So erleben wir es in der täglichen Beratung. Nicht, weil die Bereitschaft fehlt. Sondern weil niemand weiß, wo anfangen. Wie oft? Für wen? Online oder vor Ort? Und wie dokumentiert man das Ganze, ohne einen halben Ordner zu füllen?
Die gute Nachricht: Es ist weniger kompliziert, als es aussieht. In diesem Leitfaden zeigen wir Ihnen, wie Sie Datenschutzschulungen im Unternehmen sinnvoll planen – mit konkreten Beispielen aus unserer Beratungspraxis. Wenn Sie direkt loslegen möchten: Unsere Datenschutzschulungen in Hamburg gibt es ab 29 € pro Mitarbeiter — online, als Live-Webinar oder vor Ort.
Die kurze Antwort: fast immer. Die DSGVO nennt in Art. 39 Abs. 1 lit. b die “Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter” als Kernaufgabe des Datenschutzbeauftragten. Eine konkrete Frequenz schreibt die Verordnung nicht vor – doch in der Praxis haben sich klare Standards etabliert.
Wer nach ISO 27001 zertifiziert ist, hat ohnehin eine jährliche Schulungsverpflichtung. Und mit dem NIS2-Umsetzungsgesetz kommen für viele Unternehmen weitere Anforderungen hinzu – auch an die Geschäftsführung selbst.
| Regelwerk | Pflicht | Häufigkeit |
|---|---|---|
| DSGVO (Art. 39) | Sensibilisierung und Schulung aller Mitarbeiter, die personenbezogene Daten verarbeiten | Keine feste Vorgabe – empfohlen: mindestens jährlich |
| ISO 27001 (A.7.2.2) | Schulung und Bewusstseinsbildung zur Informationssicherheit | Jährlich, mit Nachweis |
| NIS2 (§ 38 NIS2UmsuCG) | Schulung der Geschäftsleitung und regelmäßige Mitarbeitersensibilisierung | Regelmäßig, Geschäftsleitung persönlich |
Die Konsequenz: Wenn Sie einen externen Datenschutzbeauftragten bestellt haben, gehört die Schulungsplanung zu seinen Aufgaben. Wenn nicht, liegt die Verantwortung bei der Geschäftsführung – und damit auch die Haftung. Mehr dazu in unserem Artikel Datenschutz ist Chefsache.
Fehlende Schulungsnachweise sind einer der häufigsten Audit-Befunde – sowohl bei DSGVO-Prüfungen durch Aufsichtsbehörden als auch bei ISO-27001-Audits durch den TÜV.
Theorie ist das eine. In der Praxis beraten wir gerade ein Industrieunternehmen mit 120 Mitarbeitern, davon rund 60 mit PC-Zugriff. Für 2026 haben wir gemeinsam einen Schulungsplan erarbeitet: sechs Schulungen übers Jahr verteilt, alle in Präsenz. Frühjahr und Herbst jeweils zwei Termine, Sommer und Winter nach Bedarf.
Der entscheidende Punkt: Wenn zum 1. August neue Azubis anfangen, wird das Thema Datenschutz gleich im Onboarding abgearbeitet. Nicht drei Monate später, wenn sich schlechte Gewohnheiten bereits eingeschliffen haben.
| Quartal | Format | Zielgruppe | Thema |
|---|---|---|---|
| Q1 (Februar) | Präsenz | Alle MA mit PC-Zugriff, Gruppe A | DSGVO-Grundlagen, Phishing erkennen |
| Q1 (März) | Präsenz | Alle MA mit PC-Zugriff, Gruppe B | DSGVO-Grundlagen, Phishing erkennen |
| Q2 (Juni) | Präsenz | Führungskräfte + IT | Meldepflichten bei Datenpannen, Verantwortung der Geschäftsleitung |
| Q3 (August) | Präsenz | Neue Azubis + neue Mitarbeiter | Onboarding: Datenschutz-Basics, Ansprechpartner, Meldewege |
| Q3 (Oktober) | Präsenz | Alle MA mit PC-Zugriff, Gruppe A | Auffrischung: Social Engineering, sichere Passwörter |
| Q4 (November) | Präsenz | Alle MA mit PC-Zugriff, Gruppe B | Auffrischung: Social Engineering, sichere Passwörter |
Das Prinzip: Zwei große Wellen im Frühjahr und Herbst decken die Breite ab. Dazwischen gezielte Termine für Führungskräfte und Neueinsteiger. Am Jahresende liegt eine vollständige Liste vor – jeder Mitarbeiter wurde nachweislich geschult.
Für Unternehmen mit mehreren Standorten sieht das etwas anders aus. Einen unserer Mandanten – ein Dienstleistungsunternehmen mit 60 Mitarbeitern – schulen wir mit fünf Terminen pro Jahr: zwei in Präsenz, drei online. So erreichen wir alle Standorte, ohne dass der halbe Betrieb für einen Reisetag ausfällt.
Wir betreuen mehrere Mandanten aus der Schifffahrt. Dort schulen wir mindestens alle zwei Jahre – auf Deutsch und Englisch, meistens vor Ort. Was uns bei diesen Schulungen besonders wichtig ist: die Hemmschwelle senken.
Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.
Nils OehmichenDatenschutzberater bei frag.hugo
Das klingt banal. Ist es aber nicht. In vielen Unternehmen herrscht das Gefühl: “Wenn ich beim Datenschutzbeauftragten anrufe, habe ich irgendwas falsch gemacht.” Genau das muss eine gute Schulung auflösen. Der Datenschutzbeauftragte ist kein Kontrolleur, sondern Ansprechpartner. Wenn Mitarbeiter das verstanden haben, melden sie verdächtige E-Mails, fragen nach bevor sie Daten weitergeben, und sprechen Unsicherheiten an, statt sie zu ignorieren.
Das ist der eigentliche Mehrwert einer Schulung. Nicht das Zertifikat am Ende.
Hamburger Unternehmen haben mit dem HmbBfDI eine besonders aktive Aufsichtsbehörde vor der Tür. Bei Prüfungen fragt der HmbBfDI gezielt nach Schulungsnachweisen — fehlen diese, wird es unangenehm. Gerade in Hamburgs starkem Hafen- und Logistiksektor, wo internationale Datenflüsse Alltag sind, brauchen Mitarbeitende praxisnahe Schulungen zum Umgang mit Daten aus Drittstaaten. Eine professionelle Datenschutzschulung in Hamburg deckt genau diese regionalen Anforderungen ab.
Als externer Datenschutzbeauftragter übernehmen wir die komplette Schulungsplanung und -durchführung für Ihr Unternehmen: Jahresplanung, Inhalte, Präsenz- und Online-Termine, Dokumentation. Auf Deutsch und Englisch, für Teams von 10 bis 200 Mitarbeitern.
Dazu prüft unser Hugo Check Ihre Website automatisiert auf DSGVO-Verstöße – damit Sie wissen, wo Sie stehen, bevor die Aufsichtsbehörde es tut. Und wenn Sie Ihre gesamte IT-Sicherheitsberatung aus einer Hand wollen, sprechen wir auch darüber.
Schulungsplanung für Ihr Unternehmen
In 15 Minuten besprechen wir Ihre aktuelle Schulungssituation und zeigen Ihnen, was sinnvoll wäre. Ohne Verkaufsdruck.
Kostenloses Erstgespräch buchen →Die DSGVO schreibt keine feste Frequenz vor, aber mindestens einmal jährlich ist die gängige Empfehlung. Bei ISO-27001-Zertifizierung ist eine jährliche Schulung verpflichtend. Für Branchen mit hohem Datenaufkommen (Gesundheit, Finanzen, Schifffahrt) empfehlen wir halbjährliche Auffrischungen.
Ja, als Ergänzung. Reine Online-Schulungen erfüllen die formalen Anforderungen. In der Praxis wirken Präsenztermine aber deutlich besser – gerade beim ersten Mal. Wir empfehlen eine Mischung: mindestens ein Präsenztermin pro Jahr, ergänzt durch Online-Auffrischungen.
Datum der Schulung, Thema, Name des Referenten, Teilnehmerliste mit Unterschriften (bei Präsenz) oder Login-Nachweis (bei Online). Bei ISO-27001-Audits wird genau diese Dokumentation geprüft. Bewahren Sie die Nachweise mindestens drei Jahre auf.
Neue Mitarbeiter sollten im Onboarding eine Kurzeinweisung erhalten – idealerweise in der ersten Arbeitswoche. Das kann ein 30-minütiges Gespräch mit dem Datenschutzbeauftragten sein oder eine aufgezeichnete Online-Schulung. Wichtig: Auch dieses Onboarding dokumentieren.
Gesetzlich gibt es keine formale Qualifikationsanforderung. In der Praxis führt meist der (externe) Datenschutzbeauftragte die Schulungen durch – das ist auch die Empfehlung der Aufsichtsbehörden. Interne Schulungen durch geschulte Mitarbeiter sind ebenfalls möglich, sofern die Inhalte fachlich korrekt und aktuell sind.
Inhaltsverzeichnis
BAFA-Förderung für Datenschutzberatung: Bis zu 2.800 Euro Zuschuss für KMU. Antragsprozess, Voraussetzungen und Fristen bis Ende 2026 erklärt.
WeiterlesenEndpoint Security für KMU: Virenschutz, Content Filtering und DSGVO-konforme Absicherung aller Endgeräte im Unternehmen.
WeiterlesenPseudonymisierung vs. Anonymisierung nach DSGVO: Unterschiede, Pflichten und wie Unternehmen personenbezogene Daten rechtskonform verarbeiten.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
