Ratgeber · 28. Mai 2026
Mitarbeiter-Datenschutz-Schulung: Pflicht-Inhalte, Häufigkeit, Doku
Wie schule ich meine Mitarbeiter rechtssicher? Pflicht-Inhalte, Frequenz, Dokumentation und was eine effektive 60-Minuten-Schulung leisten muss.
Mitarbeiter-Schulung ist die DSGVO-Pflicht, die am häufigsten halbherzig erfüllt wird. “Wir reden ab und zu drüber” reicht nicht — die Aufsicht erwartet dokumentierte, regelmäßige Schulungen mit nachweisbarem Lernerfolg. Wer einmal eine Datenpanne meldet, wird mit hoher Wahrscheinlichkeit auch nach der Schulungs-Doku gefragt. Wenn sie fehlt oder lückenhaft ist, erhöht das Bußgeld in der Aufsichtspraxis um den Faktor 1,5 bis 3.
Wo die Pflicht zur Schulung steht
Die DSGVO formuliert keine eigene Schulungs-Pflicht. Sie ergibt sich indirekt aus mehreren Vorschriften:
- Art. 24 DSGVO: Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen — Schulung ist die zentrale organisatorische Maßnahme.
- Art. 32 DSGVO: Die Datensicherheit ist sicherzustellen, was Mitarbeiter-Awareness voraussetzt.
- Art. 39 Abs. 1 lit. b DSGVO: Der DSB hat die Mitarbeiter zu sensibilisieren und zu schulen.
- § 53 BDSG: Verpflichtung auf das Datengeheimnis bei Aufnahme der Tätigkeit.
Aus der Praxis der deutschen Aufsichten ergibt sich: Schulungen sind mindestens einmal pro Jahr durchzuführen, dokumentiert und mit Lernerfolgsprüfung.
Pflicht-Inhalte einer Datenschutz-Schulung
Eine wirksame Schulung deckt sechs Themenblöcke ab. Wir verteilen sie typischerweise auf 60 Minuten:
1. Grundbegriffe DSGVO (10 Min.)
Was sind personenbezogene Daten? Was bedeutet “Verarbeitung”? Warum ist der Datenschutz ein Grundrecht? Was unterscheidet Datenschutz von Datensicherheit?
2. Die sechs DSGVO-Grundsätze (10 Min.)
Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Mit jeweils einem Praxisbeispiel aus der Branche der Teilnehmer.
3. Rechte der Betroffenen (10 Min.)
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Vor allem: Was tun, wenn ein Kunde anruft und Auskunft will? An wen leite ich weiter? Mehr unter Betroffenenrechte.
4. Konkrete Praxis-Fälle (15 Min.)
Hier kommt der eigentliche Lerneffekt. Beispiele aus dem Alltag: Was tue ich mit einer falsch zugestellten Mail? Wie reagiere ich auf eine WhatsApp-Anfrage eines Kunden? Wer darf in die Personalakte? Was geht in den Drucker und was nicht? Wie geht der Bildschirm beim Aufstehen aus?
5. Datenpannen erkennen und melden (10 Min.)
Was ist eine Datenpanne — und was nur ein Ärgernis? Welche Schritte sind in den ersten 24 Stunden zu tun? An wen wird gemeldet? Die Schulung muss klarstellen, dass jeder Mitarbeiter eine Datenpanne sofort intern eskalieren muss.
6. Verhaltensregeln im konkreten Betrieb (5 Min.)
Hier wird die Schulung individuell. Was darf bei uns nicht per WhatsApp gehen? Welche Cloud-Tools sind freigegeben? Wer bekommt USB-Sticks? Wie ist die Clean-Desk-Regel?
Häufigkeit und Anlässe
Die Aufsichten erwarten:
- Erstschulung bei Eintritt jedes neuen Mitarbeiters — innerhalb der ersten 14 Tage.
- Auffrischung mindestens einmal pro Jahr für alle Mitarbeiter mit Datenkontakt.
- Anlass-Schulung nach einem Vorfall (Datenpanne, Cookie-Banner-Update, neue Cloud-Software, neuer Standort).
- Spezial-Schulung für besondere Gruppen — HR, IT, Vertrieb, Marketing — mit themen-spezifischen Vertiefungen.
In der Praxis fahren wir bei KMU-Mandanten ein 12-Monats-Rhythmus mit einer großen Schulung pro Jahr, ergänzt um eine Kurz-Auffrischung von 15 Minuten zur Halbjahresmitte. Onboarding-Schulungen für Neueinsteller werden in der Probezeit angesetzt.
Dokumentations-Anforderungen
Die Schulung allein zählt nicht — die Aufsicht verlangt Nachweise. Das Mindest-Set:
| Element | Inhalt |
|---|---|
| Teilnehmerliste | Name, Datum, Unterschrift jedes Teilnehmers |
| Schulungs-Agenda | Themen, Zeitplanung, Materialien |
| Lernerfolgs-Test | Kurzer Abschluss-Test mit 5–10 Fragen, ausgefüllt von jedem Teilnehmer |
| Schulungsleiter-Nachweis | Wer hat geschult, mit welcher Qualifikation? |
| Nachbereitung | Welche Fragen kamen auf, was wurde nachgereicht? |
Die Aufbewahrungspflicht für diese Doku beträgt nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) faktisch so lange, wie der Mitarbeiter beschäftigt ist plus drei Jahre. In der Praxis archivieren wir die Doku digital im DSB-Ordner mit klarer Versionierung.
E-Learning: Wann es funktioniert und wann nicht
Viele KMU greifen heute zu E-Learning-Plattformen — von BvD-Schulungen über kommerzielle Anbieter wie ELOPLAN oder Mimecast bis hin zu Eigen-Lösungen. Funktioniert das?
E-Learning ist erlaubt, wenn:
- Die Inhalte aktuell sind (DSGVO, TTDSG, branchenspezifische Anpassungen).
- Es einen nachweisbaren Lernerfolgs-Test gibt (nicht nur “durchklicken”).
- Die Doku automatisch generiert wird (Zertifikat, Zeitprotokoll, Fragenergebnisse).
E-Learning ersetzt aber nicht die anlass-bezogene Live-Schulung — z.B. nach einer Datenpanne oder bei Einführung neuer Software. Und es ersetzt nicht den Dialog mit dem DSB, der häufig die Halbjahres- und Jahres-Schulungen begleitet.
Schulungs-Lücken und Bußgeld-Risiko
Aus der Aufsichtspraxis 2023–2026 lassen sich klare Muster ablesen. Wenn nach einer Datenpanne die Schulungs-Doku fehlt oder nur lückenhaft existiert:
- Bußgeld-Aufschlag: typisch Faktor 1,5 bis 3 gegenüber dem Basis-Bußgeld.
- Maßnahmen-Anordnung: Die Aufsicht ordnet häufig eine Nach-Schulung mit Frist von 4–8 Wochen an.
- Nachprüfung: In schweren Fällen kommt eine Vor-Ort-Prüfung 6–12 Monate später.
Wer also einmal nicht schult, zahlt im Schadensfall mehr — und arbeitet trotzdem nach. Aus betriebswirtschaftlicher Sicht ist die Schulung der billigste Hebel zur Bußgeld-Reduktion. Mehr zu konkreten Bußgeldern unter DSGVO-Bußgelder 2026 und DSGVO-Strafe Kleinunternehmen.
Was eine 60-Minuten-Schulung leisten muss
In 60 Minuten realistisch erreichbar sind:
- Vermittlung der sechs DSGVO-Grundsätze mit Branchen-Beispielen
- Sensibilisierung für Datenpannen — wer meldet was an wen?
- 4 bis 6 konkrete Verhaltens-Regeln für den Berufsalltag
- Test mit 5 Fragen
- Raum für 3 bis 5 spezifische Mitarbeiter-Fragen
Nicht erreichbar in 60 Minuten: tiefe juristische Schulung zu Art. 6 Rechtsgrundlagen oder zu AVV-Strukturen. Das gehört in Spezial-Schulungen für HR und IT.
Spezial-Schulungen für besondere Gruppen
Eine allgemeine Grundschulung deckt die Basis ab, ersetzt aber nicht die Vertiefung für besonders exponierte Funktionen. Aus der Praxis sind das drei Gruppen, für die wir separate 60- bis 90-Minuten-Vertiefungen empfehlen:
HR und Personal: Bewerbungs-Management, Personalakten-Führung, Beschäftigtendatenschutz, Krankheitsdaten, Whistleblower-Hotline. Hier ist die Bußgeld-Anfälligkeit hoch — viele Beschwerden kommen von ehemaligen Mitarbeitern oder abgelehnten Bewerbern.
IT und Admin: TOMs in der Praxis, Backup-Konzept, Cloud-Auswahl, Drittland-Transfer, AVV-Beurteilung, Notfall-Reaktion bei Cyber-Vorfällen. Diese Gruppe trifft viele technische Entscheidungen, die später datenschutz-rechtlich bewertet werden.
Vertrieb und Marketing: Newsletter-Recht, Einwilligungs-Management, Tracking-Cookies, B2B vs. B2C Kommunikation, Bestandskunden-Werbung. Hier passieren die meisten Versehen — eine falsch versendete Newsletter-Kampagne kann ein fünfstelliges Bußgeld auslösen.
Die Vertiefungs-Schulungen brauchen nicht jährlich stattzufinden, alle 18 bis 24 Monate reichen. Wichtig: Sie kommen on top zur allgemeinen Jahres-Schulung, nicht statt dieser.
Was Schulungen typischerweise kosten
Wenn die Schulung als externer Termin gebucht wird (Vor-Ort oder online), sind das die typischen Festpreise:
- Standard-Schulung 60 Min., bis 20 Teilnehmer: 350–550 € netto
- Vertiefungs-Workshop 2 Stunden, bis 15 Teilnehmer: 600–900 € netto
- Branchen-Spezial (Arztpraxis, Steuerkanzlei, Werbeagentur): ab 700 € netto
Bei laufendem DSB-Mandat von Kowoll ist eine Schulung pro Jahr im Festpreis enthalten. Mehr unter Kostenmodelle, Preisbeispiele und Leistungen. Branchenspezifische Pakete für Handwerk, Arztpraxen, IT und Software sowie Produktion und Handel.
Was Sie konkret tun sollten
Wenn Sie nicht sicher sind, wann zuletzt geschult wurde und was dokumentiert ist, sind das die ersten drei Schritte:
- Status-Check: Wann war die letzte Schulung? Wer hat teilgenommen? Wo liegt die Doku? Wenn eine dieser Fragen nicht beantwortet werden kann, besteht akuter Handlungsbedarf.
- Schulungsplan für 12 Monate: Eine Haupt-Schulung, eine Auffrischung, Onboarding-Modus für Neueinsteller. Mit Terminen, Zielgruppen und Themen.
- Doku-Vorlagen: Teilnehmer-Liste, Test-Bogen, Schulungs-Zertifikat. Wir liefern fertige Vorlagen im DSB-Mandat.
Eine 60-Minuten-Schulung kann häufig schon im Erstgespräch organisiert werden. Anruf unter +49 7071 770371 oder Kontakt über das Kontaktformular. Wer den BAFA-Zuschuss nutzt, bekommt einen Teil der Schulungs-Beratung im Aufbau-Mandat erstattet — Details unter BAFA-Förderung.
Weiterlesen
- Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
- Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
- Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht? Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.