Datenschutzschulung für Mitarbeiter: Pflicht nach Art. 32 DSGVO

Wer personenbezogene Daten verarbeitet, braucht mehr als eine Datenschutzerklärung auf der Website: Auch die eigenen Beschäftigten müssen regelmäßig im Datenschutz geschult und auf Vertraulichkeit verpflichtet werden.
Kurz erklärt: Beschäftigte, die personenbezogene Daten verarbeiten, müssen regelmäßig zum Datenschutz geschult und schriftlich auf das Datengeheimnis verpflichtet werden. Das betrifft praktisch jedes Unternehmen mit Personal, da schon die Verarbeitung von Mitarbeiterdaten darunterfällt. Fehlt diese organisatorische Maßnahme, drohen bei Datenpannen Bußgelder – menschliches Fehlverhalten zählt zu den häufigsten Ursachen.
Wer ist betroffen?
Betroffen ist jedes Unternehmen, das Beschäftigte hat, die mit personenbezogenen Daten arbeiten – dazu zählen nicht nur Kunden- oder Patientendaten, sondern auch die Daten der eigenen Kolleginnen und Kollegen, etwa Personalakten, Gehaltsabrechnungen oder Bewerberdaten. Damit fällt praktisch jedes Unternehmen mit Personal unter diese Pflicht, unabhängig von Größe oder Branche. Wer unsicher ist, ob und in welchem Umfang Beschäftigte im eigenen Betrieb betroffen sind, kann das im Rahmen eines Company Audit prüfen lassen.
Warum ist die Schulung Pflicht?
Die Sensibilisierung und Schulung der Beschäftigten ist Teil der organisatorischen Maßnahmen, die Art. 32 DSGVO für die Sicherheit der Verarbeitung verlangt, und gehört – sofern ein Datenschutzbeauftragter bestellt ist – zu dessen Aufgaben nach Art. 39 DSGVO. Der Grund liegt in der Praxis: Menschliches Fehlverhalten zählt zu den häufigsten Ursachen für Datenpannen, etwa eine falsch versendete E-Mail, ein verlorenes Gerät oder ein Klick auf einen Phishing-Link. Technische Schutzmaßnahmen wie Verschlüsselung oder Zugriffsrechte laufen ins Leere, wenn Beschäftigte nicht wissen, wie sie mit personenbezogenen Daten umgehen und wie sie einen Vorfall erkennen und melden. Deshalb verlangt die DSGVO neben technischen ausdrücklich auch organisatorische Maßnahmen wie diese Schulung.
Was müssen Sie konkret tun?
Die Umsetzung folgt einem festen Ablauf aus Identifikation, Schulungsinhalten, Durchführung und Dokumentation.
- Beschäftigte identifizieren, die mit personenbezogenen Daten (auch Beschäftigtendaten) arbeiten.
- Schulungsinhalte festlegen (Grundlagen, Vertraulichkeit, Umgang mit Anfragen, Meldung von Vorfällen).
- Schulung bei Einstellung und danach wiederkehrend durchführen.
- Beschäftigte auf das Datengeheimnis / die Vertraulichkeit verpflichten.
- Teilnahme mit Datum und Unterschrift dokumentieren.
In der Praxis wirken kurze, wiederkehrende Sensibilisierungen nachhaltiger als eine einmalige Grundschulung. Ein besonderer Fokus auf Phishing und den Umgang mit E-Mail-Anhängen senkt das Risiko von Datenpannen spürbar, da menschliches Fehlverhalten hier besonders häufig zum Einfallstor wird. Wer die Schulungsinhalte auf die tatsächlichen Datenkategorien im eigenen Betrieb zuschneidet – etwa Kundendaten im Vertrieb oder Beschäftigtendaten in der Personalabteilung –, erreicht eine höhere Akzeptanz als mit einer rein allgemeinen Präsentation.
Bis wann / wie oft?
Die Schulung erfolgt bei jeder Neueinstellung und wird danach jährlich wiederholt. Wer neue Beschäftigte einstellt, sollte die Grundschulung fest in den Onboarding-Prozess integrieren, damit niemand mit Zugriff auf personenbezogene Daten ungeschult arbeitet. Die jährliche Wiederholung hält Inhalte wie den Umgang mit Betroffenenanfragen oder die Meldung von Vorfällen präsent, auch wenn sich Abläufe oder gesetzliche Vorgaben im Unternehmen ändern. Sinnvoll ist es, feste Termine für die jährliche Auffrischung im Unternehmenskalender zu hinterlegen, damit die Wiederholung nicht im Tagesgeschäft untergeht.
Was droht bei Verstoß?
Unzureichende organisatorische Maßnahmen wie fehlende Schulung und Verpflichtung können mit Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Praktisch relevant wird das vor allem im Schadensfall: Kommt es zu einer Datenpanne, die auf menschliches Fehlverhalten zurückgeht, prüfen Aufsichtsbehörden regelmäßig, ob die Beschäftigten ausreichend geschult und auf Vertraulichkeit verpflichtet waren. Fehlt der Nachweis über Schulung und Verpflichtung, wiegt der Verstoß in der Bewertung der Behörde schwerer, selbst wenn die eigentliche Datenpanne auf ein einzelnes Versehen zurückgeht.
Häufige Fragen
Muss ich auch Aushilfen, Werkstudierende und Praktikanten schulen?
Ja. Maßgeblich ist nicht die Art des Arbeitsverhältnisses, sondern ob die betreffende Person mit personenbezogenen Daten arbeitet. Auch Aushilfen, Werkstudierende und Praktikanten müssen entsprechend geschult und auf das Datengeheimnis verpflichtet werden, wenn sie Zugriff auf solche Daten haben.
Reicht eine einmalige Schulung bei Einstellung aus?
Nein. Vorgesehen ist eine Schulung bei Einstellung und danach eine jährliche Wiederholung. Eine einmalige Grundschulung ohne regelmäßige Auffrischung erfüllt die Pflicht zur fortlaufenden Sensibilisierung nicht, da sich Risiken wie Phishing und der Umgang mit Anfragen ständig weiterentwickeln.
Muss die Verpflichtung auf das Datengeheimnis schriftlich erfolgen?
Die Verpflichtung sollte dokumentiert werden, damit sie im Zweifel nachweisbar ist. Dazu gehört, die Teilnahme an der Schulung sowie die Verpflichtung auf Vertraulichkeit mit Datum und Unterschrift der betreffenden Person festzuhalten.
Wer ist für die Durchführung der Schulung verantwortlich?
Die Sensibilisierung und Schulung der Beschäftigten zählt zu den organisatorischen Maßnahmen, für die das Unternehmen nach Art. 32 DSGVO verantwortlich ist. Ist ein Datenschutzbeauftragter bestellt, gehört die Überwachung dieser Schulungen zu dessen Aufgaben nach Art. 39 DSGVO.
Gilt die Pflicht auch für kleine Unternehmen ohne Datenschutzbeauftragten?
Ja. Die Pflicht zur Schulung und Sensibilisierung der Beschäftigten ergibt sich aus Art. 32 DSGVO und gilt unabhängig davon, ob ein Datenschutzbeauftragter bestellt ist. Auch kleinere Unternehmen müssen Beschäftigte, die personenbezogene Daten verarbeiten, entsprechend schulen und verpflichten.
Quelle: Art. 32 DSGVO · Art. 39 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
Fast jedes Unternehmen mit Kundendaten muss ein VVT nach Art. 30 DSGVO führen – sonst drohen Bußgelder bis 10 Mio. Euro.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.