Sie haben Ihre Mitarbeiter im Datenschutz geschult. Der Auditor fragt nach dem Nachweis — und Sie legen eine Excel-Liste mit Namen vor. Genau hier scheitern die meisten Unternehmen, denn diese Liste belegt nichts. Wer den sicheren Umgang mit personenbezogenen Daten vermittelt, muss das auch datenschutzrechtlich sauber dokumentieren können.
Der Schulungsnachweis Datenschutz ist kein Verwaltungs-Selbstzweck. Er ist die direkte Folge der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Diese verlangt, dass Sie die Einhaltung der Datenschutzgrundsätze nicht nur sicherstellen, sondern auch nachweisen können.
Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung — und die Schulung der Mitarbeiter ist eine davon, denn personenbezogene Daten sind nur so sicher wie die Menschen, die sie verarbeiten. Ohne dokumentierten Nachweis existiert sie aus Sicht einer Aufsichtsbehörde schlicht nicht. Im Streitfall gilt: Was nicht dokumentiert ist, gilt als nicht erledigt. Bei Datenschutzverstößen droht zudem ein Bussgeld — und fehlende Nachweise verschlechtern Ihre Position spürbar.
Bei einer ISO-27001-Zertifizierung verschärft sich das. Der Standard fordert in den Bereichen Awareness und Competence (Annex A.6.3, in der Fassung von 2013 noch A.7.2.2) einen belegbaren Schulungsprozess. Bei einem TISAX-Assessment prüft der Auditor die entsprechenden Kontrollen des VDA-ISA-Katalogs zur Sensibilisierung — und dort genügt eine Behauptung nie, nur der Nachweis.
Fehlende oder unvollständige Schulungsnachweise sind einer der häufigsten Audit-Befunde — sowohl bei DSGVO-Kontrollen durch Aufsichtsbehörden als auch bei ISO-27001- und TISAX-Assessments. Eine Anwesenheitsliste ohne Inhaltsangabe wird regelmäßig als Abweichung gewertet.
Die drei Regelwerke greifen dasselbe Ziel auf — die nachweisbare Sensibilisierung und Schulung der Mitarbeiter — formulieren die Anforderung aber unterschiedlich streng. In allen Fällen geht es darum, die Belegschaft für den Umgang mit personenbezogenen Daten zu sensibilisieren und das auch belegen zu können. Die Verantwortung dafür trägt die Geschäftsführung gemeinsam mit dem Datenschutzbeauftragten.
| Regelwerk | Grundlage | Anforderung an den Nachweis |
|---|---|---|
| DSGVO | Art. 5 Abs. 2, Art. 39 | Rechenschaftspflicht: Schulung muss belegbar sein. Keine feste Frequenz, jährlich ist Standard |
| ISO 27001 | Annex A.6.3 (alt: A.7.2.2) | Belegbarer Awareness-Prozess mit Nachweis von Teilnahme und Kompetenz, jährlich im Zyklus |
| TISAX / VDA ISA | Kontrollen zur Sensibilisierung | Nachweis der regelmäßigen Schulung über den gesamten Assessment-Zeitraum |
| BSI-Grundschutz | Baustein ORP.3 | Messung und Dokumentation des Lernerfolgs, zielgruppengerecht |
Auffällig ist die Gemeinsamkeit: Kein Regelwerk akzeptiert die bloße Behauptung, geschult zu haben. Alle verlangen einen Beleg, der den Inhalt und idealerweise den Lernerfolg dokumentiert. Regelmäßige Datenschutzschulungen sind damit keine Kür, sondern fester Bestandteil eines belastbaren Datenschutzes — und Voraussetzung dafür, dass Sie auf das Thema Datenschutz im Audit überzeugend antworten können.
Ein Nachweis, der jedem Audit standhält, braucht sechs Bestandteile. Fehlt einer, hat der Auditor einen Ansatzpunkt für eine Abweichung.
Genau an diesem Punkt scheitern selbstgebaute Lösungen. Eine Excel-Tabelle erfasst meist nur Name und Datum. Inhalt, Testergebnis und der nächste Termin fehlen — und damit fehlt der halbe Nachweis. Ob Sie Ihre Belegschaft per Präsenz-Unterweisung oder per E-Learning schulen, ist dabei zweitrangig: Entscheidend ist, dass jede Datenschutz Schulung mit einem belegbaren Ergebnis endet — oft in Form eines Zertifikats pro Teilnehmer.
Lesetipp: Dieses Thema behandelt unser kostenloses E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand” (47 Seiten). Jetzt herunterladen →
Wer den Prozess einmal sauber aufsetzt, hat vor jedem Audit Ruhe.
Den vollständigen Schulungsfahrplan über das Jahr beschreiben wir in unserem Leitfaden Datenschutzschulung im Unternehmen planen. Wie oft Sie auffrischen sollten, lesen Sie unter Mitarbeiter schulen — wie oft?.
Genau für diesen Engpass haben wir Hugo Learn gebaut. Die Plattform ist eine KI-gestützte Schulungslösung für deutsche KMU — mit Modulen zu DSGVO, Phishing, Passwort-Hygiene, NIS2 und EU AI Act, integrierter Phishing-Simulation und einer monatlichen KI-Lektion.
Jede absolvierte Schulung erzeugt automatisch einen auditfesten Nachweis: Teilnehmer, Datum, Modul, Testergebnis und nächster Wiederholungstermin werden lückenlos protokolliert. Den kompletten Stand exportieren Sie als ZIP oder CSV im Audit-Format — für ISO 27001 und TISAX direkt vorlegbar.
Automatische Erinnerungen nach 7 und 14 Tagen sorgen dafür, dass niemand die Frist reißt. Gehostet wird in Deutschland, die Inhalte sind auf Deutsch. Hugo Learn ist eigenständig buchbar oder ab dem Hugo-DSB-Standard-Tarif enthalten. Wer parallel ein ISMS aufbaut, koppelt das mit Hugo ISMS für ISO 27001 und NIS2.
Schulungsnachweise sind technisch trivial — sie scheitern fast immer an der Disziplin, sie konsequent zu führen. Genau hier hilft eine Plattform, die den Nachweis nebenbei mitschreibt. Die meisten Datenpannen entstehen nicht durch fehlende Technik, sondern durch ungeschultes Personal: Ein falsch adressierter Anhang, ein angeklickter Phishing-Link. Wer seine Mitarbeiter regelmäßig unterweisen lässt, senkt dieses Risiko messbar — und kann es im Ernstfall sogar belegen.
Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.
Nils OehmichenDatenschutzberater bei frag.hugo
Eine Schulung ohne prüffesten Nachweis ist im Audit nichts wert. Sechs Angaben machen den Unterschied — Teilnehmer, Datum, Inhalt, Testergebnis, Wiederholung und Aufbewahrung. Wer das von Anfang an sauber dokumentiert und auf Knopfdruck exportieren kann, geht in jede ISO-27001- oder TISAX-Prüfung mit ruhiger Hand.
Auditfeste Schulungsnachweise — ohne Excel-Bastelei
Hugo Learn protokolliert jede Schulung lückenlos und exportiert den Nachweis als ZIP oder CSV im Audit-Format. Bis 5 Mitarbeiter dauerhaft kostenlos.
Hugo Learn kennenlernen →Ja. Aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO folgt, dass Sie die Schulung Ihrer Mitarbeiter nachweisen können müssen. ISO 27001 und TISAX verlangen den Nachweis zusätzlich für die Zertifizierung.
Teilnehmername, Datum, das vermittelte Modul beziehungsweise den Inhalt, das Testergebnis, den nächsten fälligen Wiederholungstermin und einen Hinweis zur Aufbewahrung. Eine reine Teilnahmeliste ohne Inhalt reicht nicht aus.
Eine feste gesetzliche Frist gibt es nicht. In der Praxis sind drei Jahre üblich, bei ISO 27001 mindestens ein voller Zertifizierungszyklus von drei Jahren. Bewahren Sie die Nachweise so lange auf, dass Sie zwei zurückliegende Audits belegen können.
Nein. Eine Liste mit Namen belegt nur Anwesenheit, nicht den vermittelten Inhalt oder den Lernerfolg. Auditoren wollen sehen, was geschult wurde, ob ein Test bestanden wurde und wann die nächste Wiederholung fällig ist.
Ja, sofern das System Teilnahme, Inhalt, Testergebnis und Wiederholung protokolliert. Eine Online-Plattform mit auditfestem Export erfüllt die formalen Anforderungen oft besser als eine Präsenzschulung mit handschriftlicher Liste.
Eine Datenschutzschulung vermittelt Mitarbeitern den rechtssicheren Umgang mit personenbezogenen Daten — etwa zu Themen wie DSGVO-Grundlagen, Phishing, sicheren Passwörtern und dem Melden von Datenpannen. Ziel ist, das Personal für Datenschutz zu sensibilisieren und Datenschutzverstöße im Alltag zu vermeiden.
Indirekt ja. Die DSGVO nennt keine ausdrückliche Schulungspflicht, verlangt über Art. 32 aber technische und organisatorische Maßnahmen für sichere Datenverarbeitung — dazu zählt, das Personal zu schulen. Über die Rechenschaftspflicht müssen Sie diese Datenschutzschulungen zudem belegen können.
Eine feste Frequenz schreibt das Gesetz nicht vor. In der Praxis hat sich eine jährliche Auffrischung etabliert, ergänzt um eine Erst-Unterweisung neuer Mitarbeiter und Anlass-Schulungen bei neuen Verfahren oder nach Datenpannen. ISO 27001 und TISAX setzen eine regelmäßige, mindestens jährliche Sensibilisierung voraus.
Notieren Sie pro Person Name, Datum, das geschulte Modul, das Testergebnis und den nächsten Wiederholungstermin — eine bloße Anwesenheitsliste genügt nicht. Am sichersten ist eine E-Learning-Plattform, die jede Teilnahme automatisch protokolliert und als Zertifikat sowie auditfesten Export bereitstellt.
Inhaltsverzeichnis
DSGVO Schulung Mitarbeiter Pflicht: Welche Paragrafen gelten, wie oft Sie schulen müssen und wie Sie den Nachweis bußgeldsicher führen. Jetzt nachlesen.
Weiterlesen
VS-NfD = Verschluss-Sache niedrigster Geheimhaltungsgrad. Wer betroffen ist, was BSI CON.11.1 verlangt, wie ein KMU das umsetzt — Komplett-Anleitung 2026.
Weiterlesen
Datenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
