Informationssicherheits-Schulung vs. Datenschutzschulung: Was Unternehmen brauchen

Datenschutzschulungen vermitteln, wie personenbezogene Daten nach der DSGVO rechtmäßig verarbeitet werden. Informationssicherheits-Schulungen sind breiter angelegt und schützen alle Informationen und Systeme eines Unternehmens, auch ohne Personenbezug. Seit Dezember 2025 gilt NIS2 zusätzlich – aber nur für rund 29.500 Einrichtungen. Nach diesem Beitrag wissen Sie, ob Ihr Unternehmen eine oder zwei Schulungen braucht – und wann eine DSGVO-Schulung genügt.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Was ist der Unterschied zwischen Informationssicherheit und Datenschutz?
Datenschutz ist ein Grundrecht: Er schützt Menschen davor, dass mit ihren personenbezogenen Daten missbräuchlich umgegangen wird. Rechtsgrundlage in der EU ist die DSGVO, ergänzt durch das BDSG. Im Mittelpunkt steht immer die Frage, ob Daten rechtmäßig, zweckgebunden und sicher verarbeitet werden.
Informationssicherheit hat ein anderes Schutzobjekt: Sie schützt alle schützenswerten Informationen eines Unternehmens – Konstruktionspläne, Rezepturen, Finanzdaten, Quellcode, Geschäftsgeheimnisse – unabhängig davon, ob ein Personenbezug besteht. Ziel ist die klassische Schutzziel-Trias Vertraulichkeit, Integrität und Verfügbarkeit. Ein Datenleck mit reinen Maschinendaten ist datenschutzrechtlich meist irrelevant, informationssicherheitstechnisch aber ein ernster Vorfall.
Wo überschneiden sich beide Bereiche?
Die größte Schnittmenge liegt dort, wo personenbezogene Daten technisch verarbeitet werden. Art. 5 Abs. 1 lit. f DSGVO verlangt als Grundsatz "Integrität und Vertraulichkeit" der Verarbeitung. Art. 32 DSGVO konkretisiert das als Pflicht zur Sicherheit der Verarbeitung: angemessene technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Belastbarkeit der Systeme und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Wer diese Pflicht erfüllt, betreibt faktisch Informationssicherheit für personenbezogene Daten.
Deshalb überschneiden sich die Basis-Inhalte einer DSGVO-Schulungspflicht für Mitarbeitende und einer allgemeinen Security-Awareness-Schulung stark. Vier Themen dienen beiden Zielen gleichzeitig:
- Sichere Passwörter und Zugangsdaten
- Das Erkennen von Phishing-Mails
- Der Umgang mit mobilen Geräten
- Klare Meldewege bei Sicherheitsvorfällen
Der Unterschied zeigt sich erst, sobald es um Informationen ohne Personenbezug oder um strukturierte Risikomanagement-Prozesse geht – dafür reicht reine Datenschutz-Sensibilisierung nicht aus.
Was verlangt NIS2 zusätzlich – und für wen gilt es?
Prüfen Sie zuerst, ob Sie überhaupt unter NIS2 fallen – für die meisten KMU lautet die Antwort: nein. Am 6. Dezember 2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft getreten und hat das BSI-Gesetz (BSIG) grundlegend neu gefasst. Nach Angaben des BSI unterliegen dadurch künftig rund 29.500 statt zuvor rund 4.500 Einrichtungen den neuen Regeln. Betroffen sind:
- Betreiber Kritischer Infrastrukturen – automatisch, unabhängig von der Größe
- Unternehmen bestimmter Sektoren (etwa Energie, Verkehr, Gesundheit, digitale Infrastruktur, Finanzwesen) oberhalb festgelegter Schwellenwerte bei Mitarbeiterzahl, Umsatz oder Bilanzsumme
- Keine Übergangsfrist: Die Registrierung läuft bereits zweistufig über "Mein Unternehmenskonto" und seit dem 6. Januar 2026 zusätzlich im BSI-Portal
Für die Praxis zentral ist § 38 BSIG: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um Risiken der Informationssicherheit zu erkennen, zu bewerten und deren Auswirkungen auf die eigenen Dienste zu beurteilen. Diese Pflicht ist nicht delegierbar und an die Geschäftsleitung persönlich gebunden. Bei einer Pflichtverletzung greift eine gesellschaftsrechtliche persönliche Haftung der Geschäftsleitung für schuldhaft verursachte Schäden. Wichtig für die Einordnung: Diese Schulungspflicht betrifft ausdrücklich nur Geschäftsleitungen registrierungspflichtiger NIS2-Einrichtungen – außerhalb dieses Anwendungsbereichs verpflichtet das Gesetz kein Unternehmen zu einer bestimmten Mitarbeiterschulung.
Datenschutzschulung und Informationssicherheits-Schulung im Vergleich
| Merkmal | Datenschutzschulung | Informationssicherheits-Schulung |
|---|---|---|
| Schutzobjekt | Personenbezogene Daten, Rechte betroffener Personen | Alle Informationen und Systeme, mit und ohne Personenbezug |
| Rechtsrahmen | DSGVO, BDSG | Freiwillig (ISO/IEC 27001, BSI-IT-Grundschutz); für NIS2-Einrichtungen zusätzlich das BSIG |
| Typische Inhalte | Rechtmäßigkeit der Verarbeitung, Betroffenenrechte, Meldepflichten, Auftragsverarbeitung | Phishing-Erkennung, Passwort-Hygiene, Risikomanagement, ISMS-Grundlagen |
| Zielgruppe | Alle Mitarbeitenden mit Datenzugriff | Alle Mitarbeitenden; NIS2 zusätzlich verpflichtend für die Geschäftsleitung |
| Nachweis | Teilnahmezertifikat / Schulungsnachweis | Je nach Rahmenwerk: internes Protokoll, ISMS-Dokumentation oder Zertifizierung |
Welche Schulung braucht mein Unternehmen?
Für die meisten kleinen und mittleren Unternehmen ohne NIS2-Registrierungspflicht ist eine fundierte Datenschutz-Grundlagenschulung der richtige erste Schritt. Sie deckt die rechtlichen Pflichten aus der DSGVO ab und vermittelt zugleich die Sicherheitsgrundlagen aus Art. 32 DSGVO: sichere Passwörter, Phishing-Erkennung und der richtige Umgang mit Daten im Arbeitsalltag. Das reicht als Basis-Sensibilisierung für den überwiegenden Teil der Belegschaft.
Unternehmen, die unter NIS2 registrierungspflichtig sind, brauchen zusätzlich mehr: ein strukturiertes Informationssicherheits-Managementsystem, üblicherweise orientiert an der internationalen Norm ISO/IEC 27001 oder am BSI-IT-Grundschutz. Beides sind freiwillige Rahmenwerke, keine gesetzlich vorgeschriebenen Zertifizierungen. Hinzu kommt die spezifische Geschäftsleitungsschulung nach § 38 BSIG. Eine allgemeine Datenschutzschulung kann diese Pflichten nicht ersetzen und ist auch nicht dafür ausgelegt.
Häufige Fragen (FAQ)
Ist eine Datenschutzschulung dasselbe wie eine Informationssicherheits-Schulung?
Nein. Beide überschneiden sich bei Grundlagen wie Phishing-Erkennung oder Passwort-Hygiene, haben aber ein unterschiedliches Schutzobjekt: Datenschutz schützt Personen und ihre Daten, Informationssicherheit schützt sämtliche Informationen und Systeme eines Unternehmens.
Deckt eine DSGVO-Schulung auch die Anforderungen aus Art. 32 DSGVO ab?
Eine gute Datenschutz-Grundlagenschulung vermittelt die Sensibilisierung, die Art. 32 DSGVO von Mitarbeitenden erwartet, etwa den sicheren Umgang mit Daten und Systemen. Die technisch-organisatorischen Maßnahmen selbst, etwa Verschlüsselung, Zugriffskonzepte oder Notfallpläne, muss ein Unternehmen zusätzlich technisch umsetzen und dokumentieren.
Muss jedes Unternehmen NIS2-Anforderungen erfüllen?
Nein, NIS2 betrifft nach Schätzung des BSI nur rund 29.500 Einrichtungen: automatisch Kritische Infrastrukturen, sonst nur Unternehmen bestimmter Sektoren oberhalb festgelegter Schwellenwerte. Ob die eigene Einrichtung betroffen ist, lässt sich über die Registrierungspflicht beim BSI prüfen.
Ersetzt eine Mitarbeiterschulung ein ISMS nach ISO 27001 oder BSI-IT-Grundschutz?
Nein. Eine Awareness-Schulung ist ein Baustein eines Informationssicherheits-Managementsystems, aber kein Ersatz dafür. ISO/IEC 27001 und BSI-IT-Grundschutz umfassen zusätzlich Risikoanalysen, technische Maßnahmen, Prozesse und in der Regel eine Zertifizierung oder Testierung durch unabhängige Stellen.
Als praxisnahen ersten Schritt bietet Provimedia eine DSGVO-Grundlagenschulung mit Teilnahmezertifikat an – sie deckt die Datenschutz-Sensibilisierung der Mitarbeitenden ab, ersetzt aber kein ISMS und keine NIS2-Geschäftsleitungsschulung nach § 38 BSIG.
Quellen
- BSI: Cybersicherheitsrecht – NIS-2-Umsetzungsgesetz in Kraft (Pressemitteilung, 05.12.2025)
- § 38 BSIG – Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitung
- BSI: Handreichung zur NIS-2-Geschäftsleitungsschulung nach § 38 BSIG
- BSI: IT-Grundschutz
- Verordnung (EU) 2016/679 (DSGVO), Art. 5 Abs. 1 lit. f, Art. 32 – EUR-Lex
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen
Phishing, Spear-Phishing, CEO-Fraud und Smishing zielen nicht auf Systeme, sondern auf Menschen. Welche Warnsignale eine Phishing-Mitarbeiter-Schulung vermitteln sollte und warum ein erfolgreicher Angriff schnell zur meldepflichtigen Datenschutzverletzung wird.
DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen
Vier reale DSGVO-Bußgeldfälle aus Deutschland zeigen, wie Behörden die Höhe bemessen – und dass Gerichte sie im Nachhinein auch wieder deutlich reduzieren können.
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Der Name wird laut ins Wartezimmer gerufen, die Terminerinnerung per SMS verschickt, die alte Akte entsorgt: Im Praxisalltag entscheiden Kleinigkeiten über Datenschutzverstöße. Der Beitrag zeigt, welche Situationen heikel sind, wann Sie einen Datenschutzbeauftragten brauchen und wie Sie Ihr Team nachweisbar schulen.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.