Vier Gesetze, unterschiedliche Intervalle, lückenloser Nachweis – wer Pflichtschulungen im KMU systematisch managt, schützt sich vor Bußgeldern und gewinnt einen echten Wettbewerbsvorteil.
Pflichtschulungen für Mitarbeiter sind gesetzlich vorgeschriebene Schulungsmaßnahmen, die Unternehmen für bestimmte Mitarbeitende, Abteilungen oder Führungskräfte durchführen und dokumentiert nachweisen müssen. Ob ein Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße und den eingesetzten Technologien ab – die Mehrheit der deutschen KMU erfüllt mindestens eine der gesetzlichen Schulungspflichten aus DSGVO, NIS-2, EU AI Act oder Arbeitsschutzgesetz.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenWas 2018 noch überschaubar wirkte – eine neue Datenschutzverordnung, ein Schulungsmodul, ein Beauftragter – hat sich seither Schicht für Schicht aufgetürmt. Heute stehen KMU vor vier parallel laufenden Regelwerken, die sich in Zielgruppen, Intervallen und Nachweisanforderungen fundamental unterscheiden.
Für ein KMU ohne eigene Rechtsabteilung bedeutet das: vier Regelwerke, vier unterschiedliche Zielgruppen, vier verschiedene Rhythmen – und ein lückenloser Nachweis für jede einzelne Schulungsrunde.
Die E-Mail kommt ohne Vorwarnung – und sie hat es in sich: Die zuständige Datenschutzbehörde fordert Schulungsnachweise aus den vergangenen drei Jahren an. Wer wurde geschult, wann, zu welchen Inhalten, mit welchem Ergebnis?
Was folgt, hängt davon ab, was das Unternehmen im nächsten Schritt vorweisen kann. Behörden haben gelernt, sehr genau hinzuschauen. Eine E-Mail-Einladung zur Schulung reicht nicht. Eine Teilnehmerliste ohne Inhaltsdokumentation auch nicht. Was erwartet wird: Name des Mitarbeitenden, Schulungsdatum, behandelte Inhalte, Bestehensnachweis mit Testergebnis und eine digitale Bestätigung – vollständig, nachvollziehbar, revisionssicher.
Wie es laufen kann, wenn das fehlt, zeigt ein konkretes Beispiel: Ein Maschinenbauunternehmen aus NRW mit 80 Mitarbeitenden wurde nach einem Datenschutzvorfall aufgefordert, Schulungsnachweise der vergangenen drei Jahre vorzulegen. Das Unternehmen hatte geschult – davon war die Geschäftsführung überzeugt. Was vorlag, war eine Tabelle mit Namen. Ohne Inhaltsdokumentation, ohne Testergebnisse. Die Behörde verhängte eine Verwarnung und setzte eine Nachschulungsfrist von sechs Wochen. Der eigentliche Schaden war nicht die Verwarnung selbst – es war der Vertrauensverlust bei einem Schlüsselkunden, der kurz darauf eine Lieferantenprüfung ankündigte.
Das Bußgeldrisiko nach DSGVO liegt bei bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. In mehr als der Hälfte aller deutschen KMU fehlen systematische Schulungsdokumentationen. Die Frage ist nicht ob eine Prüfung kommt – sondern ob das Unternehmen dann belegen kann, was es getan hat.
Die Antwort ist nicht pauschal – aber die meisten Unternehmen sind von mehreren Pflichten gleichzeitig betroffen, ohne es vollständig zu wissen.
Die Datenschutzschulung nach DSGVO trifft nahezu jeden: Wer personenbezogene Daten verarbeitet – und das sind in den meisten Unternehmen HR, Marketing, Vertrieb, Buchhaltung und IT – muss vor dem ersten Zugriff geschult und jährlich wiederholt werden. Die NIS-2-Schulung nach § 38 BSIG gilt formal für Unternehmen ab 50 Mitarbeitenden oder zehn Millionen Euro Jahresumsatz in kritischen Sektoren: Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, IT-Dienstleistungen, öffentliche Verwaltung und Lebensmittelproduktion. Doch auch Zulieferer und Dienstleister dieser Unternehmen können über Lieferkettenanforderungen erfasst sein – selbst wenn sie die Schwellenwerte selbst nicht erreichen.
Wer heute ChatGPT, Microsoft Copilot oder ähnliche Werkzeuge im Arbeitsalltag einsetzt, ist außerdem seit Februar 2025 durch den EU AI Act gebunden: Art. 4 verlangt, dass Mitarbeitende nachweisbar verstehen, wie diese Systeme funktionieren, wo ihre Grenzen liegen und welche Risiken bei der Verarbeitung personenbezogener Daten entstehen. Eine einmalige Einweisung beim Onboarding genügt nicht – Kompetenz muss dem jeweiligen Einsatzkontext entsprechen und dokumentiert sein. Die KI-Kompetenz-Schulung nach AI Act ist damit für viele Unternehmen bereits Pflicht, ohne dass sie es wissen.
Und dann ist da noch das Arbeitsschutzgesetz: § 12 ArbSchG verpflichtet Arbeitgeber zur jährlichen Unterweisung aller Mitarbeitenden sowie zu anlassbezogenen Schulungen bei Veränderungen von Arbeitsplatz oder Tätigkeit.
1. Schulung ohne revisionssicheren Nachweis
2. Fragmentierte Systeme ohne zentrale Übersicht
3. Fehlende Automatisierung im Roll-out
4. Unvollständige Kenntnis des eigenen Pflichtumfangs
5. Schulungskultur als reines Pflichtprogramm
Kosten werden auf zwei Ebenen regelmäßig unterschätzt. E-Learning-Lizenzen für DSGVO-Schulungen liegen in der Regel zwischen 15 und 50 Euro pro Mitarbeitendem und Jahr – abhängig von Modullänge, Aktualisierungsrhythmus und Plattformintegration. Präsenzschulungen durch externe Berater kosten häufig 800 bis 1.500 Euro pro Halbtag für eine Gruppe bis 15 Personen.
Der weniger sichtbare Kostenfaktor ist der interne Zeitaufwand: Eine einstündige Unterweisung für 20 Mitarbeitende bei einem internen Stundensatz von 40 Euro entspricht 800 Euro Produktionsausfall – pro Schulungsrunde, jedes Jahr, für jedes relevante Regelwerk. Wer vier Pflichtschulungen koordiniert, kommt schnell auf mehr als 3.000 Euro Opportunitätskosten pro Jahr – zuzüglich Koordinationsaufwand in HR und Compliance.
Individuelle E-Learning-Schulungen verändern diese Rechnung grundlegend: Mitarbeitende schulen sich zum selbst gewählten Zeitpunkt, Nachweise werden automatisch dokumentiert, und der Roll-out läuft ohne manuelle Steuerung durch HR.
Regelwerk | Zielgruppe | Intervall | Nachweis erforderlich |
|---|---|---|---|
DSGVO Art. 32 | Alle datenverarbeitenden MA | Jährlich | Ja – revisionssicher |
NIS-2 / § 38 BSIG | Geschäftsleitung, IT-Leitung | Alle 3 Jahre | Ja – dokumentiert |
EU AI Act Art. 4 | Alle KI-Nutzer | Laufend / bei Einführung | Ja – Kompetenznachweis |
ArbSchG § 12 | Alle Mitarbeitenden | Jährlich + anlassbezogen | Ja – Teilnehmerliste |
88 Prozent aller Datenpannen gehen laut einer Studie der Stanford University in Zusammenarbeit mit dem Sicherheitsunternehmen Tessian auf menschliche Fehler zurück (Psychology of Human Error, 2022).
Gleichzeitig zeigen Studien, dass ausgerechnet die kritischsten Themen – Erkennung von Phishing-Angriffen, sicherer Umgang mit Passwörtern, datenschutzkonforme Nutzung von Cloud-Diensten – in betrieblichen Schulungsprogrammen am häufigsten fehlen. Eine strukturierte Phishing-Awareness-Schulung schließt eine der häufigsten Sicherheitslücken – und ist gleichzeitig einer der zitierbarsten Nachweise bei einer Behördenprüfung.
Die Antwort auf fünf strukturelle Probleme ist keine weitere punktuelle Lösung – sie ist eine Plattform, die alle fünf gleichzeitig adressiert.
Zunächst der Nachweis-Fehler: Ein zentrales System dokumentiert automatisch, wer was wann mit welchem Ergebnis absolviert hat. Ein einzelner Export liefert bei einer Behördenprüfung alle relevanten Daten – vollständig, revisionssicher, sofort abrufbar. Dann die fragmentierten Tools: Eine konsolidierte Plattform ersetzt die Tool-Landschaft. Stammdaten werden einmalig gepflegt – in dem System, das ohnehin genutzt wird, etwa Microsoft Entra oder Personio. Was sich dort ändert, wird automatisch gespiegelt.
Die fehlende Roll-out-Automatik löst sich, sobald Schulungsregeln einmalig konfiguriert sind: Neue Mitarbeitende erhalten automatisch Einladungen zur Erstunterweisung, Wiederholungsschulungen werden fristgerecht angestoßen, Abteilungswechsel und Austritte werden berücksichtigt. Das Wissensdefizit über Pflichtumfänge lässt sich durch zertifizierte Module adressieren, die juristisch geprüfte Inhalte zu DSGVO, NIS-2, AI Act und Arbeitsschutz liefern – aktuell, ohne internen Entwicklungsaufwand.
Und die Compliance-Müdigkeit? Die verändert sich, wenn Schulungen nicht mehr als Bürde erlebt werden, sondern als klar strukturierter, schnell absolvierbarer Prozess mit sichtbarem Ergebnis für alle Beteiligten.
Das Compliance Hub von Cortina Consult verbindet diese fünf Funktionen in einem System. Schulungsregeln werden einmalig konfiguriert – danach läuft der gesamte Roll-out automatisch, ohne manuelle Eingriffe. Das vollständige E-Learning-Angebot gibt einen Überblick über verfügbare Module und Schulungsthemen.
Für die meisten Unternehmen lässt sich der Schulungspflichtumfang mit vier Fragen eingrenzen:
Für die Mehrheit der deutschen KMU treffen mindestens zwei dieser Punkte zu. Wer frühzeitig ein strukturiertes Schulungsprogramm aufbaut, schützt sich nicht nur vor Bußgeldern – sondern schafft lückenlose Compliance-Dokumentation, die im Ernstfall nachgewiesen werden kann.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie DSGVO enthält keine explizite Schulungspflicht, aber die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO macht eine dokumentierte Schulung faktisch unumgänglich. Wer bei einer Behördenprüfung keine Schulungsnachweise vorlegen kann, hat kaum Möglichkeiten, die Erfüllung der Compliance-Pflichten zu belegen. Bußgelder fallen in solchen Fällen regelmäßig höher aus.
Aufsichtsbehörden empfehlen jährliche Wiederholungen für DSGVO-Schulungen. NIS-2 schreibt für Geschäftsleitungen mindestens alle drei Jahre vor. Neue Mitarbeitende müssen vor der ersten Aufnahme von Datenverarbeitungstätigkeiten geschult werden.
Fehlende Nachweise gelten bei einer Behördenprüfung als Indiz für mangelnde Compliance. Das Bußgeldrisiko nach DSGVO liegt bei bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes. NIS-2 sieht darüber hinaus die persönliche Haftung der Geschäftsleitung vor.
Mindestinhalte sind: Grundprinzipien der DSGVO, Betroffenenrechte, Meldepflichten bei Datenpannen, sicherer Umgang mit personenbezogenen Daten im Alltag sowie Phishing-Prävention. Rollenspezifische Ergänzungen – etwa für HR, IT oder Marketing – erhöhen Wirksamkeit und Akzeptanz der Schulung.
Eine gesetzlich festgelegte einheitliche Aufbewahrungsfrist gibt es nicht. Datenschutzaufsichtsbehörden empfehlen, Nachweise mindestens drei Jahre aufzubewahren – bei NIS-2-pflichtigen Unternehmen ist eine Aufbewahrung über den gesamten Schulungszyklus sinnvoll. Da Bußgeldverfahren nach DSGVO bis zu drei Jahre zurückblicken können, sollten Schulungsnachweise entsprechend langfristig revisionssicher gespeichert sein.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Ihre All-in-One-Lösung für integriertes Compliance-Management – DSMS, ISMS, Hinweisgeberschutz und KI-Compliance zentral in einer Plattform.
Die Compliance-Suite von Cortina Consult automatisiert DSMS, ISMS, HinSchG und KIVO – sparen Sie 40% Zeit und vereinfachen Sie Ihr gesamtes Compliance-Management. Ein externer Datenschutzbeauftragter unterstützt bei komplexen Fragen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen