Compliance-Schulung für Mitarbeiter: jährliche Pflicht, Online-Umsetzung und rechtssicherer Nachweis

§ 130 Abs. 1 OWiG verpflichtet die Unternehmensleitung, die erforderlichen Aufsichtsmaßnahmen zu treffen, um betriebsbezogene Verstöße zu verhindern. Die Rechtsprechung des Bundesgerichtshofs und die Bußgeldpraxis der deutschen Aufsichtsbehörden haben dabei klargestellt: Mitarbeiterschulungen sind ein zentrales Element dieser Aufsichtspflicht. Wer keine Schulungsnachweise führt oder Mitarbeiter in relevanten Compliance-Bereichen nicht nachweisbar unterwiesen hat, kann die Aufsichtspflicht im Schadensfall nicht belegen und riskiert Bußgelder bis zu einer Million Euro nach § 130 Abs. 3 OWiG. Hinzu kommt die explizite Schulungspflicht nach Art. 39 Abs. 1 lit. b DSGVO für den Datenschutzbeauftragten und nach § 6 Abs. 2 GwG für den Geldwäschebeauftragten.

Dieser Artikel erklärt, welche gesetzlichen Anforderungen an Compliance-Schulungen gestellt werden, welche Schulungsthemen verpflichtend sind, wie Online-Schulungen rechtskonform umgesetzt und dokumentiert werden und wann jährliche Schulungszyklen den behördlichen Anforderungen genügen. Konkrete Ableitungen für die Praxis, damit Ihr Schulungssystem bei der nächsten behördlichen Prüfung standhält und keine vermeidbaren Schwachstellen aufweist.

Die Pflicht zur Compliance-Schulung ergibt sich aus dem Zusammenspiel mehrerer Rechtsquellen. § 130 Abs. 1 OWiG normiert die Aufsichtspflicht des Unternehmensträgers: Zu den erforderlichen Aufsichtsmaßnahmen gehören nach allgemeiner Rechtsauffassung auch Information und Schulung der Mitarbeiter über relevante Compliance-Anforderungen. Fehlen Schulungsnachweise und kommt es zu einem Verstoß, ist das fehlende Schulungsnachweis ein belastbares Indiz für mangelhafte Aufsicht im Sinne des § 130 OWiG, das im Bußgeldverfahren gegen das Unternehmen verwendet werden kann.

Art. 39 Abs. 1 lit. b DSGVO verpflichtet den Datenschutzbeauftragten ausdrücklich zur Sensibilisierung und Schulung der mit Verarbeitungsvorgängen befassten Mitarbeiter und der einschlägigen Mitarbeiter. Für Datenschutzschulungen ist die Pflicht damit explizit gesetzlich verankert. Ähnliche Pflichten bestehen für andere Beauftragtenrollen: Der Geldwäschebeauftragte nach § 7 GwG hat gemäß § 6 Abs. 2 GwG dafür zu sorgen, dass Mitarbeiter in geldwäscherelevanten Bereichen über ihre Pflichten unterwiesen werden; Arbeitgeber müssen Mitarbeiter nach § 12 ArbSchG über Sicherheit und Gesundheitsschutz am Arbeitsplatz unterweisen.

IDW PS 980 nennt das Compliance-Programm als eines der sieben Grundelemente eines wirksamen Compliance-Management-Systems, wobei Schulungsmaßnahmen explizit als Bestandteil des Programms aufgeführt werden. Wirtschaftsprüfer, die nach IDW PS 980 prüfen, fordern Schulungsdokumentation als Nachweis der Programmwirksamkeit. Der Compliance-Beauftragte ist in der Praxis für die Koordination und Dokumentation der Schulungen verantwortlich und stellt sicher, dass die Schulungsmatrix aktuell ist.

Nicht alle Compliance-Schulungsthemen sind gleich gewichtig. Die folgende Übersicht listet die Themen mit der höchsten gesetzlichen oder regulatorischen Verankerung und dem größten Sanktionsrisiko bei fehlender Schulung:

• Datenschutz (Art. 39 Abs. 1 lit. b DSGVO): Pflichtschulung für alle Mitarbeiter, die personenbezogene Daten verarbeiten. Empfohlen werden rollenspezifische Schulungen, nicht nur eine jährliche allgemeine Unterweisung. Bußgeldrisiko bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.
• Geldwäscheprävention (§ 6 Abs. 2 GwG): Pflichtschulung für Mitarbeiter in geldwäscherelevanten Tätigkeiten, mindestens jährlich oder anlassbezogen. Gilt für alle Verpflichteten nach § 2 GwG.
• Arbeitssicherheit (§ 12 ArbSchG): Pflichtunterweisung bei Einstellung, bei Änderung des Aufgabenbereichs und bei Einführung neuer Arbeitsmittel. Muss schriftlich dokumentiert werden.
• Antikorruption und Kartellrecht: Empfohlen durch IDW PS 980 und BaFin-Rundschreiben; in regulierten Branchen und bei Unternehmen mit öffentlichen Aufträgen faktisch Pflicht.
• Hinweisgeberschutz (§ 7 HinSchG): Mitarbeiter müssen über die interne Meldestelle und den Schutz vor Repressalien informiert werden. Fehlt diese Information, gefährdet das die Wirksamkeit der Meldestelle.
• IT-Sicherheit (ISO/IEC 27001:2022 A.6.3): Kontrolle A.6.3 schreibt Security-Awareness-Training für alle Mitarbeiter und relevanten Auftragnehmer vor. Pflichtbestandteil jedes ISMS-Audits.

Die Anforderungen variieren nach Branche und Unternehmensgröße. Der gemeinsame Nenner ist die Aufsichtspflicht nach § 130 OWiG: Ohne Schulungsnachweis lässt sich im Schadensfall keine ausreichende Aufsicht belegen.

Der jährliche Schulungsrhythmus ist für die meisten Compliance-Themen der anerkannte Mindeststandard in der deutschen Aufsichtspraxis. Die Datenschutzkonferenz (DSK) empfiehlt für Datenschutzschulungen eine mindestens jährliche Wiederholung für alle Mitarbeiter mit Zugang zu personenbezogenen Daten. Für Geldwäscheschulungen nach § 6 GwG ist eine jährliche Pflichtschulung für Mitarbeiter in relevanten Positionen branchenüblich und von der BaFin als ausreichend akzeptiert, sofern keine wesentlichen gesetzlichen Änderungen eingetreten sind.

Jährliche Schulungen reichen jedoch nicht aus, wenn ein Mitarbeiter eine neue Position mit anderen Compliance-Risiken übernimmt, wenn neue gesetzliche Anforderungen in Kraft treten, wenn ein sicherheitsrelevanter Vorfall eingetreten ist der eine anlassbezogene Nachschulung erfordert, oder wenn ein Mitarbeiter neu eingestellt wird und die Jahresschulung noch bevorsteht. Für neue Mitarbeiter muss eine Erstunterweisung im Einarbeitungsprogramm verankert sein, die nicht auf den nächsten jährlichen Schulungsdurchgang warten darf. Diese Erstunterweisung ist separat zu dokumentieren.

In der Praxis empfiehlt sich ein Schulungskalender, der feste Jahresschulungen mit anlassbezogenen Elementen kombiniert. Der Compliance-Beauftragte pflegt diesen Kalender, dokumentiert Abweichungen und Ausnahmen mit schriftlicher Begründung und stellt sicher, dass der Schulungsstatus jedes Mitarbeiters nach Name, Thema und Datum jederzeit abrufbar und auswertbar ist. Fehlt ein solcher Kalender, kann die Aufsichtsbehörde im Prüfungsgespräch sofort feststellen, ob das Schulungssystem strukturiert oder improvisiert ist, und das wirkt sich auf den Bußgeldbescheid aus.

Online-Schulungen sind für Compliance-Zwecke rechtlich zulässig und werden von deutschen Aufsichtsbehörden grundsätzlich akzeptiert, sofern die Teilnahme nachweisbar dokumentiert ist und die Schulung inhaltlich die gesetzlichen Anforderungen erfüllt. Präsenzschulungen sind nicht verpflichtend, können aber für bestimmte Schulungsthemen wie praktische Arbeitssicherheitsunterweisungen oder Brandschutzbegehungen sinnvoll ergänzt werden. Entscheidend ist nicht das Format der Schulung, sondern die Qualität der Dokumentation.

Aus technischer Sicht muss eine rechtskonforme Online-Compliance-Schulung folgende Elemente aufweisen: Erstens eine persönliche Anmeldung, damit die Schulung einem identifizierbaren Mitarbeiter zugeordnet ist; anonyme Teilnahme ist für Nachweiszwecke ungeeignet. Zweitens einen abschließenden Wissenstest, der sicherstellt, dass der Inhalt aufgenommen wurde und der die nachweisbare Wirksamkeit der Schulung im Sinne von IDW PS 980 belegt. Drittens ein automatisch generiertes Zertifikat mit Datum, Inhalt, Testergebnis und Angabe des Schulungsmoduls als primäres Nachweisinstrument. Viertens ein zentrales Reporting-System, das eine aggregierte Auswertung ermöglicht: Welche Mitarbeiter haben welche Schulungen absolviert, welche stehen noch aus, welche wurden eskaliert? Fünftens eine revisionssichere Archivierung der Schulungsnachweise für mindestens fünf Jahre, damit auch nach Ausscheiden eines Mitarbeiters der Nachweis seiner Schulung erbracht werden kann.

Der CIVAC-Workspace enthält integrierte Schulungsmodule für Compliance-Beauftragte mit Test, Zertifikat und strukturierter Teilnehmerdokumentation, die in das zentrale Compliance-Evidenzarchiv eingebunden sind und jederzeit als PDF oder CSV exportiert werden können. Eine revisionssichere Archivierung gewährleistet darüber hinaus, dass auch nach Ausscheiden eines Mitarbeiters der lückenlose Schulungsnachweis für die Aufsichtsbehörde rekonstruiert werden kann. Fehlende Nachweise für ausgeschiedene Mitarbeiter sind ein häufiges Problem bei Behördenprüfungen.

Ein häufiger Fehler in der Schulungspraxis ist die Verwendung eines einzigen allgemeinen Compliance-Trainings für alle Mitarbeiter, unabhängig von deren Funktion und Risikoprofil. Aufsichtsbehörden und Wirtschaftsprüfer bewerten rollenspezifische Schulungen als wirksamer und damit als stärkeren Beleg für die Einhaltung der Aufsichtspflicht nach § 130 OWiG. Ein generisches Modul kann als ergänzende Basisschulung dienen, ersetzt aber keine rollenspezifischen Inhalte und keine auf die konkrete Funktion zugeschnittene Risikoaufklärung.

Rollenspezifische Schulungen differenzieren nach dem Risikoprofil der Funktion: Ein Mitarbeiter im Vertrieb benötigt Schulungen zu Antikorruption, Interessenkonflikten und Kartellrecht, da er direkten Kundenkontakt und Verhandlungsspielraum hat. Ein Mitarbeiter in der Buchhaltung benötigt Schulungen zu Geldwäscheprävention und Betrugsverhinderung. Ein IT-Mitarbeiter benötigt Security-Awareness-Training nach ISO 27001:2022 A.6.3 und DSGVO-Schulungen für Systemzugriffe auf personenbezogene Daten. Eine Führungskraft benötigt Schulungen zur Vorgesetztenhaftung, zu Berichtspflichten nach § 130 OWiG und zum korrekten Umgang mit Hinweisen auf Verstöße über das Hinweisgebersystem.

Die Datenschutzkonferenz empfiehlt für Art.-39-DSGVO-Schulungen explizit, den Schulungsinhalt an die konkrete Verarbeitungstätigkeit der Mitarbeitergruppe anzupassen. Generische E-Learning-Module erfüllen diese Anforderung nur, wenn sie durch rollenspezifische Ergänzungen abgerundet werden. Der Datenschutzbeauftragte und der Compliance-Beauftragte legen gemeinsam die Schulungsmatrix fest, die Themen, Zielgruppen und Schulungsrhythmen für jede Mitarbeiterkategorie im Unternehmen verbindlich definiert und jährlich aktualisiert wird. Unternehmen, die diese Schulungsmatrix jährlich aktualisieren und der Geschäftsleitung zur Freigabe vorlegen, schaffen damit gleichzeitig einen belastbaren Nachweis für die Wirksamkeit ihres CMS im Sinne von IDW PS 980.

Im Prüfungsfall fragen Aufsichtsbehörden nach konkreten Belegen, nicht nach Beschreibungen. Die entscheidende Prüfungsfrage lautet nicht „Schulen Sie Ihre Mitarbeiter?“, sondern „Zeigen Sie mir die Schulungsnachweise der letzten drei Jahre für die Mitarbeiter in Risikoposition X.“ Die Dokumentation ist der einzige Unterschied zwischen einem nachgewiesenen Compliance-System und einer nicht belegbaren Behauptung, und dieser Unterschied entscheidet über den Bußgeldbescheid.

Belastbare Schulungsdokumentation umfasst für jeden Schulungsdurchgang: den vollständigen Namen und die Mitarbeiter-ID des Teilnehmers, das genaue Datum und die Dauer der Schulung, Thema und Versionsstand des Schulungsmoduls (Inhalte ändern sich mit Gesetzesänderungen), das Testergebnis (Bestanden/Nicht bestanden, ggf. Punktzahl) sowie das ausgestellte Zertifikat mit Datum und Signatur. Bei verpflichtenden Richtlinien sollte zusätzlich eine Unterschrift oder digitale Bestätigung der Kenntnisnahme erfasst werden.

Für Datenschutzschulungen ist außerdem zu dokumentieren, welche DSGVO-Inhalte vermittelt wurden, da die Schulungsdokumentation Teil der Nachweispflicht nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) ist. Alle Schulungsnachweise sollten in einem zentralen System zugänglich und als PDF oder CSV exportierbar sein. Verteilt in E-Mail-Anhängen oder unterschiedlichen Ordnern abgelegte Zertifikate sind im Prüfungsfall keine belastbare Evidenz und erzeugen im Prüfungsgespräch sofort einen schlechten Eindruck, der das gesamte Compliance-System in Frage stellt und den Beweiswert aller anderen Dokumente schwächt. Eine lückenlose, zentral verwaltete Schulungsevidenz ist daher nicht nur eine organisatorische Erleichterung, sondern eine rechtliche Notwendigkeit, die direkt über die Höhe einer verhängten Geldbuße mitentscheidet.

ISO/IEC 27001:2022 enthält in Kontrolle A.6.3 (Security Awareness, Education and Training) die explizite Anforderung, dass alle Mitarbeiter und relevante Auftragnehmer angemessene Security-Awareness-Schulungen und -Trainings erhalten, die auf ihre jeweilige Funktion im Unternehmen ausgerichtet sind. Diese Anforderung gehört zu den 93 Controls der ISO 27001:2022 und ist Pflichtbestandteil jedes ISMS-Audits durch akkreditierte Zertifizierungsstellen. Sie wurde in der überarbeiteten Norm von 2022 gegenüber dem Vorgänger von 2013 explizit gestärkt.

Für Unternehmen, die eine ISO-27001-Zertifizierung anstreben oder bereits zertifiziert sind, ist der Nachweis der A.6.3-konformen Schulung ein Audit-Pflichtpunkt. Das bedeutet konkret: Der Zertifizierungsauditor prüft, ob Schulungen stattgefunden haben, wer geschult wurde, welche Themen abgedeckt wurden und wie dies dokumentiert ist. Eine lückenhafte Dokumentation führt zu Abweichungen im Audit, die die Zertifizierung gefährden und erheblichen Nachbesserungsaufwand verursachen.

Typische Inhalte einer ISO-konformen Security-Awareness-Schulung umfassen Phishing-Erkennung und sicherer Umgang mit verdächtigen E-Mails, sichere Passwort- und Authentifizierungspraxis insbesondere für privilegierte Zugriffe, sicherer Umgang mit mobilen Geräten und Wechseldatenträgern, die korrekte Meldung von Sicherheitsvorfällen und verdächtigen Aktivitäten sowie die Grundsätze des unternehmenseigenen ISMS. Die Schulung muss nachweislich mindestens jährlich stattfinden und bei relevanten Änderungen, etwa nach Einführung neuer IT-Systeme oder nach Sicherheitsvorfällen, ergänzt werden. Die Dokumentation nach ISO 27001:2022 muss mit dem allgemeinen Compliance-Schulungsnachweis synchronisiert werden, um ein einheitliches Evidenzarchiv zu schaffen und Doppeldokumentation zu vermeiden.

Aus der Praxis der Compliance-Prüfungen, DSGVO-Audits und ISO-27001-Zertifizierungen lassen sich fünf besonders häufige Fehler in der Schulungspraxis identifizieren, die in der Prüfung regelmäßig zu Beanstandungen und im Ernstfall zu verschlechterten Bußgeldbescheiden führen:

1. Keine Dokumentation der Teilnahme: Schulungen finden statt, aber die Nachweise sind nicht archiviert oder nicht auffindbar. Im Prüfungsfall zählt ausschließlich, was belegt werden kann. Mündliche Schilderungen überzeugen keine Aufsichtsbehörde und keinen Wirtschaftsprüfer nach IDW PS 980.
2. Veraltete Schulungsinhalte: Module, die nach dem Stand von 2018 oder 2020 erstellt wurden, decken aktuelle Anforderungen des EDSA-Leitlinienwerks, des reformierten TTDSG oder der ISO 27001:2022 nicht ab. Module müssen mindestens jährlich auf Aktualität geprüft und bei Bedarf aktualisiert werden.
3. Einheitlicher Schulungsinhalt für alle Mitarbeiter: Ein generisches Modul für alle Mitarbeiter erfüllt die Anforderungen an rollenspezifische Schulungen nicht und wird von Wirtschaftsprüfern als eingeschränkt wirksam bewertet.
4. Fehlende Abschlusstests: Schulungen ohne Wissenstest erbringen nur den Nachweis der Teilnahme, nicht des Lernfortschritts. Aufsichtsbehörden werten das als strukturellen Qualitätsmangel, der die Wirksamkeitsbewertung des CMS insgesamt belastet.
5. Kein Eskalationsverfahren bei nicht absolvierten Schulungen: Wenn ein Mitarbeiter die Pflichtschulung nicht absolviert, muss ein dokumentierter Eskalationsweg existieren. Ohne Eskalation und ohne Folgemaßnahme ist das Schulungssystem in seiner Wirksamkeit strukturell eingeschränkt.

Ein strukturierter Schulungsprozess mit automatischen Erinnerungen, definierten Eskalationspfaden und zentraler revisionssicherer Archivierung schließt diese Lücken systematisch und nachweisbar.

Compliance-Schulungen sind kein jährliches Lästnis, sondern ein messbares Instrument zur Risikoreduzierung. Unternehmen, die Schulungsnachweise lückenlos führen, können im Bußgeldverfahren nach § 130 OWiG Aufsichtssorgfalt belegen und damit die verhängte Geldbuße deutlich reduzieren oder im besten Fall vollständig vermeiden. Unternehmen ohne Schulungsnachweise können das nicht, und dieser Unterschied schlägt sich direkt in der Höhe des Bußgelds nieder.

Ein strukturierter Schulungsprozess umfasst vier Kernelemente: eine Schulungsmatrix, die Themen, Zielgruppen und Rhythmen für jede Mitarbeiterkategorie verbindlich definiert; ein Online-Schulungssystem mit persönlicher Anmeldung, Wissenstest und automatisch generiertem Zertifikat; eine zentrale Compliance-Evidenzbasis, in der Schulungsnachweise mit anderen Compliance-Belegen wie Bestellurkunden, Audit-Berichten und Richtlinien-Quittierungen zusammengeführt werden; und einen jährlichen Schulungskalender mit anlassbezogenen Ergänzungen bei Stellenwechseln, Gesetzesänderungen oder Sicherheitsvorfällen. Audit-fest, dokumentiert, § 130-OWiG-fest.

CIVAC bündelt diese Elemente als Compliance-Plattform und Officer-as-a-Service. Der CIVAC-Workspace enthält integrierte Schulungsmodule mit Test, Zertifikat und Teilnehmerdokumentation für alle 25 Beauftragten-Rollen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Der externe Compliance-Beauftragte von CIVAC koordiniert, dokumentiert und eskaliert Schulungsrückstände, damit Ihre Schulungsmatrix lückenlos ist, wenn der Prüfer anruft. Wenn Sie Ihre Schulungsdokumentation auf einen prüfungsfesten Stand bringen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen. Wer heute mit dem Aufbau einer strukturierten Schulungsdokumentation beginnt, investiert in Rechtssicherheit, nicht in bürokratischen Aufwand.