindestens sechs Fragen.

1. Wer wird geschult - alle Mitarbeiter oder nur bestimmte Gruppen, mit welcher rollenspezifischen Ergänzung?
2. Wie oft wird geschult - Onboarding, jährliche Auffrischung, anlassbezogene Nachschulungen?
3. In welchem Format - Präsenz, E-Learning, hybrid?
4. Wer führt die Schulung durch - Datenschutzbeauftragter, interne Führungskraft, externer Trainer?
5. Welche Inhalte werden vermittelt - die sieben Bausteine plus rollenspezifische Vertiefungen?
6. Wie wird dokumentiert - welche Nachweisformen, wo gespeichert, wie lange aufbewahrt?

Das Konzept muss nicht umfangreich sein - drei bis fünf Seiten reichen häufig. Entscheidend ist, dass es existiert, aktuell ist und in der Prüfung vorgelegt werden kann.

Verpflichtung auf Vertraulichkeit und Datengeheimnis

Für den DSGVO-Bereich sichert die Datenschutzkonferenz die Verpflichtung auf Vertraulichkeit über Art. 28 Abs. 3 lit. b und Art. 32 Abs. 4 DSGVO ab. In der Praxis werden beide Verpflichtungsarten regelmäßig in einem Dokument zusammengefasst, das der Mitarbeiter bei Tätigkeitsbeginn unterschreibt.

Die Datenschutzkonferenz hat in ihrem Kurzpapier Nr.

Diese Unterweisung kann Teil der Onboarding-Schulung sein und wird am einfachsten durch die Kombination aus Schulungsprotokoll plus unterschriebener Verpflichtungserklärung dokumentiert.

Aufbewahrungsdauer der Nachweise

In der Praxis gilt: Solange ein Bußgeldverfahren möglich ist, sollten die Nachweise aufbewahrt werden.

Pragmatisch hat sich eine Aufbewahrungsdauer von fünf bis zehn Jahren nach Ausscheiden des Mitarbeiters oder nach der Schulung etabliert. Das löst nicht nur das Bußgeld-Risiko, sondern auch den Fall, dass ein ehemaliger Mitarbeiter Jahre später einen Schadensersatzanspruch geltend macht, weil er vermeintlich unbefugt Daten verarbeitet hat.

Haftung und Sanktionen bei fehlender Schulung

Sie entfalten sich selten vollständig, aber die Möglichkeiten stehen offen - und sie werden von Aufsichtsbehörden zunehmend ausgeschöpft.

Persönliche Haftung der Geschäftsführung

Fehlende oder unzureichende Schulung verstärkt in der obergerichtlichen Praxis die Verschuldenswirkung und kann neben dem aufsichtsbehördlichen Bußgeld zivilrechtliche Schadensersatzpflichten erhöhen.

Wer nachweisen kann, dass er ein Schulungskonzept umgesetzt, dokumentiert und aktualisiert hat, entkommt diesem Risiko in aller Regel. Wer das nicht kann, öffnet seinem Unternehmen eine Angriffsfläche im Innenverhältnis.

Bußgelder und der Bußgeldrahmen

Der Bußgeldrahmen der DSGVO ist bekannt, aber in Deutschland in den letzten Jahren zunehmend ausgeschöpft worden.

Die Aufsichtsbehörden setzen mit dieser Praxis ein klares Signal: Schulung ist nicht bloß ein Nebenschauplatz, sondern der zentrale Indikator für die Reife des Datenschutz-Management-Systems. Wer hier Geld spart, zahlt später mehr.

Zivilrechtliche Schadensersatzansprüche

Neben Bußgeldern drohen zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO.

Das erweitert die Angriffsfläche erheblich: Ein Unternehmen, das gegen die DSGVO verstößt, muss nicht mehr nur mit einem Behördenverfahren oder einer Betroffenen-Klage rechnen, sondern kann auch von der Konkurrenz belangt werden.

Regress gegen Mitarbeiter - wann möglich

Häufig gestellt wird die Frage, ob ein Arbeitgeber einen Mitarbeiter in Regress nehmen kann, wenn dieser durch sein Verhalten ein Bußgeld ausgelöst hat. Die Antwort ist differenziert: Grundsätzlich möglich, praktisch selten durchsetzbar.

Das hört sich in der Theorie klar an, ist in der Praxis aber oft schwer zu beweisen. Fehler einzelner Mitarbeiter stehen zudem in einem Gesamtkontext - und wenn der Arbeitgeber nachweislich unzureichend geschult hat, wird dem Regress die Grundlage entzogen.

Das bedeutet umgekehrt: Nur ein nachweislich geschultes Umfeld schafft überhaupt die Voraussetzung dafür, dass ein Mitarbeiter bei grob fahrlässigem Verstoß in Regress genommen werden kann. Wer nicht schult, eliminiert seinen eigenen Regress-Hebel.

Die neue Schulungslandschaft 2025 und 2026

Die drei Regelwerke überschneiden sich inhaltlich mit der DSGVO-Schulung, sind aber jeweils eigenständig verpflichtend.

Wer die Schulungspflichten als getrennte Silos organisiert, erzeugt unnötigen Doppelaufwand und Inkonsistenzen. Wer sie als integriertes Programm organisiert, deckt alle Pflichten effizienter ab und erfüllt gleichzeitig die Dokumentationsanforderungen aus allen drei Welten.

KI-Kompetenz nach Art. 4 der KI-Verordnung

Diese Pflicht gilt seit dem 2. Februar 2025 und betrifft praktisch jedes Unternehmen, das KI-Systeme einsetzt - auch dann, wenn es sie nur als Anwender nutzt und nicht selbst entwickelt. Wer generative KI-Tools für Texterstellung, Kundenservice oder Datenanalyse einsetzt, ist von der Pflicht erfasst.

Inhaltlich überschneidet sich KI-Kompetenz mit DSGVO-Schulung vor allem bei der automatisierten Entscheidungsfindung, den Transparenzpflichten und der Datenschutz-Folgenabschätzung. Unterschiede bestehen bei Themen wie Bias-Vermeidung, menschlicher Aufsicht nach Art. 14 der KI-Verordnung und spezifischen Anforderungen für Hochrisiko-KI-Systeme. Wie die Schnittstelle konkret aussieht, wird im Ratgeber zur KI-Verordnung und zum KI-Einsatz im Datenschutz ausführlich dargestellt.

Cybersicherheits-Schulungen nach NIS2

Die Umsetzungsfrist in deutsches Recht lief bereits am 17.

Inhaltlich überschneidet sich NIS2 mit DSGVO-Schulung bei Phishing, Passwortsicherheit, Incident Response und Social-Engineering-Themen. Ein integriertes Schulungscurriculum deckt beide Pflichten effizient ab.

Integrierte Schulungsprogramme als Antwort

Die pragmatische Antwort auf das Nebeneinander der Pflichten ist ein integriertes Schulungsprogramm. Es fasst die gemeinsamen Inhalte zusammen und ergänzt rechtsaktspezifische Vertiefungen. In der Praxis ist ein dreistufiger Aufbau bewährt.

1. Basis-Modul für alle Mitarbeiter: DSGVO-Grundlagen, Cyberhygiene, Meldewege bei Vorfällen, Grundprinzipien des KI-Einsatzes.
2. Rollenspezifische Module: Vertiefung je nach Abteilung und Zugang zu Datenkategorien (HR, IT, Vertrieb, Führung).
3. Spezialmodule: KI-Kompetenz für Teams mit KI-Einsatz, Cybersicherheit für IT-Administratoren, DORA-Inhalte für Finanzdienstleister.

Dokumentiert wird einheitlich, die Pflichten aus DSGVO, NIS2 und KI-Verordnung werden in einer Matrix abgebildet. So bleibt das Konzept übersichtlich, vermeidet Doppelarbeit und wirkt in jeder Prüfung konsistent.

Häufige Fehler und wie man sie vermeidet

Wer sie kennt, kann sie gezielt vermeiden - und erhöht damit die Chance, in einer Prüfung oder einem Bußgeldverfahren mit einer Entlastung davonzukommen.

• Einmalige Schulung ohne Wiederholung - Die Grundschulung beim Jobantritt plus nichts weiter gilt in nahezu jeder Prüfung als unzureichend.
  Mindestens jährliche Auffrischung ist der etablierte Standard.
• Selektive Schulung einzelner Abteilungen - Wer nur HR und IT schult, während Vertrieb und Einkauf unbeschult bleiben, verstößt gegen Art. 32 Abs. 4 DSGVO. Kernschulung für alle plus rollenspezifische Vertiefung.
• Klick-durch-E-Learning ohne Verständnisprüfung - Ohne Test, ohne Lernfortschritts-Tracking, ohne unternehmensspezifische Inhalte genügt das Angebot rechtlich nicht. Interaktive Elemente sind Pflicht.
• PDF per E-Mail als Schulungsnachweis - Das Versenden einer Datenschutzerklärung ohne aktive Vermittlung und ohne Verständnisprüfung ist keine Schulung im Sinne der DSGVO. Deutsche Aufsichtsbehörden werten diese Praxis in Prüfberichten regelmäßig als unzureichend.
• Fehlende Dokumentation der Schulung - Wer nicht nachweist, wer wann was geschult bekommen hat, erfüllt die Rechenschaftspflicht nicht - die Schulung gilt dann aufsichtsrechtlich als nicht durchgeführt.
• Keine Onboarding-Schulung - Neue Mitarbeiter dürfen nicht ohne Schulung mit personenbezogenen Daten arbeiten. Die Unterrichtung muss ab Tätigkeitsbeginn erfolgen.
• Fehlendes schriftliches Schulungskonzept - Der häufigste Mangel in KMU-Prüfungen. Ein dreiseitiges Konzept mit Zielgruppen, Frequenz, Inhalten, Verantwortlichen und Dokumentationswegen reicht häufig aus.
• Ignorieren der Führungsebene - Führungskräfte sind schulungspflichtig und brauchen oft eine vertiefte Schulung. Der H&M-Fall zeigt, wie teuer das Ignorieren wird.
• Generische Standardinhalte ohne Unternehmensbezug - Eine Standardschulung ohne Bezug zu den tatsächlichen Verarbeitungen des Unternehmens wird in Prüfberichten regelmäßig kritisiert. Praxisbeispiele aus dem eigenen Betrieb erhöhen Wirksamkeit und Akzeptanz.
• Außendienst, Schichtarbeit und Leiharbeiter werden vergessen - Wer die schwer erreichbaren Gruppen nicht aktiv in das Schulungskonzept aufnimmt, hat systematische Lücken - und genau die finden Aufsichtsbehörden in Prüfungen.

Was tun bei Schulungsverweigerern?

Die seltene, aber heikle Frage ist der Umgang mit Mitarbeitern, die eine Schulung verweigern. Datenschutzschulung ist kraft des Weisungsrechts des Arbeitgebers und kraft der Pflichten aus Art. 32 Abs. 4 DSGVO eine anordnungsfähige Arbeitspflicht.

In der Praxis lässt sich das Problem meist vor der arbeitsrechtlichen Eskalation lösen. Hilfreich sind mehrere Schulungsformate (Präsenz, online, asynchron), die individuelle Ansprache zur Klärung der Gründe und die schriftliche Dokumentation der Aufforderung. Wenn es trotzdem zum Konflikt kommt, sichert diese Dokumentation dem Arbeitgeber die Position - sowohl im arbeitsrechtlichen Verfahren als auch im Bußgeldverfahren, weil sie zeigt, dass das Unternehmen seiner Pflicht nachgekommen ist.

Ihr Umsetzungsplan - Schulung schrittweise aufbauen

Wenn Sie heute vor der Aufgabe stehen, ein DSGVO-Schulungskonzept aufzubauen oder ein bestehendes Konzept zu überprüfen, hilft die folgende Checkliste als roter Faden.

• Bestandsaufnahme erstellen - Welche Mitarbeitergruppen gibt es? Welche Datenkategorien werden verarbeitet? Wer hat Zugang zu welchen Systemen?
• Schriftliches Schulungskonzept verfassen - Wer wird geschult, wie oft, in welchem Format, von wem, mit welchen Inhalten, und wie wird dokumentiert?
• Rollenspezifische Inhalte definieren - Kernschulung für alle plus Vertiefungen für HR, IT, Vertrieb, Führung und weitere kritische Rollen.
• Onboarding-Prozess etablieren - Jeder neue Mitarbeiter erhält am ersten Tag eine Grundschulung plus Verpflichtungserklärung.
• Jahreskalender aufsetzen - Mindestens eine jährliche Auffrischung plus definierte Trigger für anlassbezogene Nachschulungen.
• Format wählen und testen - Präsenz, E-Learning oder hybrid? Welches Format passt zur Belegschaftsstruktur und zur betrieblichen Praxis?
• Dokumentationsweg einrichten - Teilnehmerlisten, E-Learning-Logs, Verpflichtungserklärungen und Testergebnisse zentral und zugriffsbeschränkt ablegen.
• Aufbewahrungsfrist festlegen - Fünf bis zehn Jahre nach Schulung oder nach Ausscheiden des Mitarbeiters, zugriffsbeschränkt und zweckgebunden.
• Verpflichtung auf Vertraulichkeit implementieren - Jeder Mitarbeiter unterschreibt bei Tätigkeitsbeginn eine Erklärung, die Unterrichtung und Verpflichtung kombiniert.
• Integration mit KI-Verordnung und NIS2 prüfen - Wenn KI-Systeme eingesetzt werden oder Cybersicherheitspflichten bestehen, die zusätzlichen Pflichten in das Konzept aufnehmen.
• Regelmäßige Überprüfung - Einmal jährlich das Konzept aktualisieren, Inhalte auf neue Rechtsprechung prüfen und Teilnahmequoten auswerten.
• Führungsebene einbeziehen - Schulung der Geschäftsführung und anderer Führungskräfte als Pflichtbestandteil, nicht als Option.

Der größte Hebel in der Umsetzung liegt im Schulungskonzept. Wer diesen einen Baustein solide aufstellt, hat mit vergleichsweise geringem Aufwand die wichtigste Dokumentation in der Hand, nach der Aufsichtsbehörden zuerst fragen.

Wann rechtliche Unterstützung sinnvoll ist

Nicht jedes Unternehmen braucht externe Unterstützung, um ein DSGVO-Schulungskonzept aufzubauen.

Externe juristische Unterstützung wird dort sinnvoll, wo die Ausgangslage komplex ist. Das sind typischerweise drei Situationen: Erstens, wenn ein Unternehmen erstmalig ein belastbares Schulungskonzept aufbaut und dabei die Schnittstellen zur KI-Verordnung, zur NIS2-Richtlinie oder zu branchenspezifischen Regelwerken einbauen muss. Zweitens, wenn eine Behördenanfrage oder ein Prüfverfahren ansteht und das bestehende Konzept rechtlich robust überarbeitet werden soll. Drittens, wenn ein konkreter Datenschutzvorfall eine strukturierte Nachschulung und eine Dokumentation der Korrekturmaßnahmen erfordert.

In diesen Situationen begleiten wir Unternehmen bei der Konzeption, prüfen bestehende Unterlagen auf Belastbarkeit und stellen die Verbindung zwischen Schulungsprogramm und den übrigen organisatorischen Maßnahmen wie Auftragsverarbeitungsverträgen, Datenschutz-Audits und der DSGVO-Compliance insgesamt her. Eine ausführliche Beratung rund um Schulungs- und Sensibilisierungskonzepte bietet die Kanzlei auch im Rahmen der Beratung im Datenschutzrecht.

Fazit

Die Mitarbeiterschulung ist der zentrale Nachweis dafür, dass ein Unternehmen seine Datenschutzpflichten ernst nimmt. Ohne dokumentierte, regelmäßige und rollenspezifisch differenzierte Schulung verliert jede Verteidigung im Bußgeldverfahren ihre Grundlage. Mit einem sauber aufgebauten Konzept, einer belastbaren Dokumentation und einer integrierten Antwort auf die neuen Schulungspflichten aus Cybersicherheit und KI-Einsatz lässt sich das Risiko deutlich senken und die Position gegenüber Aufsichtsbehörden messbar verbessern.

Die Anforderungen sind in den vergangenen drei Jahren konkreter geworden, aber sie sind nicht unerfüllbar. Der größte Hebel liegt im schriftlichen Schulungskonzept und in der konsequenten Dokumentation. Wer frühzeitig beide Bausteine aufstellt, vermeidet nicht nur typische Fehler, sondern schafft eine strukturelle Grundlage, die mit dem Unternehmen mitwächst und bei der nächsten Rechtsänderung nicht komplett neu gebaut werden muss.