77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Schulungsplattform Compliance: Was eine Pflichtschulung von einem Klickkurs unterscheidet
Plattform & Strategie

Schulungsplattform Compliance: Was eine Pflichtschulung von einem Klickkurs unterscheidet

13. Juli 202612 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Eine Compliance-Schulungsplattform muss mehr leisten als Videos abzuspielen. Aufsichten und Gerichte verlangen Teilnahme, Verstehen, Wiederholung und einen Beleg, der drei Jahre nach dem Vorfall noch belastbar ist. Dieser Beitrag zeigt, woran Sie das erkennen.

Nach § 130 OWiG haftet die Unternehmensleitung persönlich, wenn aufsichtsmäßige Pflichten verletzt werden, zu denen die Schulung der Mitarbeiter gehört. Bußgelder bis 10 Mio. Euro nach § 130 in Verbindung mit § 30 OWiG sind keine theoretische Größe, sondern reale Praxis der Staatsanwaltschaften und Landesaufsichten. Wer eine Schulungsplattform für Compliance einkauft, kauft daher kein Lernsystem im Sinne von Personalentwicklung, sondern ein Beweismittel für den Tag, an dem ein Vorfall die Frage stellt: Wurde der betroffene Mitarbeiter nachweislich geschult, hat er die Inhalte verstanden, und ist der Beleg drei Jahre später noch unverändert auffindbar? Wer diese Frage nicht innerhalb weniger Minuten beantworten kann, riskiert die persönliche Haftung der Geschäftsleitung.

Dieser Beitrag adressiert Compliance-Verantwortliche, die zwischen 24 unterschiedlichen LMS-Anbietern auswählen müssen. Er erklärt, woran Sie eine auditfeste Plattform von einem reinen Lernverwaltungssystem unterscheiden, welche Pflichtfelder eine Schulung nach DSGVO, GwG, NIS-2 und LkSG umfassen muss und wie der Nachweis vor Gericht aussieht. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die Schulungen, Bestellurkunden, Audit-Vorlagen und Berichtslinien in einer Aktenstruktur führt. Sie erhalten am Ende einen klaren Anforderungskatalog für die Beschaffung, einschließlich der Fragen, die Sie jedem LMS-Anbieter vor der Vertragsunterschrift stellen sollten.

Auf einen Blick

  • Eine auditfeste Compliance-Schulung dokumentiert Inhalt, Dauer, Verständnistest, Teilnehmer-ID und revisionssichere Aufbewahrung in einer Akte.
  • Pflichtschulungen ergeben sich aus § 4a GwG, Art. 39 DSGVO, § 4 BetrSichV, § 7 HinSchG, NIS-2-Pflichten und ISO/IEC 27001:2022 Control A.6.3.
  • Ein E-Learning-Klickkurs ohne Verständnisprüfung erfüllt die Aufsichtsanforderungen typischerweise nicht und kann im Verfahren als Schulungslücke ausgelegt werden.

Warum die Aufsicht nicht das Lernen, sondern den Nachweis prüft

Eine Aufsichtsprüfung interessiert sich für drei Fragen: Wer wurde geschult, wann, mit welchem Inhalt. Die vierte, oft unterschätzte Frage lautet: Wer hat die Schulung als verstanden bestätigt. § 130 OWiG verlangt aufsichtsmäßige Schulung, was als laufende Pflicht ausgelegt wird, nicht als einmaliges Onboarding. Eine Plattform, die nur den Klick auf den Abschluss-Button protokolliert, liefert keinen belastbaren Beleg. Aufsichtsbehörden wie die BaFin haben in ihrer Auslegungs- und Anwendungspraxis zum GwG mehrfach betont, dass Verständnistests Pflichtbestandteil einer Schulung sind.

Der zweite Aspekt ist die Aktualität. Compliance-Inhalte ändern sich, mit jeder Gesetzesnovelle und mit jeder Auslegungsentscheidung der Gerichte. Eine Schulung, die auf dem Stand von 2022 verharrt, während das HinSchG 2023 und die NIS-2-Umsetzung 2026 eingreifen, entfaltet keine Schutzwirkung. Auditfeste Plattformen müssen ihre Inhalte mit einem Versionsstempel ausliefern, damit nachvollziehbar bleibt, welcher Rechtsstand zum Zeitpunkt der Schulung galt.

CIVAC strukturiert Schulungen im Workspace mit Versionsstempel, Teilnehmer-ID, Verständnisprüfung und revisionssicherer Akte. Bestellurkunde, unterschrieben, abgelegt, belegbar, gilt auch für Schulungsbelege. Der Prüfer ruft an, der Nachweis liegt bereit. Wer die Datenschutzbeauftragten-Rolle auf einer Plattform betreibt, kombiniert die Beauftragtenfunktion mit der Schulungspflicht für Mitarbeiter, ohne separate Systeme zu pflegen. Genau diese Kopplung trennt eine Compliance-Schulungsplattform von einem reinen LMS. Ein klassisches LMS ist auf Lerneffekt optimiert, eine Compliance-Plattform auf Nachweisführung, Versionskontrolle und revisionssichere Akte. Beide Welten überlagern sich nur teilweise. Eine Aufsichtsprüfung nimmt die Nachweisführung als härteres Kriterium, weil sie sich gerichtlich überprüfen lässt, während pädagogische Wirksamkeit eine offene Bewertungsfrage bleibt. Die Beschaffung sollte deshalb vom Nachweis her gedacht werden, nicht vom didaktischen Konzept.

Pflichtschulungen nach Rechtsbereich: Was muss zwingend geschult werden

Nicht jede Schulung ist gesetzlich vorgeschrieben, aber die Pflichtkataloge sind umfangreicher als viele Unternehmen annehmen. Im Datenschutz verlangt Art. 39 Abs. 1 lit. b DSGVO ausdrücklich die Sensibilisierung und Schulung aller Mitarbeiter, die an Verarbeitungsvorgängen beteiligt sind. Die Aufsichtsbehörden konkretisieren dies in Anforderungen, die mindestens eine jährliche Auffrischung, eine dokumentierte Erstschulung beim Onboarding und themenspezifische Schulungen bei wesentlichen Änderungen der Verarbeitung umfassen.

Im Geldwäscherecht regelt § 6 Abs. 2 Nr. 6 GwG die Schulungspflicht für Mitarbeiter mit Bezug zu meldepflichtigen Vorgängen. Im Arbeitsschutz verpflichtet § 12 ArbSchG zu Unterweisungen vor Tätigkeitsbeginn und bei wesentlichen Änderungen, mindestens jährlich. Im Hinweisgeberschutz schreibt § 7 HinSchG die Schulung der internen Meldestelle vor, mit Mindestumfang zur Vertraulichkeit. Die NIS-2-Richtlinie verlangt in Art. 21 Abs. 2 lit. g Schulungen zur Cybersicherheit für alle Mitarbeiter. ISO/IEC 27001:2022 fordert in Control A.6.3 die regelmäßige Awareness-Schulung, mit dokumentiertem Nachweis je Mitarbeiter.

Ein konsolidiertes Schulungsportfolio deckt mindestens diese fünf Bereiche ab: Datenschutz, Geldwäsche, Arbeitsschutz, Informationssicherheit und Hinweisgeberschutz. CIVAC bündelt diese Pflichtkataloge in einer Plattform mit 25 Beauftragten-Rollen und 490 einsatzbereiten Audit-Vorlagen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Schulungsmodule sind miteinander verknüpft, damit ein gemeinsamer Schulungsplan über alle Rechtsbereiche entsteht, statt fünf parallel laufender Insellösungen mit redundanter Teilnehmerverwaltung. Über die Beauftragten-Bestellung im Workspace ist zusätzlich nachvollziehbar, welche Pflichtschulungen der jeweilige Beauftragte selbst absolviert hat, einschließlich Fortbildungspflicht je Rolle. Bei Aufsichtsanfragen lässt sich damit innerhalb von Sekunden belegen, dass die Beauftragten die für ihre Funktion erforderliche Fachkunde nachgewiesen halten.

Inhalt und Aufbau einer auditfesten Schulungseinheit

Eine Schulungseinheit, die Aufsichtsanforderungen erfüllt, besteht aus mindestens fünf Bausteinen. Erstens: Lernziel, schriftlich und messbar formuliert. Zweitens: Inhaltsmodul mit Rechtsstand-Versionierung, idealerweise als Mischung aus Text und Visualisierung. Drittens: Praxisbeispiele, die die abstrakte Norm auf konkrete Tätigkeiten der Zielgruppe übertragen. Viertens: Verständnisprüfung mit mindestens fünf Fragen, davon mindestens zwei Anwendungsfragen statt reiner Wissensfragen. Fünftens: Abschlussdokument mit Teilnehmer-ID, Datum, Inhaltsversion und Ergebnis der Verständnisprüfung.

Die häufigsten Mängel in der Praxis betreffen die Verständnisprüfung. Eine Multiple-Choice-Frage mit drei Antworten, von denen nur eine offensichtlich richtig ist, gilt nicht als Prüfung. Aufsichten und Gerichte erwarten eine Mindestschwelle von 80 % korrekten Antworten, mit Wiederholungspflicht bei Nichterreichen. Wer diese Schwelle nicht in der Plattform technisch verankert, riskiert einen formalen Schulungsmangel im Verfahren.

Die zweite Schwachstelle ist die Aktualität. Eine Schulung zur DSGVO, die das Schrems-II-Urteil von 2020 oder die neuen Standardvertragsklauseln von 2021 nicht abbildet, ist veraltet. Bei der NIS-2-Schulung gilt seit 2024 die nationale Umsetzung als Maßstab. Audit-Vorlagen von CIVAC werden mit jeder Rechtsänderung zentral aktualisiert, einschließlich Versionsstempel und einer Anzeige im Workspace, welche Mitarbeiter eine Wiederholungsschulung benötigen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Versionierung ist der zentrale Unterschied zwischen einem statischen E-Learning-Paket und einer dynamischen Compliance-Schulungsplattform. Ein Aufsichtsprüfer, der einen sieben Monate alten Schulungsbeleg sieht, fragt nach dem damaligen Rechtsstand. Nur wenn die Plattform diesen Rechtsstand mit Versionsstempel ausweist, ist der Beleg belastbar. Andernfalls bleibt im Verfahren der Zweifel, ob die Schulung den damals geltenden Anforderungen tatsächlich entsprochen hat. Dieser Zweifel reicht in aller Regel, um den Schulungsbeleg im Bußgeldverfahren zu entkräften.

Nachweisführung: Was der Schulungsbeleg drei Jahre später leisten muss

Ein Schulungsbeleg ist kein PDF-Zertifikat, sondern ein revisionssicherer Datensatz. Aufsichtsbehörden verlangen typischerweise eine Aufbewahrung von drei Jahren nach Beendigung der Tätigkeit des Mitarbeiters, in einigen Bereichen länger. Nach § 257 HGB gelten zehn Jahre für handelsrechtlich relevante Schulungen wie Geldwäsche. Der Datensatz muss mindestens enthalten: Eindeutige Teilnehmer-ID, Datum der Schulung, Versionsnummer des Inhalts, Ergebnis der Verständnisprüfung, Signatur des Verantwortlichen für die Schulungsdurchführung.

Revisionssicher heißt: nachträglich nicht veränderbar. Eine Plattform, die Schulungseinträge im Tagesbetrieb editierbar lässt, erfüllt diese Anforderung nicht. Praxistauglich ist eine Lösung, die Änderungen nur als nachvollziehbare Korrektur mit Historie zulässt, vergleichbar einer revisionssicheren Buchhaltung. Die GoBD-Grundsätze für die Aufbewahrung digitaler Belege gelten sinngemäß für Schulungsnachweise, sobald sie im Rahmen einer Aufsichtsprüfung herangezogen werden.

CIVAC speichert Schulungsbelege im Workspace mit hashbasierter Versionssicherung und EU-Datenresidenz. Der Beleg ist über die Mitarbeiter-ID, das Datum oder die Schulungsversion abrufbar. Eine Aufsichtsanfrage zu einer drei Jahre alten Schulung lässt sich im Workspace in unter 60 Sekunden beantworten, mit Ausdruck eines auditfesten Belegs. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Schnelligkeit der Auffindbarkeit ist nicht nur Komfort, sondern in vielen Aufsichtsverfahren auch ein mildernder Faktor in der Bußgeldbemessung, weil sie eine funktionierende Compliance-Organisation belegt. Die Bußgeldleitlinien der Aufsichten sehen ausdrücklich Milderungsgründe für Unternehmen vor, die nachweislich eine wirksame Schulungs- und Dokumentationsstruktur betreiben. Wer hingegen Schulungsbelege erst aus PDFs auf Netzlaufwerken rekonstruieren muss, signalisiert das Gegenteil. Diese Wahrnehmungswirkung wird in der Compliance-Beschaffung häufig unterschätzt, ist im Verfahren aber regelmäßig spürbar. Eine schnelle Auffindbarkeit gilt erfahrungsgemäß ab vier bis sechs Wochen nach Aufsichtsanfrage als kritischer Faktor.

Differenzierte Zielgruppen: Warum eine Standardschulung nicht reicht

Ein Werkstudent in der Buchhaltung benötigt eine andere Datenschutzschulung als ein Vorstand. Aufsichten erwarten eine Risikoorientierung, die sich in der Plattform-Architektur niederschlägt. § 4a Abs. 1 GwG verlangt risikoangepasste Schulungen, was im Geldwäschebereich klassisch in drei Gruppen abgebildet wird: Basisschulung für alle, vertiefte Schulung für Mitarbeiter mit Kundenbezug, Sonderschulung für Geldwäschebeauftragte und Stellvertreter.

Im Datenschutz gilt eine ähnliche Logik. Mitarbeiter ohne Zugang zu personenbezogenen Daten benötigen eine Sensibilisierungsschulung, Mitarbeiter mit Verarbeitungstätigkeiten eine vertiefte Schulung, IT-Administratoren eine Sonderschulung zu technisch-organisatorischen Maßnahmen. Eine Schulungsplattform, die nur eine Standardschulung ausspielt, verletzt diese Risikoorientierung formal.

Praktisch lässt sich die Differenzierung über Rollenprofile abbilden. Beim Onboarding wird jeder Mitarbeiter einem Rollenprofil zugewiesen, die Plattform spielt die passenden Module aus. Bei Wechseln innerhalb des Unternehmens, etwa Versetzungen aus dem Vertrieb in die Buchhaltung, wird das Rollenprofil aktualisiert und eine ergänzende Schulung ausgespielt. CIVAC bildet Rollenprofile für 25 Beauftragten-Rollen ab, einschließlich des Geldwäschebeauftragten und der zugehörigen Mitarbeitergruppen. Die Schulungspläne werden mit den Bestellurkunden verknüpft, sodass eine Berichtslinie aus Bestellung, Schulung und Vorfallsmeldung in einer einzigen Plattform entsteht. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Risikoorientierung bedeutet zusätzlich, dass sich Schulungstiefe an der Datenart und dem Schadenspotenzial orientiert: Verarbeitungen besonderer Kategorien nach Art. 9 DSGVO erfordern eine andere Schulungsintensität als reine Adressdaten. Genau diese Tiefenstaffelung lässt sich nur dann sauber dokumentieren, wenn die Plattform Verarbeitungsregister und Schulungsmodule miteinander verknüpft. Eine isolierte Schulungslösung erzeugt sonst Lücken zwischen tatsächlicher Verarbeitung und nachgewiesenem Wissensstand der Mitarbeiter.

Sprachen, Standorte und internationale Konzerne

Compliance-Schulungen müssen in der Sprache erfolgen, die der Mitarbeiter ausreichend versteht. Bei Werksbetrieben mit hohem Anteil internationaler Mitarbeiter ist die deutsche Schulung allein nicht hinreichend. Arbeitsgerichte haben mehrfach entschieden, dass eine in der Landessprache nicht verstandene Schulung keinen Schulungsbeleg im Sinne der aufsichtsrechtlichen Anforderungen begründet. Praxistauglich sind Mindestpakete in Deutsch, Englisch und der jeweils relevantesten weiteren Konzernsprache, häufig Polnisch, Türkisch, Spanisch oder Französisch.

Die Lokalisierung muss mehr leisten als Wort-für-Wort-Übersetzung. Verweise auf nationale Gesetze sind anzupassen, Beispiele müssen kulturell tragfähig sein, die Verständnisprüfung in der jeweiligen Sprache valide. Eine Schulungsplattform, die nur eine maschinelle Übersetzung der deutschen Originalversion anbietet, schafft im Konfliktfall mehr Probleme als sie löst.

Für Konzerne mit Standorten in der DACH-Region kommt die Mehrfach-Rechtslage hinzu. Eine österreichische Tochter braucht den österreichischen DSG-Rechtsstand, eine Schweizer Tochter den revDSG-Rechtsstand. CIVAC bündelt diese Lokalisierungen in einer Plattform mit getrennten Versionsstempeln je Rechtsraum. Die Berichtslinie zum Konzern bleibt erhalten, lokale Aufsichten erhalten den passenden Beleg. EU-Datenresidenz ist hierbei kein Detail, sondern Voraussetzung für die Akzeptanz durch französische und österreichische Aufsichten, die bei US-gehosteten Schulungsplattformen regelmäßig Nachfragen zur Datenübermittlung in Drittstaaten stellen. Frist läuft ab Kenntnis, das gilt auch für die Bearbeitung solcher Nachfragen. Eine weitere Erfahrungstatsache: Werks- und Produktionsstandorte mit häufigen Schichtwechseln benötigen eine mobiltaugliche Schulungsoberfläche, weil klassische Bürorechner-Schulungen dort weder zeitlich noch räumlich tragen. Ein Verzicht auf mobile Schulungswege führt empirisch zu deutlich niedrigeren Abschlussquoten, was wiederum den Aufsichtsbeleg schwächt. Eine Aufsicht prüft Quoten, nicht Absichten, deshalb sind 95 % Abschluss in Schicht- und Werksumgebungen praktisch nur über mobile Oberflächen erreichbar.

Schnittstellen: Wie Schulungen mit HR, Audit und Bestellurkunden verzahnen

Eine Schulungsplattform ohne Schnittstellen wird zur Insel. Die wichtigsten Verzahnungen betreffen drei Bereiche: HR-Systeme für Mitarbeiterstammdaten, Audit-Systeme für die Prüfungsplanung, Berichtssysteme für die Geschäftsleitung. Bei einem Mitarbeiterwechsel muss die Schulungsplattform automatisch erkennen, dass ein neues Rollenprofil greift. Bei Austritt sind Schulungsbelege archivpflichtig, dürfen aber nicht mehr als aktive Pflicht angezeigt werden.

Die zweite Schnittstelle betrifft die Audit-Planung. Eine interne Revision sollte aus der Plattform heraus Stichproben zu Schulungsbelegen ziehen können, mit Filter nach Rollenprofil, Standort und Schulungsdatum. Die dritte Schnittstelle betrifft die Berichtslinie zur Geschäftsleitung. Quartalsberichte sollten automatisch die Schulungsquoten je Rollenprofil und je Standort ausweisen, mit Hinweis auf säumige Bereiche.

CIVAC kombiniert diese drei Schnittstellen in einer Plattform mit standardisierten APIs zu gängigen HR-Systemen. Die Berichtslinie zur Geschäftsleitung wird automatisch aus den Schulungsdaten und den Bestellurkunden der Beauftragten erzeugt, mit Verknüpfung zu Vorfallsmeldungen und Audit-Ergebnissen. Damit entsteht eine durchgängige Akte: Bestellung, Schulung, Vorfall, Bericht. Der Prüfer ruft an, der Nachweis liegt bereit. Bestellurkunde, unterschrieben, abgelegt, belegbar, gilt für die Beauftragtenfunktion genauso wie für die Schulungsdokumentation. Diese Verzahnung ist der wirtschaftliche Hebel: Eine Compliance-Schulungsplattform ohne Anschluss an die Beauftragtenstruktur erzeugt Doppelarbeit, eine integrierte Plattform vermeidet sie. Konzerne, die ihre Schulungsplattform über offene Schnittstellen an die SAP-HR-Welt oder an Workday anbinden, reduzieren die Pflegeaufwände in der Stammdatenführung typischerweise um 60 bis 80 %. Diese Effizienz schlägt direkt auf die Quote vollständig dokumentierter Pflichtschulungen durch, die in Aufsichtsprüfungen das härteste quantitative Kriterium darstellt. Ohne diese Schnittstellen entstehen sonst Stammdatenbrüche, die im Audit zu falsch negativen Befunden führen können.

Kosten und Make-or-Buy: Wann lohnt eine eigene Plattform, wann eine Lizenz

Eine eigene Schulungsplattform zu bauen kostet nicht primär in der Lizenz, sondern in der Pflege der Inhalte. Eine durchschnittliche DSGVO-Schulung wird zwei- bis dreimal pro Jahr aktualisiert, je nach Gesetzeslage und Aufsichtspraxis. Bei einem Portfolio von zehn Schulungsthemen entstehen damit jährlich zwischen 20 und 30 Aktualisierungszyklen, jeder mit Recherche, Modulanpassung, Verständnisprüfung und Übersetzung. Hochgerechnet liegt der jährliche Pflegeaufwand bei einer eigenen Plattform zwischen 80.000 und 200.000 Euro, je nach Anzahl der Sprachen und der Komplexität der Module.

Eine lizenzierte Plattform mit zentral gepflegten Inhalten verlagert diesen Pflegeaufwand zum Anbieter. Der Preis pro Mitarbeiter pro Jahr liegt typischerweise zwischen 25 und 80 Euro, abhängig vom Modulumfang. Bei 500 Mitarbeitern sind das 12.500 bis 40.000 Euro, deutlich unter den Eigenpflegekosten. Die Schwelle, ab der eine Eigenentwicklung wirtschaftlich tragen könnte, liegt typischerweise bei mehreren tausend Mitarbeitern und einem hochspezifischen Inhaltsbedarf, der von Standardanbietern nicht abgedeckt wird.

CIVAC bietet beide Modelle: Workspace-Lizenz für interne Beauftragte, die ihre Schulungen mit den 490 Audit-Vorlagen selbst betreiben, oder externe Bestellung mit voller Schulungsdurchführung als Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Plattform-Architektur ist in beiden Fällen identisch, mit EU-Datenresidenz und revisionssicherer Aktenführung. Eine Hybridvariante, bei der bestimmte Pflichtschulungen extern bezogen werden und unternehmensspezifische Schulungen intern erstellt werden, ist die in der Praxis häufigste Konstellation im Mittelstand. Sie erlaubt es, regulatorische Pflichtkataloge zu vergleichbaren Kosten extern abzudecken und gleichzeitig die unternehmensspezifischen Inhalte, etwa zur eigenen Datenklassifikation, intern zu halten. Wichtig ist nur, dass beide Welten in einer einzigen Akte zusammenlaufen, damit der Schulungsbeleg für die Aufsicht einheitlich bleibt.

Aus dem Lesen einen Auftrag machen

Eine Compliance-Schulungsplattform ist kein Lernsystem, sondern ein Beweismittel. Der Unterschied zwischen einem auditfesten Schulungsbeleg und einem reinen Klicknachweis entscheidet im Verfahren über die Bußgeldhöhe und über die persönliche Haftung der Geschäftsleitung nach § 130 OWiG. Eine Plattform, die diesen Anspruch erfüllt, kombiniert versionierte Inhalte, dokumentierte Verständnisprüfungen, revisionssichere Aufbewahrung und eine durchgängige Schnittstelle zur Beauftragtenstruktur.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 490 Audit-Vorlagen und EU-Datenresidenz. Die Schulungsfunktion ist nicht ein Modul neben anderen, sondern integraler Bestandteil der Akte aus Bestellurkunde, Schulungsbeleg, Vorfallsmeldung und Bericht. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Plattform ist in zwei Werktagen einsatzbereit, mit den wichtigsten Standardschulungen vorbefüllt.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir beantworten Anfragen werktags innerhalb von vier Stunden mit einem konkreten Vorschlag zur Schulungsarchitektur, einschließlich Indikation zu Zielgruppen, Sprachen, Modulumfang und Berichtslinie. In einem Vorgespräch klären wir, ob Ihre Compliance-Organisation eine Workspace-Lizenz oder eine externe Schulungsdurchführung benötigt. Bestellurkunde, unterschrieben, abgelegt, belegbar, gilt vom ersten Tag an. Der gesamte Schulungs- und Beauftragtenpfad ist anschlussfähig an Ihre bestehenden HR- und Audit-Systeme, ohne dass Sie eine eigene Integrationsabteilung aufbauen müssen. Wer die Plattform zunächst für eine Pflichtrolle wie den Datenschutzbeauftragten einrichtet und im zweiten Schritt weitere Beauftragten-Rollen ergänzt, vermeidet einen Big-Bang-Roll-out und gewinnt frühe Aufsichtssicherheit, ohne die Organisation in einer Woche umzubauen. Aus dem Lesen einen Auftrag machen, im wörtlichen Sinn: Ein erster Vorschlag liegt nach dem Vorgespräch innerhalb von 24 Stunden vor, mit kalkulierter Sprach- und Rollenabdeckung.

FAQ

Reicht ein E-Learning-Klickkurs als Compliance-Schulungsnachweis?

Nein, ein reiner Klickkurs ohne Verständnisprüfung erfüllt die Aufsichtsanforderungen nach § 130 OWiG, Art. 39 DSGVO und § 6 GwG typischerweise nicht. Erforderlich sind mindestens fünf Prüfungsfragen mit dokumentiertem Ergebnis und einer Mindestschwelle von rund 80 % korrekten Antworten. Ohne Verständnisprüfung ist der Beleg im Bußgeldverfahren angreifbar. Aufsichten erwarten zusätzlich Wiederholungspflichten bei Nichterreichen der Schwelle und eine versionierte Dokumentation jeder Schulungseinheit.

Wie lange müssen Compliance-Schulungsnachweise aufbewahrt werden?

Drei Jahre nach Beendigung der Tätigkeit gelten als Mindestmaß, abgeleitet aus der Praxis der Aufsichten. Im Geldwäscherecht greift über § 257 HGB faktisch eine Zehnjahresfrist. Die Aufbewahrung muss revisionssicher erfolgen, also nachträglich nicht veränderbar, mit Versionsstempel des Inhalts zum Zeitpunkt der Schulung. Eine spätere Wiederherstellung des Belegs aus einem PDF-Ordner ohne Versionierung gilt regelmäßig nicht als ausreichender Nachweis.

Welche Sprachen muss eine Compliance-Schulungsplattform anbieten?

Mindestens die Arbeitssprache jedes Mitarbeiters, der nachweislich Pflichtinhalte verstehen muss. In der Praxis bedeutet das für deutsche Konzerne mindestens Deutsch und Englisch, häufig zusätzlich Polnisch oder Türkisch. Eine maschinelle Übersetzung allein genügt nicht, weil Verweise auf nationale Gesetze und Praxisbeispiele angepasst werden müssen. Arbeitsgerichte haben mehrfach bestätigt, dass eine nicht verstandene Schulung keinen wirksamen Schulungsnachweis erzeugt.

Müssen wir alle Mitarbeiter gleich schulen oder nach Rolle differenzieren?

Differenzierung nach Rolle ist Pflicht, nicht Option. § 4a GwG verlangt risikoangepasste Schulungen, im Datenschutz folgt das aus Art. 39 DSGVO und der Auslegungspraxis. Mindestens drei Gruppen sind sinnvoll: allgemeine Sensibilisierung, vertiefte Schulung für Verarbeitungstätigkeiten, Sonderschulung für Beauftragte und Stellvertreter mit erweitertem Inhalt. Die Differenzierung wird am sinnvollsten über Rollenprofile in der Plattform abgebildet, mit automatischer Zuordnung beim Onboarding.

Wann lohnt sich eine eigene Schulungsplattform gegenüber einer Lizenz?

Eine Eigenentwicklung trägt sich wirtschaftlich erst ab mehreren tausend Mitarbeitern und sehr spezifischem Inhaltsbedarf. Die jährlichen Pflegekosten liegen typischerweise zwischen 80.000 und 200.000 Euro, deutlich über einer Lizenz für 500 Mitarbeiter. Hybridmodelle mit lizenzierten Pflichtschulungen und eigenen unternehmensspezifischen Modulen sind im Mittelstand am häufigsten. Voraussetzung für das Hybridmodell ist eine Plattform, die beide Inhaltsquellen in einer einzigen revisionssicheren Akte zusammenführt.

Wie schnell kann CIVAC eine Schulungsplattform für unser Unternehmen einsatzbereit machen?

Die Standardplattform ist in zwei Werktagen einsatzbereit, mit den 37 Audit-Vorlagen und den wichtigsten Pflichtschulungen vorbefüllt. Eine Anbindung an bestehende HR-Systeme erfolgt in der Regel innerhalb von zwei Wochen. Lokalisierungen in weitere Konzernsprachen und unternehmensspezifische Module werden nach Abschluss des Onboardings nachgezogen, ohne den Standardbetrieb zu unterbrechen. Der erste Pflichtschulungsbeleg ist damit innerhalb der ersten Arbeitswoche prüfungsfähig vorhanden.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge