Compliance-Schulungen automatisieren: E-Learning, Nachweise und Berichtslinie im Mittelstand

Die Schulungspflicht des Verantwortlichen folgt aus mehreren Vorschriften gleichzeitig. Art. 39 Abs. 1 Buchst. b DSGVO verpflichtet den Datenschutzbeauftragten zur Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter. § 4 Abs. 3 HinSchG verlangt die Information aller Beschäftigten über die interne Meldestelle. Anhang A.6.3 ISO/IEC 27001:2022 fordert ein dokumentiertes Sicherheitsbewusstsein. Das NIS2UmsuCG erweitert diese Pflicht 2026 auf etwa 29.500 Unternehmen in Deutschland. Wer die Schulungsnachweise weiter in Excel-Listen führt, erzeugt einen strukturellen Befund bei der nächsten Aufsicht, denn die Listen lassen sich weder versionieren noch kryptographisch absichern und überleben einen Personalwechsel im Compliance-Team selten.

Dieser Beitrag zeigt, wie sich Compliance-Schulungen über alle relevanten Rollen automatisieren lassen. Sie erfahren, welche gesetzlichen Mindestintervalle gelten, wie ein E-Learning-Modul mit der Berichtslinie und dem Verzeichnis von Verarbeitungstätigkeiten verbunden wird, welche Inhalte für welche Rollen verbindlich sind und wie die Geschäftsleitung im Auditfall innerhalb von zwei Stunden den vollständigen Schulungsstand vorweist. CIVAC führt diese Funktionen als Compliance-Plattform und Officer-as-a-Service in einem Workspace zusammen, der die 25 Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022 und 490 Audit-Vorlagen bereits enthält und die Schulungsobjekte mit der Bestellurkunde des jeweiligen Beauftragten verknüpft.

Der Pflichtenkatalog ist umfangreich und nicht zentral geregelt. Art. 39 Abs. 1 Buchst. b DSGVO verlangt die Sensibilisierung und Schulung des Personals zu allen Verarbeitungsvorgängen. § 4 Abs. 3 HinSchG fordert die nachweisbare Information über die interne Meldestelle. Anhang A.6.3 ISO/IEC 27001:2022 verlangt ein dokumentiertes Awareness-Programm, dessen Wirksamkeit nach § 9.1 ISO/IEC 27001:2022 gemessen wird. § 12 Abs. 1 ArbSchG verpflichtet zur Unterweisung in Arbeitsschutz, die Gefahrstoffverordnung verlangt jährliche Unterweisungen für Tätigkeiten mit Gefahrstoffen, die Gefahrgutbeauftragtenverordnung schreibt rollenbezogene Schulungen vor, und § 14 GwG verlangt die regelmäßige Unterrichtung der Mitarbeiter in geldwäscheverpflichteten Unternehmen. Hinzu kommen sektorspezifische Pflichten aus dem KRITIS-DachG und ab 2026 die Schulungspflichten aus dem EU AI Act für Hochrisiko-Systeme, deren konkrete Ausgestaltung die nationalen Aufsichten in den kommenden Monaten weiter präzisieren werden.

Für den Mittelstand bedeutet das in der Praxis zwischen 6 und 15 Pflichtthemen pro Jahr, abhängig von Branche und Größe. Jedes Thema benötigt eine Inhaltsdefinition, eine Adressatenliste, einen Nachweis der Durchführung, einen Wirksamkeitsnachweis und eine Aufbewahrungsfrist. Die Aufbewahrungsfristen reichen von zwei Jahren für allgemeine Datenschutz-Awareness bis zu zehn Jahren für gefahrgutbezogene Schulungen. Wer diesen Katalog ohne strukturiertes System führt, akkumuliert eine Dokumentationslast, die nicht mehr beherrschbar ist und die im Audit als systematischer Mangel gewertet wird. Hinzu kommt, dass die meisten dieser Pflichten nicht nur die Durchführung, sondern auch die Wirksamkeit fordern, was ohne Lernkontrolle nicht belegbar ist. Der Übergang zu einem automatisierten E-Learning-System ist daher keine Komfortfrage, sondern eine Voraussetzung für die Bestellung der jeweiligen Beauftragten zu wirtschaftlich tragbaren Konditionen.

Automatisierung in diesem Kontext meint nicht die Ersetzung von Inhalten durch Algorithmen, sondern die Trennung von Inhalt, Zuweisung, Durchführung und Nachweis in vier verbundene Schichten. Die Inhaltsschicht enthält rollenspezifische Module, die von qualifizierten Fachpersonen kuratiert werden, etwa von einem externen Datenschutzbeauftragten für die DSGVO-Module oder von einer Fachkraft für Arbeitssicherheit für die ArbSchG-Module. Die Zuweisungsschicht weist diese Module über die Rolle des Mitarbeiters automatisch zu, ohne dass eine Personalabteilung Listen pflegen muss. Die Durchführungsschicht protokolliert Beginn, Ende, Bestehensquote und Wiederholungstermin. Die Nachweisschicht erzeugt versionsfeste Audit-Exports, die mit kryptographischen Zeitstempeln versehen sind und damit auch eine forensische Prüfung überstehen.

Diese vier Schichten ersetzen drei klassische Engpässe. Erstens entfällt das manuelle Tracking durch HR oder Office Management, das je nach Unternehmensgröße zwischen 0,2 und 0,8 Vollzeitäquivalente bindet. Zweitens entfällt das jährliche Aufholrennen vor dem ISO-Audit, in dem Schulungslücken kurzfristig geschlossen werden müssen und die Glaubwürdigkeit der Wirksamkeit leidet. Drittens entfällt die Diskussion mit der Aufsichtsbehörde über die Wirksamkeit der Schulungen, weil der Wirksamkeitsnachweis durch Lernkontrolle und Wiederholungsintervall systemisch erbracht wird. CIVAC bildet diese vier Schichten im Workspace ab. Die Schulungsobjekte sind mit der Berichtslinie des verantwortlichen Beauftragten verbunden, sodass die Geschäftsleitung im Quartalsreport den Schulungsstand pro Rolle und pro Standort einsehen kann, ohne dass ein separater Bericht aus dem Lernmanagement-System erzeugt werden muss. Diese Verkopplung reduziert auch die Stör-Schnittstellen zwischen HR, IT und Compliance, weil alle drei Funktionen denselben Datenstand sehen und Diskussionen über Zahlenstände entfallen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, und das gilt insbesondere für die Schulungsdokumentation, die in klassischen Systemen am häufigsten reißt.

Eine prüfungsfeste E-Learning-Bibliothek deckt mindestens acht Themenfelder ab, jeweils in einer rollenbezogenen Allgemeinversion und in einer vertieften Fachversion für die zuständigen Beauftragten. Erstens Datenschutz nach Art. 5, 6, 32 und 33 DSGVO einschließlich der Meldepflicht binnen 72 Stunden. Zweitens Informationssicherheit nach Anhang A ISO/IEC 27001:2022 mit Fokus auf Passwort-Hygiene, Phishing-Erkennung und Umgang mit mobilen Geräten. Drittens Hinweisgeberschutz nach HinSchG inklusive der Erreichbarkeit der internen Meldestelle. Viertens Geldwäscheprävention für betroffene Unternehmen nach GwG. Fünftens Antikorruption nach IDW PS 980 und § 130 OWiG. Sechstens Arbeitssicherheit nach § 12 ArbSchG. Siebtens Brandschutz nach DGUV Information 205-001. Achtens rollenspezifische Themen wie Gefahrgut, Gefahrstoff oder Strahlenschutz, wenn anwendbar, jeweils mit den verordnungsspezifischen Wiederholungsintervallen.

Die Inhalte müssen jährlich auf Aktualität geprüft und nach jeder relevanten Rechtsänderung neu zertifiziert werden. Eine Bibliothek, die 2024 zuletzt aktualisiert wurde, hält die EU-AI-Act-Pflichten ab August 2026 nicht ab. Eine Bibliothek, die die ISO/IEC 27001:2022 nur in der alten 2013er-Version abbildet, scheitert ab Oktober 2025. CIVAC pflegt die Bibliothek über das Pflegeteam, das die NIS-2-Umsetzung und die ISO-Übergänge fortlaufend in die Module einarbeitet. Jede Modulversion ist mit einer Versionsnummer, einem Inkrafttretedatum und einer Quellenliste versehen, sodass der Auditor nachvollziehen kann, welche Rechtsstände die Belegschaft zu welchem Zeitpunkt geschult bekommen hat. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen ist der Inhalt der Bibliothek identisch und wird gleichermaßen aktualisiert, ohne dass der Mandant gesonderte Update-Projekte beauftragen muss. Auch zusätzliche Sprachfassungen für Standorte außerhalb des deutschsprachigen Raums werden zentral gepflegt und nicht pro Mandant erstellt.

Die Zuweisung der Schulungen erfolgt nach drei Dimensionen, die im Workspace konfiguriert sind. Die erste Dimension ist die Rolle: ein Lagermitarbeiter benötigt andere Module als ein Geschäftsführer, ein Entwickler benötigt andere Module als ein Vertriebsmitarbeiter im Außendienst. Die zweite Dimension ist der Standort: ein Werk mit Gefahrstoffumschlag löst andere Pflichten aus als ein reines Bürogebäude, und ein Standort in einem KRITIS-Sektor löst zusätzliche Pflichten aus dem KRITIS-DachG aus. Die dritte Dimension ist das Risiko: Mitarbeiter mit Zugriff auf besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO benötigen eine vertiefte Datenschutz-Schulung, Mitarbeiter mit administrativen Rechten in ISMS-relevanten Systemen benötigen eine vertiefte ISMS-Schulung mit Schwerpunkt auf privilegiertem Zugriff und Vier-Augen-Prinzip.

Die Zuweisung ist deterministisch und basiert auf einer Matrix aus diesen drei Dimensionen. Bei Eintritt eines neuen Mitarbeiters werden die Pflichtmodule automatisch aufgesetzt, der Wiederholungstermin wird gesetzt, und die Erinnerung an den Mitarbeiter sowie die Eskalation an den Vorgesetzten laufen ohne manuelle Pflege. Bei einer Rollenänderung passt die Matrix die Pflichtmodule an, ohne dass HR oder Compliance eingreifen müssen. Bei einem Austritt werden die Schulungsnachweise mindestens fünf Jahre archiviert, was die meisten Aufsichtsfristen abdeckt, und bei besonderen Pflichten wie Gefahrgut bis zu zehn Jahre. Auch die Sonderfälle sind abgedeckt: Externe Dienstleister mit Zugang zum ISMS erhalten ein eingeschränktes Modul-Set, Praktikanten und Werkstudenten erhalten ein an die Beschäftigungsdauer angepasstes Set. Bestellurkunde, unterschrieben, abgelegt, belegbar, und genauso verhält es sich mit dem Schulungsnachweis: er ist mit einem Zeitstempel versehen, der die Durchführung beweisbar macht und der Geschäftsleitung im Quartalsreport sichtbar ist.

Ein Auditor erwartet 2026 nicht mehr nur eine Teilnahmebestätigung, sondern einen vollständigen Wirksamkeitsnachweis. Der Wirksamkeitsnachweis besteht aus vier Bestandteilen. Erstens dem inhaltlichen Nachweis: welches Modul mit welchem Versionsstand wurde durchlaufen. Zweitens dem Durchführungsnachweis: wer hat das Modul wann gestartet, wann abgeschlossen, mit welchem Ergebnis und mit welcher Wiederholungsschleife im Fall des Nichtbestehens. Drittens dem Wiederholungsnachweis: wann fand die letzte Auffrischung statt, wann ist die nächste fällig, und welche externen Ereignisse, etwa Sicherheitsvorfälle oder Rechtsänderungen, haben außerordentliche Wiederholungen ausgelöst. Viertens dem Eskalationsnachweis: was geschah bei einem fälligen, aber nicht durchgeführten Modul, und wie wurde die Lücke geschlossen.

Die Datenschutzkonferenz hat in der koordinierten Prüfung 2025 die Schulungsnachweise systematisch geprüft und zahlreiche Mängel festgestellt, weil die Wiederholungs- und Eskalationsschicht in Excel-Lösungen typischerweise fehlt. Der ISO-Auditor verlangt nach § 9.1 ISO/IEC 27001:2022 explizit die Messung der Wirksamkeit, die ohne strukturierte Lernkontrolle nicht erbringbar ist. Der CIVAC-Workspace exportiert die vier Nachweisarten in einem Audit-Paket, das ohne Nacharbeit prüfbar ist und in dem die Daten unverändert seit dem jeweiligen Erhebungszeitpunkt vorliegen. Auch ein Stichprobentest, in dem der Auditor zufällig ausgewählte Mitarbeiter zu Schulungsinhalten befragt, wird durch die strukturierte Lernkontrolle vorbereitet, weil die Bestehensquote pro Modul und pro Standort sichtbar ist und schwache Module identifizierbar werden. Der Prüfer ruft an, der Nachweis liegt bereit. Audit-fest, dokumentiert, § 39-fest, sodass auch eine kurzfristig angekündigte Aufsichtsprüfung keinen Zeitdruck auf das Compliance-Team ausübt und die Geschäftsleitung mit einem belastbaren Bericht statt mit einer Notlösung in das Auditgespräch geht. Die strukturierte Eskalation überzeugt Prüfer regelmäßig stärker als jede Argumentation, weil sie zeigt, dass Lücken nicht ignoriert, sondern dokumentiert geschlossen werden.

Schulungen sind keine isolierten Objekte. Sie sind mit den Verarbeitungstätigkeiten, den Risikobewertungen, den ISMS-Controls und der Berichtslinie verbunden. Ein neuer Verarbeitungsvorgang, der besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet, erzeugt eine Pflicht zur vertieften Datenschutz-Schulung der zugreifenden Personen. Ein neues ISMS-Control, das einen weiteren Personenkreis administrative Rechte gibt, erzeugt eine Pflicht zur vertieften ISMS-Schulung. Eine Meldepflicht nach Art. 33 DSGVO oder § 32 NIS2UmsuCG, die aus einem Vorfall folgt, kann eine außerordentliche Schulung als Korrekturmaßnahme nach sich ziehen, die im Workspace mit Vorfalls-ID und Frist hinterlegt wird.

Diese Integration ist im CIVAC-Workspace strukturell angelegt. Das Verzeichnis von Verarbeitungstätigkeiten verlinkt auf die Pflicht-Schulungen der zugreifenden Rollen. Die Risikobewertung verlinkt auf die Schulungen, die das Risiko mindern. Die Berichtslinie des Datenschutzbeauftragten oder des Informationssicherheitsbeauftragten erhält die Schulungsmetriken im Quartalsreport. Eine Schulungslücke ist damit nicht nur ein HR-Problem, sondern ein dokumentiertes Restrisiko, das in der Risikoakzeptanz der Geschäftsleitung erscheint. Die Verzahnung wirkt auch in die andere Richtung: wenn ein Mitarbeiter eine vertiefte Schulung absolviert hat, wird die Schulung als Kontrolle in der ISMS-Risikobewertung anerkannt und reduziert das Restrisiko der zugehörigen Verarbeitungstätigkeit. Diese Verzahnung ist es, die ein E-Learning-Tool von einer integrierten Compliance-Plattform unterscheidet. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, und die Software stellt die Verbindungen automatisch her. Damit verschwindet die historisch häufigste Quelle inkonsistenter Compliance-Befunde: voneinander getrennte Listen mit unterschiedlichen Aktualitätsständen, die im Auditfall nicht zueinander passen. Die Integration löst dieses strukturelle Problem auf der technischen Ebene, nicht durch zusätzliche Disziplin im Compliance-Team. Auch die Risikoakzeptanz der Geschäftsleitung erhält dadurch eine andere Qualität, weil das akzeptierte Restrisiko an einem aktuellen Schulungsstand verankert ist.

Eine konservative Rechnung verdeutlicht die Wirtschaftlichkeit. Ein Mittelstandsunternehmen mit 500 Mitarbeitern und 9 Pflichtthemen pro Jahr führt 4.500 Pflichtmodule pro Jahr durch. Bei manueller Verwaltung über Excel und E-Mail-Erinnerungen entsteht ein Aufwand von schätzungsweise 15 Minuten pro Modul für Zuweisung, Erinnerung, Nachverfolgung und Ablage, kumuliert 1.125 Stunden, das entspricht etwa 0,7 Vollzeitäquivalenten. Bei einem voll belasteten Gehalt von 75.000 Euro pro Jahr für eine HR- oder Compliance-Mitarbeiterin sind das 52.500 Euro reine Verwaltungskosten ohne Inhalt. Hinzu kommen schätzungsweise 25.000 Euro für die jährliche externe Schulungsbeschaffung über klassische Anbieter mit individuellem Aufwand pro Modul und weitere 10.000 Euro für externe Audit-Vorbereitungen, in denen Schulungslücken nachgereicht werden.

Eine automatisierte Lösung über den CIVAC-Workspace reduziert den Verwaltungsaufwand auf rund 100 Stunden pro Jahr, weil die Zuweisung, Erinnerung und Nachverfolgung systemisch erfolgen. Der Inhalt ist im Plattformpreis enthalten, da die Bibliothek einmal kuratiert und für alle Mandanten genutzt wird. Die Differenz beträgt im Beispielfall rund 65.000 bis 75.000 Euro pro Jahr, und sie ist unabhängig davon, ob das Unternehmen je geprüft wird, weil die freigesetzte Kapazität sofort für substanzielle Risikoarbeit nutzbar ist. Die Investition ist damit budgetneutral und reduziert gleichzeitig das Auditrisiko. Bei größeren Unternehmen mit mehreren Standorten skaliert der Effekt linear, weil die Plattform den Mehraufwand pro zusätzlichem Standort nahe null hält, während die manuelle Verwaltung mit jedem Standort proportional anwächst. Aus dem Lesen einen Auftrag machen, lautet die operative Konsequenz aus dieser Rechnung, sobald die Verwaltungskosten transparent geworden sind. Ergänzend ist zu berücksichtigen, dass die Plattform-Lösung die Geschäftsleitung im Rahmen des § 130 OWiG zusätzlich entlastet, weil die dokumentierte Aufsichtspflicht über die Schulungslage als belastbarer Nachweis im Falle eines Bußgeldverfahrens herangezogen werden kann.

CIVAC bietet zwei Betriebsmodelle, die sich technisch nicht unterscheiden, aber organisatorisch unterschiedlich passen. Im Lizenzmodell betreibt der interne Datenschutzbeauftragte, der Informationssicherheitsbeauftragte oder der Compliance-Beauftragte die Plattform selbst. Er pflegt die Berichtslinie, definiert Pflichtschulungen, prüft Wirksamkeitskennzahlen und exportiert das Audit-Paket. Das Modell passt für Unternehmen mit qualifizierter interner Besetzung der Beauftragten-Rollen und etablierten Compliance-Strukturen. Es ist das wirtschaftlich günstigste Modell, weil die Plattformkosten die einzige externe Komponente sind und das interne Compliance-Team die fachliche Hoheit behält, ohne einen externen Dritten in die Berichtslinie einzubinden.

Im Officer-as-a-Service-Modell bestellt CIVAC die Beauftragten und führt die Plattform für den Mandanten. Das Modell passt für Unternehmen, die keine qualifizierten internen Kandidaten haben, die nach Art. 38 Abs. 6 DSGVO Unabhängigkeit wünschen oder die über mehrere Standorte und Gesellschaften hinweg konsolidieren wollen. Beide Modelle nutzen denselben Workspace, dieselben 490 Audit-Vorlagen, dieselbe Schulungsbibliothek und dieselbe Berichtslinie. Wechselt das Unternehmen mitten im Vertrag das Modell, weil etwa eine interne Datenschutzbeauftragte eingestellt wird, bleiben Daten und Schulungsnachweise unverändert im Workspace und es entsteht keine Migrationspause. Auch eine partielle Konfiguration ist möglich, in der CIVAC etwa nur den Informationssicherheitsbeauftragten stellt, während Datenschutz und Arbeitssicherheit intern besetzt sind. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und treffen Sie die Entscheidung über das Betriebsmodell auf Basis Ihrer Personalstrategie, nicht auf Basis der Plattformarchitektur. Die Optionalität bleibt für die gesamte Vertragslaufzeit erhalten, und die Übergabe einer Rolle zwischen interner und externer Besetzung ist im Workspace als reguliertes Verfahren mit Berichtslinien-Anpassung und Bestellurkunden-Update abgebildet.

Eine fundierte Entscheidung über die Automatisierung der Compliance-Schulungen beginnt mit drei Dokumenten: dem aktuellen Schulungskatalog des Unternehmens, der Mitarbeiterliste nach Rollen und Standorten und der letzten Audit-Feststellung, in der Schulungslücken thematisiert wurden. Aus diesen Dokumenten leitet sich der Umfang der Pflichtmodule ab, die zu implementierende Matrix aus Rolle, Standort und Risiko sowie der Migrationspfad von der bestehenden Excel-Lösung in den Workspace. Ein 60-minütiges Scoping-Gespräch reicht, um zu klären, welches der beiden Betriebsmodelle passt und welche Module nicht bereits in der CIVAC-Bibliothek vorhanden sind und individuell zu erstellen wären. Auch die Frage der Aufbewahrungsfristen pro Modulthema wird im Scoping geklärt, weil sie in der Migration der Altdaten eine zentrale Rolle spielt.

Die Inbetriebnahme erfolgt im Service-Level von 2 Werktagen ab unterschriebenem Auftrag bis zum lauffähigen Workspace mit aktivierter Schulungsmatrix. Innerhalb der ersten 30 Tage werden die Mitarbeiter migriert, die Bestellurkunden der verantwortlichen Beauftragten erzeugt und die Berichtslinie zur Geschäftsleitung signiert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und entscheiden Sie das Modell nach Abschluss der ersten 30 Tage neu, wenn Sie die Plattform im Betrieb gesehen haben. Aus dem Lesen einen Auftrag machen. Sie erreichen das Onboarding-Team unter info@civac.de oder über das Kontaktformular auf civac.de. Die Erstantwort erfolgt innerhalb eines Werktags, das Angebot innerhalb von zwei Werktagen, einschließlich eines Festpreises für die ersten zwölf Monate und einer dokumentierten Übergangsregelung für die laufenden Schulungszyklen. Ein Pilotbetrieb über einen einzelnen Standort oder eine einzelne Tochtergesellschaft ist möglich, wenn die Risikolage einen schrittweisen Rollout erfordert.