DSGVO-Schulungspflicht: Müssen Mitarbeiter geschult werden?
Einen einzelnen DSGVO-Artikel mit dem Wortlaut "Mitarbeiter müssen im Datenschutz geschult werden" gibt es nicht. Die Pflicht ergibt sich mittelbar, aber zwingend aus mehreren Vorschriften: der Rechenschaftspflicht (Art. 5 Abs. 2), der Pflicht zu technischen und organisatorischen Maßnahmen (Art. 24, Art. 32) und der ausdrücklich genannten Aufgabe "Sensibilisierung und Schulung der Mitarbeiter" (Art. 39 Abs. 1 lit. b). Eine feste Frequenz nennt das Gesetz nicht; üblich ist eine jährliche Auffrischung.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Steht die Schulungspflicht wörtlich in der DSGVO?
Nein, und diese Präzision ist wichtig: Es gibt keine "gesetzlich vorgeschriebene Pflichtschulung" im engeren Sinn – also keinen einzelnen Paragrafen, der ein bestimmtes Schulungsformat oder eine bestimmte Dauer vorschreibt. Wer das behauptet, argumentiert unsauber. Was es dagegen gibt, ist ein Geflecht aus Vorschriften, das ohne geschultes Personal faktisch nicht erfüllbar ist.
Welche Vorschriften begründen die Schulung in der Praxis?
| Vorschrift | Was sie verlangt | Bezug zur Schulung |
|---|---|---|
| Art. 5 Abs. 2 DSGVO | Rechenschaftspflicht: Einhaltung der Grundsätze nachweisen | Ohne informierte Mitarbeiter kaum nachweisbar umzusetzen |
| Art. 24 DSGVO | Verantwortlicher trifft geeignete technische und organisatorische Maßnahmen | Dazu zählt organisatorisch auch die Sensibilisierung des Personals |
| Art. 32 Abs. 4 DSGVO | Personen mit Datenzugriff dürfen nur auf Weisung des Verantwortlichen verarbeiten | Setzt voraus, dass diese Weisungen bekannt und verstanden sind |
| Art. 39 Abs. 1 lit. b DSGVO | Aufgabe des Datenschutzbeauftragten: Überwachung inkl. "Sensibilisierung und Schulung" | Nennt Schulung ausdrücklich als Baustein der Compliance-Überwachung |
In der Summe ergibt sich: Ein Unternehmen, das seine Mitarbeiter nicht über grundlegende Datenschutzregeln informiert, kann kaum glaubhaft belegen, dass es die Grundsätze aus Art. 5 DSGVO im Alltag umsetzt. Die Schulung ist damit faktisch notwendig, ohne dass ein einzelner Artikel sie wörtlich anordnet.
Gilt das auch für kleine Unternehmen ohne eigenen Datenschutzbeauftragten?
Ja. Die Pflicht zur Bestellung eines Datenschutzbeauftragten greift in Deutschland grundsätzlich erst, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 Abs. 1 BDSG). Die zugrunde liegenden Pflichten aus Art. 5, Art. 24 und Art. 32 DSGVO gelten aber unabhängig von der Unternehmensgröße. Auch ein kleines Unternehmen ohne DSB profitiert davon, seine Mitarbeiter zu schulen und den Nachweis zu dokumentieren.
Wie oft muss geschult werden?
Eine feste, gesetzlich fixierte Frequenz nennt die DSGVO nicht. In der Praxis hat sich eine jährliche Auffrischung plus anlassbezogene Nachschulung als gängiger Standard etabliert – etwa beim Onboarding neuer Mitarbeiter, bei neuen Tools (zum Beispiel KI-Anwendungen) oder nach relevanten Rechtsänderungen. Das ist eine Praxisempfehlung, keine feste gesetzliche Vorgabe; maßgeblich bleibt der Einzelfall und im Zweifel die Einschätzung Ihres Datenschutzbeauftragten.
Was passiert, wenn ich nicht schule?
Es gibt keinen eigenen Bußgeldtatbestand für "fehlende Schulung". Fehlt sie aber, wird es im Ernstfall – etwa nach einer Datenpanne – schwerer, die Rechenschaftspflicht nach Art. 5 Abs. 2 zu erfüllen. Bei der Bemessung eines Bußgeldes berücksichtigt die Aufsichtsbehörde unter anderem die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen (Art. 83 Abs. 2 DSGVO). Nachweislich geschulte Mitarbeiter können sich hier positiv auswirken, ein Bußgeld schließen sie nicht automatisch aus.
Was gehört inhaltlich in eine gute Datenschutzschulung?
Für den Arbeitsalltag praxisrelevant sind typischerweise:
- Grundbegriffe: personenbezogene Daten, Verarbeitung, Verantwortlicher (Art. 4)
- Rechtsgrundlagen und Beschäftigtendatenschutz
- Betroffenenrechte im Alltag (Auskunft, Löschung, Widerspruch)
- Datensicherheit am Arbeitsplatz und technische/organisatorische Maßnahmen
- Umgang mit Datenpannen und externen Dienstleistern (Auftragsverarbeitung)
- KI-Tools wie ChatGPT im Arbeitsalltag
Wichtig für die spätere Nachweisführung: Eine Schulung sollte am Ende dokumentiert werden – mit Datum, Name der geschulten Person und den behandelten Inhalten. Nur so lässt sich im Ernstfall belegen, dass die Sensibilisierung tatsächlich stattgefunden hat, nicht nur behauptet wird.
Häufige Fragen (FAQ)
Ist Datenschutzschulung gesetzlich vorgeschrieben?
Nicht als eigener, wörtlicher Paragraf. Sie ergibt sich aber faktisch aus der Rechenschaftspflicht (Art. 5 Abs. 2), aus Art. 24 und Art. 32 sowie aus der ausdrücklich genannten DSB-Aufgabe "Sensibilisierung und Schulung" (Art. 39 Abs. 1 lit. b DSGVO).
Wie oft muss ich meine Mitarbeiter schulen?
Die DSGVO nennt keine feste Frequenz. Übliche Praxis ist eine jährliche Auffrischung plus Schulung bei neuen Mitarbeitern, neuen Tools oder relevanten Rechtsänderungen.
Reicht eine einmalige Schulung beim Berufseinstieg?
Rechtlich gibt es dazu keine feste Vorgabe. Da sich Tools, Prozesse und Risiken ändern, gilt eine einmalige Schulung ohne Auffrischung als schwacher Nachweis für eine laufende Rechenschaftspflicht.
Brauche ich dafür zwingend einen externen Anbieter?
Nein, das Gesetz schreibt keinen Anbieter vor. Ein strukturiertes, dokumentiertes Programm mit datiertem Nachweis erleichtert aber im Vergleich zu einer rein mündlichen Unterweisung den Beleg gegenüber Aufsichtsbehörden.
Sie wollen die Schulungspflicht ohne Aufwand erfüllen? Unser KI-Zertifikat zeigt, wie ein digitales, in rund 90 Minuten absolvierbares Schulungsformat mit datiertem Nachweis funktioniert; die inhaltsgleiche DSGVO-Grundlagenschulung für Mitarbeiter folgt in Kürze. Mehr zu den Dokumenten der Rechenschaftspflicht lesen Sie in unserem Beitrag Rechenschaftspflicht nach DSGVO.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 5 Abs. 2, Art. 24, Art. 32 Abs. 4, Art. 39 Abs. 1 lit. b, Art. 83 Abs. 2 – eur-lex.europa.eu
- Bundesdatenschutzgesetz (BDSG), § 38 Abs. 1 (Benennungspflicht Datenschutzbeauftragter) – gesetze-im-internet.de
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
KI und Datenschutz: Was Mitarbeiter bei ChatGPT & Co. beachten müssen
Ein Prompt mit Kundendaten ist datenschutzrechtlich eine ganz normale Verarbeitung. Die wichtigsten DSGVO-Regeln für ChatGPT, Copilot & Co. am Arbeitsplatz – und wo der EU AI Act zusätzlich greift.
"DSGVO-Zertifizierung" nach Art. 42 vs. Teilnahmezertifikat: der Unterschied
Eine "DSGVO-Zertifizierung" nach Art. 42 und ein Teilnahmezertifikat einer Schulung sind zwei grundverschiedene Dinge. Was jede davon wirklich bedeutet – und warum der Unterschied für Sie zählt.
Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen und was rein muss
Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Die Pflichtinhalte und eine Prüf-Checkliste.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.