Datenschutz-Schulung: Pflicht, Inhalt und Nachweis nach Art. 39 DSGVO
Datenschutz-Schulungen sind keine HR-Folklore, sondern eine dokumentationspflichtige Aufsichtsmaßnahme nach Art. 39 Abs. 1 lit. b DSGVO. Dieser Leitfaden zeigt Pflichtinhalte, Turnus, Nachweisführung und wie CIVAC den gesamten Lebenszyklus auditfest abbildet.
Art. 39 Abs. 1 lit. b DSGVO verpflichtet den Datenschutzbeauftragten dazu, Mitarbeitende, die personenbezogene Daten verarbeiten, zu sensibilisieren und zu schulen. Die deutsche Aufsichtspraxis konkretisiert diese Norm in zwei Richtungen. Erstens fordert die Datenschutzkonferenz (DSK) im Kurzpapier Nr. 12 belegbare Schulungsmaßnahmen mit Inhalts-, Teilnehmer- und Zeitnachweis. Zweitens verweisen aktuelle Tätigkeitsberichte der Landesdatenschutzbehörden auf eine spürbar steigende Prüfungsdichte rund um Schulungsdokumentation. Wer hier nur eine Excel-Liste vorlegt, scheitert nicht erst im Bußgeldverfahren, sondern bereits im Auftragsverarbeitungs-Audit eines anspruchsvollen Großkunden oder im Onboarding eines neuen Datenschutzaufsichtsrats.
Dieser Artikel beschreibt, welche Inhalte eine Datenschutz-Schulung nach DSGVO und BDSG enthalten muss, in welchem Turnus sie zu wiederholen ist, wie der Nachweis aufgebaut sein sollte und welche typischen Fehlerbilder Aufsichtsbehörden in den letzten 18 Monaten sanktioniert haben. Sie erfahren außerdem, wie die CIVAC-Compliance-Plattform und Officer-as-a-Service-Konstellation Schulungspflicht, Teilnahme-Tracking, Versionierung der Inhalte und die Bestellurkunde des Datenschutzbeauftragten zu einem einzigen, geschlossenen Compliance-Workflow zusammenführt. Der Prüfer ruft an, der Nachweis liegt bereit. Im Hintergrund laufen 490 einsatzbereite Audit-Vorlagen, eine versionierte Berichtslinie und EU-Datenresidenz mit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.
Auf einen Blick
- Die Schulungspflicht ergibt sich aus Art. 39 Abs. 1 lit. b DSGVO und § 38 BDSG; sie trifft den Verantwortlichen, nicht den DSB allein.
- Ein belastbarer Nachweis besteht aus Inhaltsverzeichnis, Teilnehmerliste, Datum, Dauer und einer Lernerfolgskontrolle pro Person.
- Empfohlener Turnus: Onboarding innerhalb von 30 Tagen, danach jährliche Auffrischung, anlassbezogen bei neuen Verarbeitungen oder Datenpannen.
Rechtsgrundlage: Warum Datenschutz-Schulungen Pflicht sind
Die Pflicht zur Datenschutz-Schulung steht nicht in einem einzigen Paragraphen, sondern ergibt sich aus dem Zusammenspiel mehrerer Normen. Zentral ist Art. 39 Abs. 1 lit. b DSGVO: Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO einschließlich der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter. Daraus folgt mittelbar die Pflicht des Verantwortlichen, dem DSB die Durchführung solcher Schulungen organisatorisch, zeitlich und budgetär zu ermöglichen. Ohne Budgetzuweisung und ohne Mandat zur Pflichtteilnahme bleibt Art. 39 DSGVO eine leere Hülle und damit angreifbar.
Hinzu kommt Art. 32 Abs. 4 DSGVO, der den Verantwortlichen verpflichtet, sicherzustellen, dass jede ihm unterstellte Person personenbezogene Daten nur auf Weisung verarbeitet. Ohne Schulung lässt sich diese Weisungslage nicht plausibel begründen. § 53 BDSG ergänzt für nicht-öffentliche Stellen das Erfordernis der Verpflichtung auf das Datengeheimnis, das in der Praxis Bestandteil der Schulung ist und in der Personalakte abgelegt wird. § 5 BDSG bleibt für öffentliche Stellen wirksam und verlangt analoge Schulungsnachweise.
Schließlich verlangt § 130 OWiG vom Inhaber eines Betriebs die gehörige Aufsicht über Personen, die zur Begehung von Ordnungswidrigkeiten beauftragt sind. Eine dokumentierte Schulungslandschaft ist eines der wirksamsten Argumente gegen einen § 130-OWiG-Vorwurf in Bußgeldverfahren der Aufsichtsbehörden. Die Rolle des Datenschutzbeauftragten wird so vom internen Berater zum aktiven Trainer mit Dokumentationsauftrag. CIVAC bildet diese Aufgaben in der Compliance-Plattform und Officer-as-a-Service-Konstellation parallel ab, sodass Bestellurkunde, Schulungsplan und Berichtslinie aus einem Datenmodell stammen und nicht aus drei Aktenordnern rekonstruiert werden müssen. Audit-fest, dokumentiert, § 39-fest. Zusätzlich relevant: Erwägungsgrund 39 DSGVO betont die Pflicht zu transparenten Verarbeitungen, was ohne Schulung der Mitarbeitenden praktisch nicht erreichbar ist.
Pflichtinhalte: Was eine vollständige Datenschutz-Schulung abdeckt
Eine prüfungsfeste Datenschutz-Schulung deckt acht inhaltliche Blöcke ab, die sich aus der DSGVO, dem BDSG und der bisherigen Aufsichtspraxis ableiten. Erstens: Grundprinzipien der DSGVO nach Art. 5 (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Rechenschaft). Zweitens: Rechtsgrundlagen nach Art. 6 und für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO einschließlich Einwilligung, berechtigtes Interesse und Beschäftigtendatenschutz nach § 26 BDSG. Drittens: Betroffenenrechte nach Art. 12 bis 22, also Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie automatisierte Einzelentscheidung.
Viertens: Meldepflichten bei Datenpannen, insbesondere die 72-Stunden-Frist aus Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34. Frist läuft ab Kenntnis. Fünftens: Auftragsverarbeitung nach Art. 28 mit Vertragspflicht, TOMs und Subunternehmerregelung. Sechstens: Drittstaatentransfers nach Art. 44 ff. DSGVO einschließlich Standardvertragsklauseln und Transfer Impact Assessment nach den Schrems-II-Anforderungen. Siebtens: technische und organisatorische Maßnahmen nach Art. 32 mit konkretem Rollenbezug, also was IT, HR, Vertrieb und Buchhaltung jeweils umzusetzen haben.
Achtens: rollen- und abteilungsspezifische Vertiefungen. Vertrieb braucht andere Beispiele als HR, IT andere als Marketing, Finanzwesen andere als Forschung. Die CIVAC-Audit-Vorlagen enthalten 37 modulare Bausteine, die sich zu rollenbasierten Schulungspfaden zusammenstellen lassen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Jede Modulversion wird in der Berichtslinie des DSB versioniert und mit Geltungsdatum abgelegt, damit auch in drei oder fünf Jahren noch nachvollziehbar ist, welcher Mitarbeitende welche Inhaltsversion in welcher Sprachfassung erhalten hat und mit welchem Testergebnis abgeschlossen hat. Wer mehrsprachig arbeitet, hinterlegt deutsche und englische Fassungen mit identischer Versionsnummer, damit der Auditor die inhaltliche Deckungsgleichheit überprüfen kann ohne Übersetzungs-Vergleich.
Turnus: Onboarding, jährliche Auffrischung, anlassbezogen
Die DSGVO selbst nennt keinen festen Schulungsturnus. Die deutsche Aufsichtspraxis und ISO/IEC 27001:2022 Control A.6.3 (Information Security Awareness, Education and Training) konvergieren jedoch auf ein dreistufiges Muster, das sich in der Prüfungspraxis durchgesetzt hat und das auch vom BfDI in Beratungsgesprächen regelmäßig als Mindeststandard zitiert wird. Wer dieses Muster unterschreitet, hat eine erhebliche Beweislastlücke im Audit und im Bußgeldverfahren.
Stufe eins ist die Erstschulung im Onboarding. Sie muss innerhalb von 30 Tagen nach Arbeitsantritt erfolgen und mindestens die acht oben genannten Pflichtblöcke abdecken. Der Mitarbeitende darf vor Abschluss der Erstschulung keine personenbezogenen Daten eigenverantwortlich verarbeiten. In sensiblen Bereichen (HR, Medizin, Finanzwesen, Forschung) wird ein faktisches Verarbeitungsverbot bis zum Schulungsabschluss organisatorisch durchgesetzt, etwa über zeitlich befristete Lese-Berechtigungen im CRM oder HR-System.
Stufe zwei ist die jährliche Auffrischung. Sie wiederholt die Kerninhalte, aktualisiert sie um neue Aufsichtsentscheidungen, EuGH-Urteile (etwa zur Schadensersatzhöhe nach Art. 82 DSGVO) und unternehmensinterne Vorfälle und schließt mit einer Lernerfolgskontrolle ab. Praxisbewährt sind 45 bis 60 Minuten Onlineformat plus 10-Fragen-Test mit 80 Prozent Bestehensgrenze und einer Wiederholungsmöglichkeit. Wer auch beim zweiten Versuch nicht besteht, wird in der Berichtslinie als offener Punkt geführt.
Stufe drei ist die anlassbezogene Schulung. Sie wird ausgelöst durch neue Verarbeitungstätigkeiten, neue Systeme, Datenpannen, Beschwerden von Betroffenen oder behördliche Auskunftsersuchen. Frist läuft ab Kenntnis. In CIVAC werden alle drei Stufen über einen einzigen Schulungsplan abgebildet, der pro Mitarbeitenden den aktuellen Stand, den nächsten Fälligkeitstermin und den letzten Nachweis zeigt, gefiltert nach Abteilung, Rolle und Sprache. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.
Nachweisführung: Welche Belege im Audit standhalten
Ein häufiger Fehler in Audits: Schulungen wurden zwar durchgeführt, aber der Nachweis besteht aus einer Excel-Liste ohne Versionierung, ohne Lernerfolgskontrolle und ohne klaren Inhaltsbezug. Vor einer Aufsichtsbehörde reicht das nicht. Vor einem anspruchsvollen Auftraggeber-Audit ebenfalls nicht. Ein belastbarer Schulungsnachweis besteht aus sieben Bestandteilen, die in der Berichtslinie des Datenschutzbeauftragten parallel geführt werden müssen.
Erstens: das genaue Inhaltsverzeichnis der Schulung mit Versionsnummer und Geltungsdatum. Zweitens: die Teilnehmerliste mit Vor- und Zunamen, Abteilung, Funktion und Eintrittsdatum. Drittens: das Schulungsdatum und die tatsächliche Schulungsdauer in Minuten. Bei Onlinetraining ist die effektive Bearbeitungszeit zu protokollieren, nicht nur die Anmeldedauer. Viertens: die Bestätigung des Teilnehmenden, dass er oder sie die Schulung verstanden hat, idealerweise mit qualifizierter elektronischer Signatur nach eIDAS oder zumindest mit nachweisbarem, identifizierten Login.
Fünftens: die Lernerfolgskontrolle mit Fragen, Antworten und Ergebnis. Sechstens: die Rolle und Qualifikation des Trainers oder der trainierenden Stelle, bei externer Schulung mit Verweis auf die Bestellurkunde des externen Datenschutzbeauftragten und dessen Qualifikationsnachweis (TÜV, udis, IHK, GDDcert, vergleichbar). Bestellurkunde, unterschrieben, abgelegt, belegbar. Siebtens: das Aufbewahrungsregime. Die Aufsichtsbehörden gehen von einer Aufbewahrungsfrist analog zur DSFA-Dokumentation von drei bis sechs Jahren aus, bei sicherheitsrelevanten Schulungen unter NIS-2-Geltungsbereich von mindestens fünf Jahren ab letzter Wirkung.
CIVAC speichert alle sieben Bestandteile pro Schulungsereignis in der Berichtslinie, verknüpft mit dem Verzeichnis der Verarbeitungstätigkeiten und mit ISO/IEC 27001:2022 Control A.6.3. EU-Datenresidenz ist Voraussetzung, damit auch der Nachweis selbst keinen Drittstaaten-Transfer auslöst und damit nicht zum eigenen DSGVO-Vorfall wird. Der Prüfer ruft an, der Nachweis liegt bereit, gefiltert nach Person, Geltungsdatum und Modul, ohne dass IT oder HR aktiv suchen müssen.
Schulungspflicht für Auftragsverarbeiter und Dienstleister
Die Schulungspflicht endet nicht an der Unternehmensgrenze. Art. 28 Abs. 3 lit. b DSGVO verpflichtet den Auftragsverarbeiter, sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. In der Aufsichtspraxis und in den Standardvertragsklauseln der EU-Kommission wird das so ausgelegt, dass auch Mitarbeitende des Auftragsverarbeiters geschult sein müssen, soweit sie Daten des Verantwortlichen verarbeiten. Eine bloße NDA reicht nicht.
Für den Verantwortlichen bedeutet das eine Prüfpflicht im Rahmen der Lieferantenauswahl und der laufenden Lieferantenüberwachung. Der Auftragsverarbeitungsvertrag sollte ausdrücklich verlangen, dass der Dienstleister einmal jährlich Schulungsnachweise vorlegt oder zumindest deren Existenz schriftlich bestätigt, idealerweise mit Stichprobenrecht. Bei sicherheitskritischen Diensten (Rechenzentrumsbetrieb, Managed Detection and Response, Identity Provider, Cloud-Anbieter, externe Lohnbuchhaltung) wird zusätzlich ein konkretes Einsichtsrecht in die Schulungsdokumentation vereinbart, das vom Auftraggeber-Audit aufgegriffen werden kann.
Komplexer wird es bei Subverarbeitern. Art. 28 Abs. 4 DSGVO erweitert die Pflichten auf die gesamte Kette, ohne dass der Verantwortliche jeden Subunternehmer direkt kennt. CIVAC bildet das über ein Lieferanten-Auditor-Modul ab, das Schulungsnachweise von Auftragsverarbeitern und deren Subunternehmern strukturiert einsammelt, in eine vier-stufige Risikoeinstufung überführt und mit dem Verzeichnis der Verarbeitungstätigkeiten verknüpft. Der CIVAC-SLA für die Ersteinrichtung eines Lieferanten-Audits liegt bei zwei Werktagen statt zwei bis sechs Wochen klassisch. Audit-fest, dokumentiert, § 28-fest. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Praxis empfiehlt sich, im Auftragsverarbeitungsvertrag explizit die Aufbewahrungsfrist für Schulungsnachweise auf mindestens drei Jahre festzulegen und ein jährliches Reporting durch den Auftragsverarbeiter zu vereinbaren.
Häufige Fehler und wie Aufsichtsbehörden sie sanktionieren
Die Bußgeldpraxis der deutschen Aufsichtsbehörden zeigt wiederkehrende Muster. Im 2024er Tätigkeitsbericht einer norddeutschen Landesbeauftragten für den Datenschutz wurde ein mittelständischer Betrieb mit einem fünfstelligen Bußgeld belegt, weil HR-Mitarbeitende ohne dokumentierte Schulung Bewerberdaten in einem Cloud-System verarbeitet hatten, das nicht im Verzeichnis der Verarbeitungstätigkeiten geführt war. Die fehlende Schulung war nicht der Hauptverstoß, aber der entscheidende Beweis, dass keine wirksame Aufsicht im Sinne des Art. 5 Abs. 2 DSGVO bestand. Genau diese Kombination beobachten wir bei CIVAC in zunehmend mehr Verfahren.
Fehler eins: Schulung als reine Pflichtübung im Onboarding ohne Auffrischung. Fehler zwei: einheitliche Schulung ohne Rollenbezug, sodass IT, HR und Vertrieb identischen Stoff erhalten und niemand wirklich die für die eigene Tätigkeit relevanten Beispiele kennt. Fehler drei: fehlende oder rein symbolische Lernerfolgskontrolle (drei triviale Fragen, jede Antwort wird als richtig gezählt). Fehler vier: kein Inhaltsnachweis, sondern nur Unterschriftenliste. Fehler fünf: keine Versionierung der Schulungsunterlagen, sodass im Audit nicht rekonstruiert werden kann, welche Version wann gültig war und welcher Mitarbeitende sie absolviert hat.
Fehler sechs: Trainer ohne nachgewiesene Qualifikation. Die Aufsichtsbehörden akzeptieren externe Trainer mit DSB-Qualifikation oder vergleichbarem Nachweis (TÜV, udis, IHK, GDDcert). Fehler sieben: keine Schulung bei wesentlichen Änderungen, etwa bei Einführung neuer KI-Systeme nach EU AI Act oder bei Migration in eine neue Cloud-Region. Die Pflichten aus dem EU AI Act verschärfen den Schulungsbedarf für betroffene Hochrisiko-Systeme erheblich. CIVAC erkennt solche Trigger automatisch und schlägt die anlassbezogene Nachschulung in der Berichtslinie vor, inklusive Vorlagentext für die Geschäftsleitung und Eskalationspfad.
Datenschutz-Schulung und NIS-2: Doppelpflicht ab Oktober 2024
Mit der NIS-2-Richtlinie und dem deutschen NIS2UmsuCG werden Datenschutz-Schulungen für rund 29.500 betroffene Unternehmen in Deutschland um eine zweite Pflichtdimension ergänzt: Schulungen zur Informationssicherheit. Art. 21 Abs. 2 lit. g NIS-2-Richtlinie verlangt grundlegende Cyberhygiene-Praktiken und Schulungen im Bereich der Cybersicherheit. Der deutsche Umsetzungsentwurf verpflichtet die Geschäftsleitung persönlich, an entsprechenden Schulungen teilzunehmen, mit dokumentierter Teilnahmebestätigung. Wer dieses Detail unterschätzt, verliert im Aufsichtsverfahren eine wesentliche Verteidigungslinie.
In der Praxis lassen sich beide Schulungspflichten sinnvoll bündeln. Themen wie Phishing, Passworthygiene, Umgang mit USB-Medien, Erkennung von Social Engineering und Reaktion auf verdächtige E-Mails sind sowohl datenschutz- als auch sicherheitsrelevant. Die Meldepflichten überschneiden sich teilweise: 72 Stunden für Datenpannen nach Art. 33 DSGVO, 24 Stunden Frühwarnung und 72 Stunden Folgemeldung nach NIS-2. Eine integrierte Schulung muss klar darstellen, welche Frist wann läuft und an welche Stelle gemeldet wird (Datenschutzaufsicht der Länder versus BSI als Bundeszentralstelle).
CIVAC kombiniert die Rollen Datenschutzbeauftragter und Informationssicherheitsbeauftragter in einer gemeinsamen Schulungsmatrix mit 93 Controls nach ISO/IEC 27001:2022 als Strukturraster. Die Geschäftsleitung erhält ein eigenes Modul mit dokumentierter Teilnahme, das bei einer NIS-2-Aufsichtsprüfung als Nachweis vorgelegt werden kann. Bußgelder bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes für wesentliche Einrichtungen und bis 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen machen den Nachweisbedarf konkret messbar. Die Plattform protokolliert jede Schulungsteilnahme der Geschäftsleitung mit Datum, Inhalt und Dauer in einer separaten, nicht löschbaren Aufzeichnungsschicht. Bei der Doppelmeldung kommt es auf saubere Trennung an: Datenpannen-Meldung an die Landesaufsicht und Sicherheits-Meldung an das BSI dürfen sich inhaltlich überlappen, müssen aber prozessual eigenständig dokumentiert werden, damit Fristen einzeln nachweisbar bleiben.
Aufwand, Kosten und realistische Benchmarks
Was kostet eine Datenschutz-Schulung pro Mitarbeitendem? Marktbenchmarks der letzten 18 Monate zeigen folgende Bandbreite: Klassische Präsenzschulung durch eine externe Anwaltskanzlei 180 bis 350 Euro pro Person und Schulungsereignis, plus Reisekosten und ausgefallene Arbeitszeit. Onlinetraining bei einem reinen Awareness-Anbieter 12 bis 45 Euro pro Person und Jahr, oft ohne integrierte Lernerfolgskontrolle, ohne Rolleneignung und ohne Anbindung an das interne Verzeichnis der Verarbeitungstätigkeiten. Selbst entwickelte Inhouse-Schulungen verursachen häufig versteckte Kosten in HR und IT (Wartung, Aktualisierung, Prüfungserstellung, Hosting) von rund 80 Euro pro Person und Jahr.
Der eigentliche Kostentreiber ist nicht die Schulung selbst, sondern die Nachweisführung im Streitfall. Wenn drei Jahre nach einer Datenpanne ein Bußgeldverfahren läuft und die Aufsichtsbehörde alle Schulungsnachweise des betroffenen Teams einfordert, entscheidet die Qualität der Dokumentation über die Bußgeldhöhe in einem Umfang, der weit über den Schulungskosten liegt. Art. 83 Abs. 2 lit. d DSGVO listet die Maßnahmen zur Minderung des Schadens und zur Verhinderung künftiger Verstöße ausdrücklich als bußgeldmindernd auf. Dokumentierte, versionierte und rollenbezogene Schulung ist eine solche Maßnahme und wird in der Praxis von Aufsichtsbehörden anerkannt.
CIVAC bündelt Inhalt, Durchführung und Nachweis in der Compliance-Plattform und stellt Officer-as-a-Service als Bestelloption zur Verfügung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im Workspace-Modell liegen die Kosten je nach Unternehmensgröße zwischen 4 und 18 Euro pro Mitarbeitendem und Jahr inklusive der 490 Audit-Vorlagen, Schulungsverwaltung und Versionierung der Inhalte. Im Officer-as-a-Service-Modell wird zusätzlich die Bestellung des externen DSB mit voller Berichtslinie übernommen, einschließlich der direkten Kommunikation mit der zuständigen Landesaufsicht.
Vom Lesen zur Umsetzung: Schulungsstrategie aufsetzen
Eine wirksame Datenschutz-Schulung beginnt nicht mit einem Foliensatz, sondern mit einer Bestandsaufnahme. Welche Verarbeitungstätigkeiten gibt es laut Verzeichnis nach Art. 30 DSGVO? Welche Rollen verarbeiten welche Datenkategorien? Welche Schulungen wurden in den letzten 24 Monaten durchgeführt und welche Versionen waren wann gültig? Welche Nachweise existieren in welcher Qualität? Wo gibt es Lücken in Rolle, Zeit oder Inhalt? Aus diesen Antworten ergibt sich eine Schulungsmatrix mit Pflichtmodulen pro Rolle und einem belastbaren 12-Monats-Plan.
Im zweiten Schritt wird der Schulungsplan in einen auditfesten Prozess überführt. Dazu gehören Versionierung der Inhalte mit Geltungsdatum, Lernerfolgskontrollen mit definierter Bestehensgrenze, Eskalationspfade bei Nichtteilnahme nach 30 und 60 Tagen, die Anbindung an das Onboarding-System der HR-Abteilung sowie eine klare Sprachstrategie für mehrsprachige Belegschaften. Im dritten Schritt wird der Schulungsnachweis in das Verzeichnis der Verarbeitungstätigkeiten und in die ISO/IEC 27001:2022 Control-Landschaft eingebettet, damit ein Audit den vollständigen Kontext findet und nicht zwischen drei Systemen wechseln muss.
CIVAC stellt für jeden dieser drei Schritte vorgefertigte Bausteine bereit: Schulungsmatrix-Vorlagen, Versionsverwaltung in der Berichtslinie und Anbindung an die Bestellurkunde des Datenschutzbeauftragten. Die Plattform funktioniert in zwei Modi: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen gilt der CIVAC-SLA von zwei Werktagen für die initiale Einrichtung und der laufende Nachweisbestand mit EU-Datenresidenz.
Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq. Wir senden innerhalb von zwei Werktagen einen konkreten Schulungsfahrplan für Ihr Unternehmen, abgestimmt auf Branche, Mitarbeiterzahl, bestehende Beauftragten-Struktur und auf die für Sie zuständige Aufsichtsbehörde.
FAQ
Wer ist verpflichtet, Datenschutz-Schulungen durchzuführen?
Verpflichtet ist der Verantwortliche im Sinne der DSGVO, also das Unternehmen als juristische Person, vertreten durch die Geschäftsleitung. Der Datenschutzbeauftragte überwacht und unterstützt die Durchführung nach Art. 39 Abs. 1 lit. b DSGVO, ist aber nicht selbst Adressat der Schulungspflicht. Die Geschäftsleitung trägt die Letztverantwortung gemäß § 130 OWiG für die Einrichtung wirksamer Aufsichtsmaßnahmen, zu denen Schulung gehört.
Wie oft muss eine Datenschutz-Schulung wiederholt werden?
Die DSGVO selbst nennt keinen festen Turnus. Die deutsche Aufsichtspraxis und ISO/IEC 27001:2022 Control A.6.3 fordern eine Erstschulung im Onboarding innerhalb von 30 Tagen, danach mindestens eine jährliche Auffrischung mit Lernerfolgskontrolle sowie anlassbezogene Schulungen bei neuen Verarbeitungstätigkeiten, Datenpannen, neuen Systemen oder behördlichen Auskunftsersuchen. Wer länger als zwölf Monate ohne Auffrischung arbeitet, hat im Bußgeldverfahren ein Erklärungsproblem.
Welche Inhalte müssen in einer DSGVO-Schulung enthalten sein?
Mindestens acht Pflichtblöcke: Grundprinzipien nach Art. 5, Rechtsgrundlagen nach Art. 6 und 9, Betroffenenrechte nach Art. 12 bis 22, Meldepflichten nach Art. 33 und 34, Auftragsverarbeitung nach Art. 28, Drittstaatentransfers nach Art. 44 ff., technische und organisatorische Maßnahmen nach Art. 32 sowie rollenspezifische Vertiefungen je nach Abteilung und Datenkategorie. Beschäftigtendatenschutz nach § 26 BDSG ergänzt für HR-Funktionen verpflichtend.
Wie sieht ein auditfester Schulungsnachweis aus?
Ein belastbarer Nachweis enthält sieben Bestandteile: Inhaltsverzeichnis mit Versionsnummer und Geltungsdatum, Teilnehmerliste mit Funktion und Eintrittsdatum, Schulungsdatum und tatsächliche Dauer in Minuten, Bestätigung des Teilnehmenden idealerweise mit eIDAS-Signatur, Lernerfolgskontrolle mit Fragen und Ergebnis, Qualifikation des Trainers sowie Aufbewahrungsfrist von mindestens drei Jahren, unter NIS-2-Geltungsbereich von mindestens fünf Jahren ab Wirkung.
Müssen auch externe Dienstleister geschult sein?
Ja, soweit sie als Auftragsverarbeiter nach Art. 28 DSGVO personenbezogene Daten des Verantwortlichen verarbeiten, sind Schulung und Vertraulichkeitsverpflichtung erforderlich. Der Auftragsverarbeitungsvertrag sollte ausdrücklich Schulungsnachweise oder eine schriftliche Bestätigung der Schulung der eingesetzten Personen verlangen, bei sicherheitskritischen Diensten zusätzlich ein konkretes Einsichtsrecht und ein jährliches Reporting. Eine bloße NDA ohne dokumentierte Schulung reicht in der Aufsichtspraxis nicht.
Welche Bußgelder drohen bei fehlender Schulung?
Fehlende Schulung wird selten isoliert geahndet, aber als Indiz für mangelnde Aufsicht nach Art. 5 Abs. 2 DSGVO und § 130 OWiG gewertet. In Kombination mit einem konkreten Datenschutzverstoß sind Bußgelder bis 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes nach Art. 83 Abs. 5 DSGVO möglich. Aufsichtsbehörden ziehen die Schulungsdokumentation als wesentliches Bewertungsmerkmal in Art. 83 Abs. 2 lit. d heran.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.