Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Datenschutz-Schulung Pflicht: Wer muss schulen? | vsca
Datenschutz-SchulungZuletzt aktualisiert: 2026-06-23

Datenschutz-Schulung Pflicht: Häufigkeit und Nachweis im Überblick

Zuletzt aktualisiert: 23.06.2026

Ob die Datenschutz-Schulung Pflicht ist, lautet eine der häufigsten Fragen im Mittelstand – und die ehrliche Antwort ist: Es gibt kein einzelnes Gesetz, das wortwörtlich „Sie müssen einmal im Jahr eine Datenschutz-Schulung durchführen" anordnet. Trotzdem kommen Sie an der Schulung praktisch nicht vorbei. Sie folgt mittelbar aus der Rechenschaftspflicht der DSGVO, aus den Aufgaben des Datenschutzbeauftragten – und seit Kurzem aus weiteren Regelwerken wie NIS2 und dem EU AI Act. Dieser Ratgeber sortiert, wer betroffen ist, wie oft geschult werden sollte und wie Sie den Nachweis sauber führen.

Zur Datenschutz-Schulung – wir schulen Ihr Team praxisnah und stellen Ihnen einen prüffesten Nachweis aus.

Hinweis: Dieser Beitrag ist eine Orientierungshilfe und ersetzt keine Rechtsberatung im Einzelfall. Alle Angaben entsprechen dem Stand 23.06.2026.

Der Hook: Die teuerste Schwachstelle sitzt am Schreibtisch

Die meisten Datenschutzvorfälle entstehen nicht durch Hacker-Genies, sondern durch ganz alltägliche Fehler: die E-Mail an den falschen Verteiler, der USB-Stick im Café, die Antwort auf eine täuschend echte Phishing-Mail. Technik allein schützt davor nicht. Wirksam wird Datenschutz erst, wenn die Menschen, die täglich mit personenbezogenen Daten arbeiten, wissen, worauf sie achten müssen.

Genau deshalb ist die Schulung kein „Nice-to-have", sondern der Hebel mit dem besten Verhältnis von Aufwand zu Wirkung. Und sie ist mittlerweile fester Bestandteil dessen, was Aufsichtsbehörden und Gerichte als angemessene Datenschutz-Organisation erwarten.

Das Problem: „Pflicht" steht im Gesetz – nur nicht so, wie viele denken

Die DSGVO enthält keinen Paragrafen mit der Überschrift „Schulungspflicht". Wer danach sucht, findet sie scheinbar nicht – und schließt daraus fälschlich, sie sei freiwillig. Die Pflicht ergibt sich an mehreren Stellen mittelbar, dafür aber umso belastbarer:

  • Rechenschaftspflicht: Verantwortliche müssen die Einhaltung der Datenschutz-Grundsätze nicht nur sicherstellen, sondern auch nachweisen können. Geschulte, sensibilisierte Mitarbeitende gehören zu den technisch-organisatorischen Maßnahmen, mit denen Sie diesen Nachweis führen.
  • Aufgaben des Datenschutzbeauftragten: Zu den gesetzlichen Aufgaben eines Datenschutzbeauftragten gehört ausdrücklich die Sensibilisierung und Schulung der an Verarbeitungen beteiligten Mitarbeitenden.
  • Weisung und Vertraulichkeit: Personen, die unter der Aufsicht des Verantwortlichen Daten verarbeiten, dürfen dies nur auf Weisung tun. Ohne Schulung wissen sie schlicht nicht, was die Weisung praktisch bedeutet.

Kurz: Niemand zwingt Sie zu einem bestimmten Schulungsformat – aber wer im Ernstfall keine Schulung nachweisen kann, hat ein Problem bei der Rechenschaftspflicht. Und das wird bei der Bemessung von Bußgeldern berücksichtigt.

Wer ist von der Datenschutz-Schulung betroffen?

Die Schulungspflicht hängt nicht an der Unternehmensgröße. Sie betrifft jede Organisation, die personenbezogene Daten verarbeitet – also faktisch jedes Unternehmen mit Beschäftigten oder Kund:innen. Geschult werden sollten:

  • alle Mitarbeitenden, die mit personenbezogenen Daten in Berührung kommen (HR, Vertrieb, Marketing, IT, Buchhaltung, Kund:innenservice),
  • neue Mitarbeitende im Rahmen des Onboardings, bevor sie eigenständig mit Daten arbeiten,
  • Führungskräfte, weil sie Prozesse verantworten und Vorbild für die Datenschutz-Kultur sind,
  • die Geschäftsleitung selbst – sie haftet und muss die Organisation überblicken.

Ein verbreiteter Irrtum: „Wir haben einen Datenschutzbeauftragten, der kümmert sich." Der Datenschutzbeauftragte überwacht und schult – aber er nimmt Ihnen die Verantwortung nicht ab. Verantwortlich für die Einhaltung bleibt die Geschäftsleitung.

Wie oft muss geschult werden?

Auch hier gibt es keine starre gesetzliche Frist wie „alle zwölf Monate". Maßgeblich ist, dass die Schulung wirksam und aktuell bleibt. In der Praxis hat sich folgender Rhythmus bewährt – er ist Empfehlung, keine gesetzlich fixierte Zahl:

AnlassEmpfohlene Schulung
Onboardingvor dem ersten eigenständigen Umgang mit Daten
Auffrischungregelmäßig wiederkehrend, üblicherweise jährlich
Bei Änderungennach neuen Prozessen, Tools oder Rechtslagen (z. B. neue KI-Software)
Nach einem Vorfallanlassbezogen, um die konkrete Schwachstelle zu schließen

Entscheidend ist weniger das exakte Intervall als die Lückenlosigkeit und Dokumentation: Eine jährliche Auffrischung plus anlassbezogene Schulungen deckt den typischen Bedarf zuverlässig ab.

Über die DSGVO hinaus: Wo Schulung ausdrücklich gefordert ist

2026 ist die DSGVO nicht mehr das einzige Regelwerk mit Schulungsbezug. Diese drei Entwicklungen sollten Sie kennen:

  • NIS2: Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Es bringt für betroffene Einrichtungen eine persönliche Haftung der Geschäftsleitung und eine ausdrückliche Schulungspflicht für die Leitungsebene mit sich. Betroffen sind rund 29.500 Einrichtungen in 18 Sektoren ab 50 Mitarbeitenden oder 10 Mio. € Umsatz; Bußgelder reichen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Eine NIS2-Betroffenheit verschärft die Anforderungen an Schulung und Nachweis deutlich.
  • EU AI Act: Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht (Art. 4) – und zwar für jedes Unternehmen, das KI nutzt, ausdrücklich auch bei reiner ChatGPT- oder Copilot-Nutzung. Wer Datenschutz schult, sollte den KI-Umgang gleich mitdenken, denn beide Themen greifen ineinander.
  • DSGVO-Durchsetzung: Die Aufsichtsbehörden setzen weiter konsequent durch. Der deutsche Bußgeld-Rekord liegt bei 45 Mio. € (BfDI gegen Vodafone, 3. Juni 2025 – unter anderem wegen unzureichender Kontrolle von Auftragsverarbeitern). EU-weit summieren sich die DSGVO-Bußgelder auf rund 6,1 Mrd. € (CMS Enforcement Tracker, Stand 03/2026).

Hinweis zu kursierenden Falschmeldungen: Eine angebliche „Novelle des Hinweisgeberschutzgesetzes 2026 mit verpflichtenden Schulungs-Audits" ist nicht zutreffend und sollte nicht als Grundlage für Entscheidungen dienen.

So setzen Sie die Schulungspflicht um – in 4 Schritten

  1. Betroffenheit klären: Wer verarbeitet bei Ihnen welche Daten – und greifen zusätzlich NIS2 oder die KI-Kompetenzpflicht?
  2. Inhalte zuschneiden: Eine wirksame Schulung ist rollenspezifisch: HR braucht anderes als die IT. Allgemeine Folien „von der Stange" verfehlen oft den Praxisbezug.
  3. Schulen und sensibilisieren: Idealerweise mit konkreten Beispielen aus dem Alltag Ihres Unternehmens – das bleibt hängen.
  4. Dokumentieren: Teilnahme, Inhalte und Datum festhalten, sodass Sie die Schulung auf Nachfrage der Aufsichtsbehörde belegen können. Ohne Nachweis zählt die beste Schulung im Zweifel nicht.

Mini-Fazit

Die Datenschutz-Schulung ist faktisch Pflicht – auch wenn sie in der DSGVO nicht unter diesem Namen steht. Sie ergibt sich aus der Rechenschaftspflicht, aus den Aufgaben des Datenschutzbeauftragten und zunehmend aus angrenzenden Regelwerken wie NIS2 und dem EU AI Act. Die gute Nachricht: Der Aufwand ist überschaubar und der Schutzeffekt hoch. Wer regelmäßig, rollenspezifisch und nachweisbar schult, schließt die größte Schwachstelle im Datenschutz – den menschlichen Fehler – und kann im Ernstfall seine Sorgfalt belegen.

Zur Datenschutz-Schulung

Sie wollen Ihr Team rechtssicher schulen lassen – mit Inhalten, die zu Ihren Prozessen passen, und einem Nachweis, der einer Prüfung standhält? Die vsquadrat compliance advisory GmbH konzipiert und führt praxisnahe Datenschutz-Schulungen durch: risikobasiert statt formalistisch, on demand buchbar und ohne erzwungene Langfristbindung. TÜV-zertifizierte Datenschutzbeauftragte aus unserem Team begleiten Sie dabei.

Zur Datenschutz-Schulung

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Über die Autorin: Tabea Lehnert ist Managing Director Legal, Compliance & Datenschutz bei der vsquadrat compliance advisory GmbH. Als Wirtschaftsjuristin (LL.M.) und TÜV-zertifizierte Datenschutzbeauftragte & Compliance Officerin verantwortet sie den Aufbau von Compliance-Management-Systemen, Auditierung und Datenschutz-Schulungen für den Mittelstand.

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben nach bestem Wissen zum Stand 23.06.2026. Dieser Text ersetzt keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.