Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenschutz-Organisation · Beschäftigtendatenschutz · DSGVO Art. 32, 39

Schulungspflicht Mitarbeitende

Datenschutz-Schulungen sind keine direkte DSGVO-Pflicht, aber sie sind über zwei Wege fest verankert: als technisch-organisatorische Maßnahme nach Art. 32 und als Pflicht des DSB nach Art. 39 Abs. 1 lit. b („Sensibilisierung und Schulung der an der Verarbeitung beteiligten Mitarbeiter”).

Wer muss geschult werden?

  • Alle Mitarbeitenden mit Zugang zu personenbezogenen Daten — das sind in einem typischen Büro praktisch alle.
  • Auch befristete Beschäftigte, Praktikanten, Werkstudenten — sobald sie Zugang haben.
  • Externe Dienstleister mit dauerhaftem Vor-Ort-Zugang (Reinigung, IT-Service) — kürzer, aber dokumentiert.
  • Geschäftsführung — gerade weil sie nicht ausgenommen sein darf.

Häufigkeit

  • Erstschulung bei Eintritt — Bestandteil des Onboardings, vor erster Datenverarbeitung.
  • Auffrischung mindestens alle 24 Monate — Aufsichtsempfehlung, in einigen Branchen (Gesundheit, Finanz) jährlich.
  • Anlassschulung bei: neuem System, Datenpanne, Regulationsänderung.

Mindestinhalt der Grundschulung

  • Grundbegriffe: personenbezogene Daten, besondere Kategorien, Verantwortlicher, Auftragsverarbeiter.
  • Rechtsgrundlagen (Art. 6/9 DSGVO) und das Konzept der Zweckbindung.
  • Betroffenenrechte — was tun, wenn ein Antrag eingeht.
  • Datenpannen — Erkennen und Melden (intern an wen, wie schnell).
  • Phishing und Social Engineering — Praxisbeispiele.
  • Sicherer Umgang mit mobilen Geräten, Druckern, USB-Sticks.
  • Externe Dienstleister — was darf in welche Cloud, was nicht.
  • Kontaktwege zum DSB.

Format

  • Präsenz (besser zur Sensibilisierung, aber teurer).
  • E-Learning (skaliert, gut dokumentierbar, weniger nachhaltig).
  • Hybrid (jährlich kurzes E-Learning + alle 2 Jahre Präsenz-Workshop).

Nachweis im Audit

  • Teilnehmerliste mit Datum, Inhalt, Trainer/in.
  • Bestätigung der Teilnehmenden (Unterschrift oder digitales Ack).
  • Test/Quiz als Wirkungsnachweis (typisch: 8-10 Multiple-Choice-Fragen, Bestehensgrenze 80 %).
  • Aufbewahrung: solange das Beschäftigungsverhältnis besteht + 3 Jahre.

Awareness ergänzend

Schulungen allein wirken nicht — Awareness-Kampagnen ergänzen:

  • Phishing-Simulation alle 3-6 Monate.
  • Newsletter mit aktuellen Vorfällen aus der Branche.
  • Plakate / Bildschirmschoner mit kurzen Hinweisen.

Häufige Fehler

  • Schulung als einmaliges Onboarding-Modul, danach nie wieder.
  • Keine Schulung der Geschäftsführung — wird im Audit explizit geprüft.
  • Schulung ohne Wirkungsnachweis (kein Test, keine Bestätigung).
  • Schulung in der Allzweckschulung (z.B. zusammen mit Arbeitsschutz in 20 Minuten) — Aufsicht erwartet eigenständigen Datenschutz-Block.

Wenn wir DSB sind

Wir liefern eine FS/CS-Standardschulung (Online, 45 Min, mit Test) und führen den jährlichen Präsenz-Workshop für die Geschäftsführung und Schlüsselfunktionen durch. Teilnehmernachweise landen automatisch im Tätigkeitsnachweis.

Quelle: FS/CS GmbH