Zurück zu allen Artikeln

DSGVO-Schulung für Mitarbeiter erstellen — und Pflichten nachweisbar erfüllen

Die DSGVO schreibt Mitarbeiterschulungen nicht explizit vor, aber Art. 5 Abs. 2, Art. 24, Art. 32 Abs. 4 und Art. 39 Abs. 1 lit. b machen ein dokumentiertes Schulungsprogramm in der Praxis faktisch verpflichtend. Wie man einen Kurs baut, der belastbare Compliance-Nachweise erzeugt.

Nico SchrieverNico Schriever•23. Mai 2026
Themen:SchulungLokalisierungBest PracticesMehrsprachig

Die DSGVO enthält keinen eigenständigen Artikel, der lautet: „Sie müssen Ihre Mitarbeitenden schulen." Aber das ist auch nicht nötig. Art. 5 Abs. 2, Art. 24, Art. 32 Abs. 4 und Art. 39 Abs. 1 lit. b schaffen gemeinsam einen rechtlichen Rahmen, in dem eine Organisation, die nicht nachweisen kann, dass ihre Mitarbeitenden über datenschutzrechtliche Pflichten informiert sind, eine erhebliche Compliance-Lücke hat — insbesondere wenn eine Datenpanne eine Untersuchung auslöst.

Art. 5 Abs. 2 ist das Rechenschaftsprinzip: Der Verantwortliche muss die Einhaltung der Grundsätze aus Art. 5 Abs. 1 nachweisen können. Art. 24 verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen. Art. 32 Abs. 4 adressiert Schulungen direkt: Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen mit Zugang zu personenbezogenen Daten diese nur auf Anweisung des Verantwortlichen verarbeiten. Und Art. 39 Abs. 1 lit. b überträgt dem Datenschutzbeauftragten (DSB) die Aufgabe, die Compliance zu überwachen, einschließlich Schulungsaktivitäten.

Wie der DSGVO-Schulungsanforderungs-Leitfaden von DPO Consulting zusammenfasst, ist Mitarbeiterschulung im Regelungstext nicht explizit vorgeschrieben, aber implizit durchgehend enthalten — und in der Praxis behandeln Aufsichtsbehörden ihr Fehlen als Nachweis unzureichender organisatorischer Maßnahmen. Portale wie Exkulpa und Datenschutz-Praxis diskutieren diese Rechtslage ausführlich: faktische Pflicht, auch ohne explizite Norm.

Wer geschult werden muss

Schulung gilt für alle Mitarbeitenden, die personenbezogene Daten verarbeiten. In der Praxis ist das breiter als die meisten Organisationen annehmen:

  • Personalwesen: Mitarbeiterdatensätze, Lohndaten, Bewerbungsunterlagen, Leistungsbeurteilungen.
  • Marketing und Vertrieb: Kunden-E-Mail-Listen, CRM-Daten, Lead-Datensätze, Kontaktformulare.
  • IT und Systemadministration: Zugriffsprotokolle, Benutzerkontoverwaltung, Serverkonfigurationen, die personenbezogene Daten speichern.
  • Kundenservice: Bestelldaten, Support-Tickets, Kundenkontakthistorie.
  • Finanzwesen und Buchhaltung: Rechnungsdaten, Zahlungsunterlagen, die personenbezogene Informationen enthalten.

Eine vernünftige Ausgangslage: Jede Mitarbeiterin und jeder Mitarbeiter mit Zugang zu Systemen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern speichern, benötigt eine grundlegende DSGVO-Sensibilisierungsschulung.

Bußgelder nach Art. 83 DSGVO

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Mio. Euro oder 4 % des gesamten weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die Grundprinzipien der Verarbeitung, einschließlich des Rechenschaftsprinzips. Eine Datenpanne, die durch oder unter Mitwirkung eines menschlichen Fehlers entstand, und bei der die Organisation keine angemessene Schulung nachweisen kann, schafft erhebliches Risiko nach Art. 83 Abs. 2 lit. d: „der Grad der Verantwortung des Verantwortlichen".

Das ist kein abstraktes Risiko. Mehrere Durchsetzungsmaßnahmen in EU-Mitgliedstaaten haben unzureichende Mitarbeiterschulung explizit als erschwerenden Faktor in der Bußgeldberechnung angeführt.

Modulstruktur: Was abgedeckt werden muss

Ein DSGVO-Schulungskurs für Mitarbeitende sollte sechs Bereiche abdecken, mit nach Rolle variierender Tiefe:

1. Rechtliche Grundlagen

Was die DSGVO ist, warum es sie gibt und was die Grundsätze rechtmäßiger Verarbeitung in der Praxis bedeuten. Kein juristischer Vortrag — eine praktische Erklärung, warum die täglichen Handlungen von Mitarbeitenden relevant sind.

2. Grundsätze der Datenverarbeitung

Die sechs Grundsätze aus Art. 5 Abs. 1: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit. Mit Beispielen erklärt, die für die Tätigkeit der Mitarbeitenden relevant sind.

3. Pflichten der Mitarbeitenden

Wofür Mitarbeitende persönlich verantwortlich sind: Kundendaten auf sicheren Systemen handhaben, keine Zugangsdaten teilen, nur genehmigte Tools verwenden, keine personenbezogenen Daten auf privaten Geräten speichern, vermutete Vorfälle melden.

4. Betroffenenrechte

Welche Rechte natürliche Personen haben — Auskunft, Berichtigung, Löschung, Portabilität — und was eine Mitarbeiterin tun sollte, wenn eine Kundin oder ein Kollege eines dieser Rechte ausübt.

5. Reaktion auf Datenpannen

Wie eine mögliche Datenpanne erkannt wird, wer sofort zu benachrichtigen ist (DSB oder Datenschutzkontakt), und welche Informationen zu erfassen sind. Art. 33 DSGVO schreibt vor, die Aufsichtsbehörde innerhalb von 72 Stunden zu unterrichten.

6. Rollenspezifische Szenarien

Generische Schulung deckt das obige ab. Rollenspezifische Schulung ergänzt Szenarien, die für jede Funktion relevant sind: HR-Mitarbeiterinnen bearbeiten Auskunftsersuchen von ehemaligen Mitarbeitenden; Marketingmitarbeitende handhaben Einwilligungsmanagement und Opt-out-Verarbeitung; IT-Mitarbeitende verwalten Zugriffsberechtigungen und Protokollaufbewahrung.

Dokumentation und Zertifizierung

Das Rechenschaftsprinzip verlangt, dass die Organisation Compliance nachweisen kann. Für Schulungen bedeutet das:

  • Ein Abschlussnachweis pro Mitarbeiterin mit Zeitstempel und der Version des absolvierten Kurses.
  • Eine Mindestpunktzahl in der Bewertung — kein passives Durchscrollen.
  • Versionskontrolle, damit Prüfungsnachweise jeden Abschluss mit der spezifischen Kursversion verknüpfen.
  • Ein definierter Auffrischungszyklus — jährliche Rezertifizierung ist Standard, mit zusätzlicher Schulung nach jeder Datenpanne oder wesentlichen regulatorischen Änderung.

Proliances Dokumentation zu Mitarbeiterschulungen zeigt, wie ein systematischer Schulungsnachweis die Überwachungspflicht des DSB nach Art. 39 Abs. 1 lit. b DSGVO unterstützt: Wenn der DSB Compliance nachweisen muss, sollte er Abschlussnachweise aus der gesamten Organisation vorlegen können, nicht nur für IT-Mitarbeitende.

Mehrsprachige Auslieferung

Für Organisationen mit Mitarbeitenden in mehreren Ländern muss dieselbe Schulung in der jeweiligen Arbeitssprache jeder Person ausgeliefert werden. Eine Mitarbeiterin in Österreich, die ein DSGVO-Schulungsmodul auf Englisch absolviert, versteht die Pflichten möglicherweise nicht mit der Klarheit, die erforderlich ist, um ihr Verhalten tatsächlich zu ändern — was das eigentliche Ziel ist.

Die praktische Lösung ist ein einziges Quellmodul, das in alle erforderlichen Sprachen übersetzt wird, mit derselben Bewertung in jeder Variante. Das LMS verfolgt Abschlüsse nach Sprachvariante, und das Abschlusszertifikat dokumentiert die Sprache, in der die Schulung absolviert wurde.

Wo Skillsail passt

Skillsail ermöglicht es, einen DSGVO-Schulungskurs aus vorhandener Dokumentation zu erstellen — Datenschutzrichtlinie, Datenverarbeitungsrichtlinien, DSB-Hinweise — und daraus ein strukturiertes Kursmodul mit Folien, Quizfragen und Voiceover-Narration zu generieren. Dasselbe Modul wird in allen benötigten Sprachen exportiert: Deutsch, Englisch, Spanisch, Französisch, Polnisch — was auch immer die Belegschaft benötigt.

Export als SCORM 1.2 oder SCORM 2004 für den LMS-Import. Das LMS erstellt ein Abschlusszertifikat pro Lernenden; der DSB hat einen dokumentierten, prüfbaren Nachweis, wer welche Version der Schulung, in welcher Sprache, an welchem Datum abgeschlossen hat.

Einen DSGVO-Schulungskurs zu erstellen ist nicht die schwierigste Compliance-Aufgabe einer Organisation. Ihn aber zu überspringen — oder ihn als Häkchen zu behandeln statt als echten dokumentierten Bewusstseinsaufbau — schafft eine Lücke, von der Aufsichtsbehörden gezeigt haben, dass sie sie bemerken.

KI-Kursersteller

Bereit zum Erstellen?

Bitten Sie Skillsail,

Ähnliche Artikel

Compliance-Schulung in mehreren Sprachen: ein praktisches Playbook

Compliance-Schulungen müssen verstanden werden, um rechtlich belastbar zu sein — und Verstehen setzt muttersprachliche Auslieferung voraus. Dieses Playbook behandelt DSGVO, Anti-Bestechung, Geldwäscheprävention und Arbeitssicherheitsschulungen in mehreren Sprachen, einschließlich des Aktualisierungszyklus-Problems.

Mehrsprachige Schulungen: Best Practices für globale Teams

Mehrsprachige Schulungen: Best Practices für globale Teams

Lernen Sie die wesentlichen Strategien für die Erstellung effektiver mehrsprachiger Schulungsprogramme kennen, die Lernende über Kulturen und Sprachen hinweg ansprechen.

Phishing-Awareness-Schulung erstellen: ein Kurs, der wirklich wirkt

Eine praktische Anleitung für eine Phishing-Awareness-Schulung, die die Klickraten tatsächlich senkt — auf Basis der NIST-Empfehlungen, moderner Simulationspraxis und mit konkreten Inhalten für ein internes E-Learning-Modul.

Zurück zu allen Artikeln
SkillsailSkillsail
  • Enterprise
  • Preise
AnmeldenKostenlos starten

KI-Kursersteller

Bereit zum Erstellen?

Bitten Sie Skillsail,

Plattform

  • Funktionen
  • Vorlagen
  • Preise
  • Enterprise

Anwendungsfälle

  • Mitarbeiter-Onboarding-Schulung
  • Alle Lösungen ansehen
  • Automobilindustrie
  • Gesundheitswesen
  • Einzelhandel
  • Alle Branchen ansehen

Ressourcen

  • Dokumentation
  • FAQ
  • SCORM-Validator
  • SCORM-Player
  • Aenderungsprotokoll
  • Blog

Unternehmen

  • Über uns
  • Termin vereinbaren
  • Kontakt
  • Klimaengagement

Rechtliches

  • Datenschutzerklärung
  • Auftragsverarbeiter
  • Auftragsverarbeitungsvertrag
  • AGB
  • Credits und Nutzung
  • Impressum

© 2026 Skillsail GmbH, Alle Rechte vorbehalten

  • LinkedIn
  • X
  • YouTube