Datenschutzschulung Mitarbeiterschulung DSGVO ISO 27001 KMU

Datenschutzschulung im Unternehmen planen: Der Praxisleitfaden

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • Schulungspflicht: Die DSGVO, ISO 27001 und NIS2 verpflichten Unternehmen zur regelmäßigen Datenschutzschulung – mit unterschiedlichen Anforderungen an Häufigkeit und Nachweis.
  • Planung schlägt Aktionismus: Ein Schulungsplan über das gesamte Jahr verteilt (z. B. sechs Termine in Präsenz und online) erreicht mehr Mitarbeiter als eine einzelne Pflichtveranstaltung.
  • Praxis entscheidet: Schulungen wirken dann, wenn Mitarbeiter danach wissen, wen sie bei Fragen anrufen können – nicht, wenn sie eine Prüfung bestanden haben.
  • Dokumentation nicht vergessen: Am Jahresende muss nachweisbar sein, dass jeder Mitarbeiter geschult wurde. Das fordern Aufsichtsbehörden und Auditoren gleichermaßen.

”Das Thema Schulung ist für viele Unternehmen ein Riesenproblem”

So erleben wir es in der täglichen Beratung. Nicht, weil die Bereitschaft fehlt. Sondern weil niemand weiß, wo anfangen. Wie oft? Für wen? Online oder vor Ort? Und wie dokumentiert man das Ganze, ohne einen halben Ordner zu füllen?

Die gute Nachricht: Es ist weniger kompliziert, als es aussieht. In diesem Leitfaden zeigen wir Ihnen, wie Sie Datenschutzschulungen im Unternehmen sinnvoll planen – mit konkreten Beispielen aus unserer Beratungspraxis. Wenn Sie direkt loslegen möchten: Unsere Datenschutzschulungen in Hamburg gibt es ab 29 € pro Mitarbeiter — online, als Live-Webinar oder vor Ort.

Wann sind Datenschutzschulungen Pflicht?

Die kurze Antwort: fast immer. Die DSGVO nennt in Art. 39 Abs. 1 lit. b die “Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter” als Kernaufgabe des Datenschutzbeauftragten. Eine konkrete Frequenz schreibt die Verordnung nicht vor – doch in der Praxis haben sich klare Standards etabliert.

Wer nach ISO 27001 zertifiziert ist, hat ohnehin eine jährliche Schulungsverpflichtung. Und mit dem NIS2-Umsetzungsgesetz kommen für viele Unternehmen weitere Anforderungen hinzu – auch an die Geschäftsführung selbst.

Schulungspflichten nach Regelwerk

RegelwerkPflichtHäufigkeit
DSGVO (Art. 39)Sensibilisierung und Schulung aller Mitarbeiter, die personenbezogene Daten verarbeitenKeine feste Vorgabe – empfohlen: mindestens jährlich
ISO 27001 (A.7.2.2)Schulung und Bewusstseinsbildung zur InformationssicherheitJährlich, mit Nachweis
NIS2 (§ 38 NIS2UmsuCG)Schulung der Geschäftsleitung und regelmäßige MitarbeitersensibilisierungRegelmäßig, Geschäftsleitung persönlich
1×/Jahr
Mindest-Schulung
120
MA im Praxisbeispiel
6
Termine pro Jahr
DE + EN
Schulungssprachen

Die Konsequenz: Wenn Sie einen externen Datenschutzbeauftragten bestellt haben, gehört die Schulungsplanung zu seinen Aufgaben. Wenn nicht, liegt die Verantwortung bei der Geschäftsführung – und damit auch die Haftung. Mehr dazu in unserem Artikel Datenschutz ist Chefsache.

Achtung:

Fehlende Schulungsnachweise sind einer der häufigsten Audit-Befunde – sowohl bei DSGVO-Prüfungen durch Aufsichtsbehörden als auch bei ISO-27001-Audits durch den TÜV.

Der Schulungsplan: So geht’s richtig

Theorie ist das eine. In der Praxis beraten wir gerade ein Industrieunternehmen mit 120 Mitarbeitern, davon rund 60 mit PC-Zugriff. Für 2026 haben wir gemeinsam einen Schulungsplan erarbeitet: sechs Schulungen übers Jahr verteilt, alle in Präsenz. Frühjahr und Herbst jeweils zwei Termine, Sommer und Winter nach Bedarf.

Der entscheidende Punkt: Wenn zum 1. August neue Azubis anfangen, wird das Thema Datenschutz gleich im Onboarding abgearbeitet. Nicht drei Monate später, wenn sich schlechte Gewohnheiten bereits eingeschliffen haben.

Schulungsplan 2026 – Beispiel Industrieunternehmen (120 MA)

QuartalFormatZielgruppeThema
Q1 (Februar)PräsenzAlle MA mit PC-Zugriff, Gruppe ADSGVO-Grundlagen, Phishing erkennen
Q1 (März)PräsenzAlle MA mit PC-Zugriff, Gruppe BDSGVO-Grundlagen, Phishing erkennen
Q2 (Juni)PräsenzFührungskräfte + ITMeldepflichten bei Datenpannen, Verantwortung der Geschäftsleitung
Q3 (August)PräsenzNeue Azubis + neue MitarbeiterOnboarding: Datenschutz-Basics, Ansprechpartner, Meldewege
Q3 (Oktober)PräsenzAlle MA mit PC-Zugriff, Gruppe AAuffrischung: Social Engineering, sichere Passwörter
Q4 (November)PräsenzAlle MA mit PC-Zugriff, Gruppe BAuffrischung: Social Engineering, sichere Passwörter

Das Prinzip: Zwei große Wellen im Frühjahr und Herbst decken die Breite ab. Dazwischen gezielte Termine für Führungskräfte und Neueinsteiger. Am Jahresende liegt eine vollständige Liste vor – jeder Mitarbeiter wurde nachweislich geschult.

Für Unternehmen mit mehreren Standorten sieht das etwas anders aus. Einen unserer Mandanten – ein Dienstleistungsunternehmen mit 60 Mitarbeitern – schulen wir mit fünf Terminen pro Jahr: zwei in Präsenz, drei online. So erreichen wir alle Standorte, ohne dass der halbe Betrieb für einen Reisetag ausfällt.

Aus der Praxis: Schifffahrt, Sprache und die richtige Haltung

Wir betreuen mehrere Mandanten aus der Schifffahrt. Dort schulen wir mindestens alle zwei Jahre – auf Deutsch und Englisch, meistens vor Ort. Was uns bei diesen Schulungen besonders wichtig ist: die Hemmschwelle senken.

Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Das klingt banal. Ist es aber nicht. In vielen Unternehmen herrscht das Gefühl: “Wenn ich beim Datenschutzbeauftragten anrufe, habe ich irgendwas falsch gemacht.” Genau das muss eine gute Schulung auflösen. Der Datenschutzbeauftragte ist kein Kontrolleur, sondern Ansprechpartner. Wenn Mitarbeiter das verstanden haben, melden sie verdächtige E-Mails, fragen nach bevor sie Daten weitergeben, und sprechen Unsicherheiten an, statt sie zu ignorieren.

Das ist der eigentliche Mehrwert einer Schulung. Nicht das Zertifikat am Ende.

5 Tipps für wirksame Datenschutzschulungen

  1. Mischen Sie Präsenz und Online. Vor-Ort-Schulungen schaffen Vertrauen und ermöglichen echte Gespräche. Online-Termine sind effizient für Auffrischungen und verteilte Teams. Die Kombination ist ideal – und realistisch.
  2. Denken Sie an Sprachen. Internationale Teams brauchen Schulungen in ihrer Arbeitssprache. Eine Schulung auf Deutsch, die die Hälfte der Belegschaft nicht versteht, ist vergeudete Zeit. Wir schulen regelmäßig auf Deutsch und Englisch.
  3. Integrieren Sie Datenschutz ins Onboarding. Neue Mitarbeiter und Azubis sollten am ersten Arbeitstag wissen, wen sie bei Datenschutzfragen kontaktieren. Das gehört genauso zum Onboarding wie der Zugang zum E-Mail-System.
  4. Dokumentieren Sie lückenlos. Am Jahresende muss eine Liste existieren, die belegt: Jeder Mitarbeiter wurde geschult. Datum, Thema, Teilnehmername. Das ist kein Bürokratie-Fetisch – es ist eine Anforderung, die Aufsichtsbehörden und ISO-Auditoren gleichermaßen prüfen.
  5. Machen Sie es konkret, nicht abstrakt. Zeigen Sie echte Phishing-Mails statt Paragraphen. Besprechen Sie Fälle aus dem eigenen Unternehmen. Lassen Sie Fragen zu – auch die vermeintlich dummen. Je praxisnäher die Schulung, desto nachhaltiger die Wirkung.
Auf den Punkt: Eine wirksame Datenschutzschulung ist keine Pflichtveranstaltung, die man abhakt. Sie ist das stärkste Werkzeug, um aus Ihren Mitarbeitern eine aktive Sicherheitslinie zu machen – wenn Sie es richtig planen.

Datenschutzschulungen in Hamburg: Besondere Anforderungen

Hamburger Unternehmen haben mit dem HmbBfDI eine besonders aktive Aufsichtsbehörde vor der Tür. Bei Prüfungen fragt der HmbBfDI gezielt nach Schulungsnachweisen — fehlen diese, wird es unangenehm. Gerade in Hamburgs starkem Hafen- und Logistiksektor, wo internationale Datenflüsse Alltag sind, brauchen Mitarbeitende praxisnahe Schulungen zum Umgang mit Daten aus Drittstaaten. Eine professionelle Datenschutzschulung in Hamburg deckt genau diese regionalen Anforderungen ab.

So unterstützen wir Sie

Als externer Datenschutzbeauftragter übernehmen wir die komplette Schulungsplanung und -durchführung für Ihr Unternehmen: Jahresplanung, Inhalte, Präsenz- und Online-Termine, Dokumentation. Auf Deutsch und Englisch, für Teams von 10 bis 200 Mitarbeitern.

Dazu prüft unser Hugo Check Ihre Website automatisiert auf DSGVO-Verstöße – damit Sie wissen, wo Sie stehen, bevor die Aufsichtsbehörde es tut. Und wenn Sie Ihre gesamte IT-Sicherheitsberatung aus einer Hand wollen, sprechen wir auch darüber.

Schulungsplanung für Ihr Unternehmen

In 15 Minuten besprechen wir Ihre aktuelle Schulungssituation und zeigen Ihnen, was sinnvoll wäre. Ohne Verkaufsdruck.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Wie oft muss eine Datenschutzschulung stattfinden?

Die DSGVO schreibt keine feste Frequenz vor, aber mindestens einmal jährlich ist die gängige Empfehlung. Bei ISO-27001-Zertifizierung ist eine jährliche Schulung verpflichtend. Für Branchen mit hohem Datenaufkommen (Gesundheit, Finanzen, Schifffahrt) empfehlen wir halbjährliche Auffrischungen.

Reicht eine Online-Schulung aus?

Ja, als Ergänzung. Reine Online-Schulungen erfüllen die formalen Anforderungen. In der Praxis wirken Präsenztermine aber deutlich besser – gerade beim ersten Mal. Wir empfehlen eine Mischung: mindestens ein Präsenztermin pro Jahr, ergänzt durch Online-Auffrischungen.

Was muss ich dokumentieren?

Datum der Schulung, Thema, Name des Referenten, Teilnehmerliste mit Unterschriften (bei Präsenz) oder Login-Nachweis (bei Online). Bei ISO-27001-Audits wird genau diese Dokumentation geprüft. Bewahren Sie die Nachweise mindestens drei Jahre auf.

Was ist mit neuen Mitarbeitern, die zwischen den Schulungsterminen anfangen?

Neue Mitarbeiter sollten im Onboarding eine Kurzeinweisung erhalten – idealerweise in der ersten Arbeitswoche. Das kann ein 30-minütiges Gespräch mit dem Datenschutzbeauftragten sein oder eine aufgezeichnete Online-Schulung. Wichtig: Auch dieses Onboarding dokumentieren.

Wer darf Datenschutzschulungen durchführen?

Gesetzlich gibt es keine formale Qualifikationsanforderung. In der Praxis führt meist der (externe) Datenschutzbeauftragte die Schulungen durch – das ist auch die Empfehlung der Aufsichtsbehörden. Interne Schulungen durch geschulte Mitarbeiter sind ebenfalls möglich, sofern die Inhalte fachlich korrekt und aktuell sind.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Über den Autor

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutz­beratung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Vollständiges Profil LinkedIn
Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel