Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DatenschutzschulungMitarbeiterschulungDSGVO

Datenschutzschulung Mitarbeiter: Pflicht, Inhalte & Nachweis

Datenschutzschulung Mitarbeiter: Ist sie Pflicht, wie oft, welche Inhalte und wie weisen Sie sie gegenüber dem HmbBfDI nach? Praxisleitfaden für Hamburger KMU.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
04. Juni 2026

Inhalt in Kürze

  • Keine eigene Schulungspflicht — aber faktisch Pflicht: Die Datenschutzschulung Mitarbeiter ergibt sich aus Art. 39 Abs. 1 lit. b DSGVO, Art. 32 DSGVO (Awareness als TOM) und der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Fehlt der Nachweis, ist es ein Organisationsverschulden.
  • Rhythmus: jährlich plus Anlass. Es gibt keinen gesetzlichen Fixwert. Etabliert hat sich eine Erstschulung im Onboarding, jährliche Auffrischung und Ad-hoc-Schulungen bei neuen Prozessen oder nach einer Panne.
  • Der Nachweis entscheidet: Datum, Teilnehmerliste, Inhalte, Abschlusstest und Zertifikat. Ohne diese Dokumentation hilft auch die beste Schulung im Audit nicht.
  • Schulung ist nicht alles: Beschäftigte schriftlich auf die Vertraulichkeit verpflichten (abgeleitet aus Art. 32 DSGVO; § 53 BDSG gilt direkt nur für Behörden) — die Erklärung kommt zur Personalakte.

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 11 Minuten

Ihre Mitarbeiter sind die größte Schwachstelle im Datenschutz — und gleichzeitig die wirksamste Verteidigung. Eine falsch adressierte E-Mail, ein an die falsche Person herausgegebener Datensatz, ein im Café offen liegender Laptop: Die meisten Datenpannen, die wir bei Hamburger Mandanten sehen, entstehen nicht durch Hacker, sondern durch ungeschulte Routine. Die gute Nachricht: Genau das lässt sich abstellen. Dieser Leitfaden zeigt, ob die Datenschutzschulung Mitarbeiter Pflicht ist, wie oft Sie schulen müssen, welche Inhalte hineingehören — und vor allem, wie Sie die Schulung so nachweisen, dass sie bei einem Audit des Hamburgischen Beauftragten für Datenschutz Bestand hat.

Hamburg-Praxis:

Bei einer Hamburger Reederei mit gemischter internationaler Crew stellte sich im Onboarding-Gespräch heraus: Die deutsche Belegschaft war geschult, die seefahrende Crew nie — schlicht, weil es keine englischsprachige Schulung gab. Genau diese Crew verarbeitet aber Passdaten, Heuerverträge und Gesundheitsdaten. Wir haben die Schulung zweisprachig (DE/EN) aufgesetzt und vor Ort in der Spaldingstraße sowie remote für die Crew durchgeführt. Der Punkt: Eine Schulung, die ein Teil der Belegschaft nicht versteht, ist im Sinne der Rechenschaftspflicht keine Schulung.

Ist die Datenschutzschulung für Mitarbeiter Pflicht?

Die ehrliche Antwort vorweg: Es gibt keinen Paragrafen, der „Du musst schulen” sagt. Wer im Gesetzestext nach einer expliziten Schulungspflicht sucht, findet sie nicht. Trotzdem ist die Schulung faktisch verpflichtend — und zwar aus drei sich ergänzenden Quellen.

Erstens Art. 39 Abs. 1 lit. b DSGVO. Die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter ist dort ausdrücklich als Kernaufgabe des Datenschutzbeauftragten benannt (dsgvo-gesetz.de, Art. 39). Wenn der DSB schulen muss, muss das Unternehmen die Schulung ermöglichen — sonst kann der DSB seine gesetzliche Aufgabe nicht erfüllen.

Zweitens Art. 32 DSGVO. Die Norm verpflichtet Verantwortliche zu „geeigneten technischen und organisatorischen Maßnahmen” (TOM). Awareness und Schulung gehören zu den anerkannten organisatorischen Maßnahmen — ein Mitarbeiter, der Phishing nicht erkennt oder eine Auskunftsanfrage ignoriert, ist ein Sicherheitsrisiko, das sich durch Schulung adressieren lässt (dsgvo-gesetz.de, Art. 32).

Drittens Art. 5 Abs. 2 DSGVO — die Rechenschaftspflicht. Sie müssen die Einhaltung der Datenschutzgrundsätze nicht nur erfüllen, sondern auch nachweisen können. Eine durchgeführte und dokumentierte Schulung ist ein zentraler Baustein dieses Nachweises. Fehlt sie, deuten Aufsichtsbehörden das im Schadensfall als Organisationsverschulden — also als Mitverschulden des Unternehmens an der Panne.

Das Wichtigste: Es gibt keine eigene Schulungspflicht als Paragraf. Aber Art. 39, Art. 32 und Art. 5 Abs. 2 DSGVO machen die Schulung faktisch verbindlich — und der fehlende Nachweis wird im Ernstfall gegen Sie verwendet.

Auch ohne bestellten Datenschutzbeauftragten gilt das: Die Pflicht aus Art. 32 und Art. 5 Abs. 2 trifft jedes Unternehmen, unabhängig von der DSB-Schwelle. Wer schulen muss, aber keinen eigenen DSB hat, holt sich die Schulung über einen externen Dienstleister oder den externen Datenschutzbeauftragten. Wann genau ein DSB überhaupt Pflicht wird, klären wir separat im Beitrag DSB-Pflicht für Hamburger KMU.

Wie oft müssen Mitarbeiter geschult werden?

Auch hier: kein gesetzlicher Fixwert. Wer Ihnen „alle 12 Monate, sonst Bußgeld” verspricht, vereinfacht zu stark. Die DSGVO nennt keine Frequenz. Was sich in der Beratungspraxis etabliert hat — und was Aufsichtsbehörden als angemessen ansehen — ist ein dreiteiliger Rhythmus:

  1. Erstschulung im Onboarding: Jeder neue Mitarbeiter wird geschult, bevor er Zugriff auf personenbezogene Daten, E-Mail und Fachsysteme erhält. Nicht erst beim nächsten Sammeltermin in sechs Monaten.
  2. Jährliche Auffrischung: Eine Wiederholungsschulung pro Jahr für die gesamte Belegschaft. Das ist der in der Praxis am häufigsten empfohlene Turnus — auch wenn er nirgends gesetzlich steht.
  3. Anlassbezogene Ad-hoc-Schulung: Bei einem neuen Tool (etwa der Einführung von Microsoft 365), einem neuen Verarbeitungsprozess, einer Gesetzesänderung oder nach einer Datenpanne — dann wird gezielt nachgeschult.

Branchen mit besonders sensiblen Daten brauchen ein engeres Intervall. Eine Arztpraxis, die mit Gesundheitsdaten nach Art. 9 DSGVO arbeitet, oder eine Personalabteilung sollte häufiger als einmal jährlich auffrischen. Für Phishing gilt ohnehin: Eine Jahresschulung allein wirkt nicht — hier braucht es kurze, regelmäßige Trainings, wie wir im Beitrag zur Phishing-Schulung und Awareness ausführen.

Tipp:

Legen Sie den Turnus einmal schriftlich in einer kurzen Schulungsrichtlinie fest („Erstschulung im Onboarding, jährliche Auffrischung, anlassbezogen") — und halten Sie sich daran. Eine dokumentierte, eingehaltene Regel ist im Audit mehr wert als die theoretisch „beste" Frequenz, die nie umgesetzt wurde.

Welche Inhalte gehören in die Schulung?

Eine gute Datenschutzschulung ist kein Vortrag über Erwägungsgründe. Sie übersetzt die DSGVO in konkrete Handgriffe am Arbeitsplatz. Diese Themen gehören in jede Grundschulung — die letzten beiden Punkte passen Sie an Ihre Branche an.

  • DSGVO-Grundlagen und Betroffenenrechte. Was sind personenbezogene Daten, was die Grundprinzipien (Zweckbindung, Datenminimierung), welche Rechte haben Betroffene auf Auskunft, Löschung und Widerspruch.
  • Datensparsamkeit im Alltag. Nur erheben, was gebraucht wird. Keine Daten „auf Vorrat" in Excel-Listen. Keine internen Verteiler im offenen CC.
  • Sichere Passwörter und MFA. Keine Mehrfachverwendung, Passwortmanager, und vor allem Multifaktor-Authentifizierung — Details im Beitrag MFA im Unternehmen einführen.
  • Phishing und Social Engineering erkennen. Der häufigste Einfallsweg. Absender prüfen, Druck als Warnsignal, Links vor dem Klick kontrollieren, Rückfragen per Telefon.
  • Umgang mit Betroffenenanfragen. Was tun, wenn eine Auskunfts- oder Löschanfrage per E-Mail eintrifft — an wen weiterleiten, welche Frist läuft (ein Monat nach Art. 12 Abs. 3 DSGVO).
  • Datenpannen intern melden. Jeder Mitarbeiter muss wissen: sofort und angstfrei melden. Die 72-Stunden-Frist nach Art. 33 DSGVO beginnt mit der Kenntnis — Details im Beitrag Datenpanne und die 72-Stunden-Frist.
  • Clean Desk und Bildschirmsperre. Keine Unterlagen offen liegen lassen, Bildschirm beim Verlassen sperren, Dokumente in den Schredder statt in den Papierkorb.
  • Home-Office und mobiles Arbeiten. Sichtschutz, getrennte Geräte, kein Familien-PC für Firmendaten — vertieft im Beitrag Home-Office-Datenschutz.
  • Beschäftigtendatenschutz (für Führungskräfte/HR). Was darf der Arbeitgeber, was nicht — siehe Beschäftigtendatenschutz.
  • Branchenspezifisches. Reederei: Crew-, Pass- und Manifest-Daten, Drittlandtransfer. Praxis: Gesundheitsdaten, Schweigepflicht. Kanzlei: Mandatsgeheimnis. Hier liegt der eigentliche Schulungswert.

Wer eine Struktur für das eigene Schulungsmaterial sucht, orientiert sich am besten an der hauseigenen Datenschutz-Audit-Checkliste für KMU — die dort geprüften Punkte sind exakt die, die Ihre Mitarbeiter im Alltag richtig machen müssen.

Präsenz, E-Learning oder Blended? Die Formate im Vergleich

Es gibt nicht das eine richtige Format. Entscheidend ist, dass die Schulung ankommt, verstanden wird und dokumentiert ist. Die drei gängigen Wege im Überblick:

FormatStärkenSchwächenPasst für
Präsenz / vor OrtHohe Aufmerksamkeit, direkte Rückfragen, gut für sensible BranchenTerminkoordination, Reisekosten, schwer skalierbarKleine Teams, HR, Praxen, Kick-off
E-LearningSkaliert, jederzeit verfügbar, dokumentiert sich automatisch per AbschlusstestWeniger Interaktion, „Durchklick”-Gefahr ohne TestVerteilte Teams, Standard-Grundschulung, jährliche Auffrischung
Live-Online (Teams/Zoom)Rückfragen wie Präsenz, ohne Reise, gut für Remote-CrewsErfordert feste Termine, technische Aufmerksamkeit schwanktInternationale Teams, Reederei-Crews, Multi-Standort
Blended (Mix)Kombiniert Skalierung und Tiefe, jährlich E-Learning + Live bei BedarfEtwas mehr OrganisationsaufwandDie meisten KMU — unsere Standardempfehlung

Zwei Punkte werden oft übersehen. Erstens die Verständlichkeit: Eine Schulung in Fachjargon, die niemand mitnimmt, erfüllt die Rechenschaftspflicht nicht inhaltlich. Zweitens die Sprache: Internationale Teams — in Hamburg betrifft das vor allem Reedereien, Logistik und IT/SaaS — brauchen die Schulung auf Deutsch und Englisch. Eine nur deutschsprachige Schulung für eine englischsprachige Crew ist im Zweifel keine wirksame Maßnahme.

Keine Frage ist doof. Oft hilft es schon, wenn Mitarbeiter schnell eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird. Genau deshalb setzen wir bei Schulungen nicht nur auf Folien, sondern lassen Raum für die echten Alltagsfälle — die kommen erst, wenn jemand sich traut zu fragen.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Der entscheidende Teil: Wie Sie die Schulung nachweisen

Hier scheitern die meisten Unternehmen — nicht an der Schulung selbst, sondern an ihrem Nachweis. Fehlen Schulungsnachweise bei einem Audit oder nach einer Datenpanne, werten Aufsichtsbehörden das als Organisationsverschulden (datenschutz-praxis.de). Bei einem Audit durch den HmbBfDI müssen Sie diese Unterlagen kurzfristig vorlegen können. Diese vier Bausteine gehören in jede Schulungsakte:

  • Datum und Anlass. Wann fand die Schulung statt, war es Onboarding, Jahresauffrischung oder anlassbezogen.
  • Teilnehmerliste. Namen der geschulten Mitarbeiter mit Unterschrift (Präsenz) oder protokolliertem digitalem Abschluss (E-Learning). Wer gefehlt hat, muss nachgeschult werden — auch das dokumentieren.
  • Inhalt / Curriculum. Welche Themen wurden behandelt. Die verwendeten Folien oder das Schulungsskript aufbewahren — sie belegen den Umfang.
  • Lernerfolgskontrolle. Idealerweise ein bestandenes Quiz oder Zertifikat. Es belegt nicht nur die Teilnahme, sondern auch, dass der Inhalt verstanden wurde — ein qualitativer Unterschied im Audit.
4
Nachweis-Bausteine
Art. 5 II
Rechenschaftspflicht
3 Jahre
übliche Aufbewahrung
DE / EN
bei intern. Teams

Bewahren Sie die Nachweise mehrere Jahre auf — drei Jahre sind ein praxisüblicher Richtwert, orientiert an der regelmäßigen Verjährung. Digital abgelegt, klar benannt, im Audit-Ordner. Wenn der HmbBfDI (Ludwig-Erhard-Straße 22) anklopft, brauchen Sie diese Mappe in Minuten, nicht in Tagen — wie eine solche Anfrage abläuft, lesen Sie im Beitrag HmbBfDI-Anfrage bekommen — was tun?.

Verpflichtung auf die Vertraulichkeit — der oft vergessene zweite Schritt

Schulung und Verpflichtung sind zwei verschiedene Dinge. Neben der Schulung sollten Sie Ihre Beschäftigten schriftlich auf die Vertraulichkeit verpflichten. Hier ein verbreitetes Missverständnis aufklären: Den klassischen „§ 5 BDSG-alt” (Datengeheimnis) gibt es so nicht mehr. Das heutige § 53 BDSG (Datengeheimnis) gilt unmittelbar nur für Behörden und öffentliche Stellen (gesetze-im-internet.de, § 53 BDSG). Für private Unternehmen leitet sich die Pflicht zur Verpflichtung auf die Vertraulichkeit aus Art. 32 Abs. 1 lit. b DSGVO ab — der Vertraulichkeit der Verarbeitung.

Praktisch ändert das wenig: Die Verpflichtungserklärung wird üblicherweise zusammen mit der Erstschulung unterschrieben und zur Personalakte genommen. Sie ergänzt die Vertraulichkeitsklausel im Arbeitsvertrag und schafft ein dokumentiertes Mindestmaß an Bewusstsein für den vertraulichen Umgang mit personenbezogenen Daten.

Häufiger Fehler:

Viele Unternehmen schulen, vergessen aber die Verpflichtungserklärung — oder unterschreiben sie einmal beim alten Datengeheimnis-Muster und nie wieder. Prüfen Sie: Hat jeder aktuelle Mitarbeiter eine unterzeichnete, DSGVO-konforme Vertraulichkeitsverpflichtung in der Akte? Bei Bestandsbelegschaften ist diese Lücke der Klassiker, den wir bei Mandatsübernahmen finden.

Ihr Schulungsprogramm in fünf Schritten

So bauen Sie ein audit-festes Schulungsprogramm auf, das im Alltag auch durchhält:

  1. Schritt 1 — Pflichtige Personen erfassen: Wer verarbeitet personenbezogene Daten? In der Regel praktisch jeder mit E-Mail-Zugang. Erstellen Sie eine Liste, gruppiert nach Rolle (alle / HR / IT / Führung).
  2. Schritt 2 — Curriculum festlegen: Grundschulung für alle, Vertiefung pro Rolle und Branche. Halten Sie Themen, Dauer und Format schriftlich fest.
  3. Schritt 3 — Format und Sprache wählen: Blended für die meisten KMU. Bei internationalen Teams DE/EN. Termine in den Jahreskalender legen, nicht „bei Gelegenheit".
  4. Schritt 4 — Durchführen und Verpflichten: Schulung halten, Quiz abnehmen, Vertraulichkeitsverpflichtung unterschreiben lassen. Neue Mitarbeiter im Onboarding mitnehmen.
  5. Schritt 5 — Dokumentieren und wiederholen: Datum, Teilnehmer, Inhalt, Test in den Audit-Ordner. Jahresturnus im Kalender. Bei neuen Prozessen anlassbezogen nachschulen.
So sieht „fertig" aus:

Wenn der HmbBfDI fragt „Wie schulen Sie Ihre Mitarbeiter?", antworten Sie mit drei Sätzen plus einem Ordner: Schulungsrichtlinie, Teilnehmerlisten der letzten Jahre, unterzeichnete Vertraulichkeitsverpflichtungen, bestandene Quizze. Diese Mappe ist Ihr bester Schutz im Audit — und sie entsteht fast nebenbei, wenn das Programm einmal steht.

Aus der Praxis

Schulung wird oft als lästige Pflicht abgetan — bis sie zum ersten Mal etwas verhindert. Was wir bei Mandanten erleben, ist meist ein Perspektivwechsel:

Es kam häufig vor, dass es ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern. In der Schulung merken die Leute dann, dass es um ganz konkrete Handgriffe geht — und plötzlich melden sie verdächtige Mails, statt sie wegzuklicken.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Bei frag.hugo führen wir Schulungen vor Ort in Hamburg oder per Teams durch — auf Deutsch und Englisch für internationale Teams. Dazu kommen KI-Schulungen (Umgang mit ChatGPT & Co. im Büro), Phishing-Simulationen und ein dokumentierter Schulungsnachweis, der direkt audit-fest ist. Die Plattform „Hugo DSB” hält Teilnehmerlisten, Zertifikate und Verpflichtungserklärungen an einem Ort vor — sodass die Audit-Mappe nicht erst entstehen muss, wenn die Behörde anruft.

Fazit / Ihr nächster Schritt

Die Datenschutzschulung Mitarbeiter ist keine Kür, sondern eine faktische Pflicht aus Art. 39, Art. 32 und Art. 5 Abs. 2 DSGVO. Es gibt keinen festen Rhythmus — aber „Onboarding plus jährlich plus Anlass” ist der Standard, an dem sich Aufsichtsbehörden orientieren. Entscheidend ist nicht nur, dass Sie schulen, sondern dass Sie es nachweisen können: Datum, Teilnehmer, Inhalt, Test. Und vergessen Sie die schriftliche Verpflichtung auf die Vertraulichkeit nicht. Dann ist Ihre Belegschaft nicht mehr die größte Schwachstelle, sondern Ihre erste Verteidigungslinie.

Audit-feste Datenschutzschulung für Ihr Hamburger Team — DE/EN, vor Ort oder per Teams.

Wir schulen Ihre Mitarbeiter, stellen die Verpflichtungserklärungen und liefern den dokumentierten Schulungsnachweis gleich mit. In 7 Werktagen startklar, ab 79 € netto/Monat als Teil des Hugo-DSB-Mandats. Unverbindliches 15-Minuten-Erstgespräch:

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist eine Datenschutzschulung für Mitarbeiter Pflicht?

Eine eigene Paragrafen-Schulungspflicht gibt es nicht. Faktisch ist die Datenschutzschulung Mitarbeiter aber Pflicht: Sie ergibt sich aus Art. 39 Abs. 1 lit. b DSGVO (Sensibilisierung und Schulung als Kernaufgabe des Datenschutzbeauftragten), aus Art. 32 DSGVO (Awareness als technisch-organisatorische Maßnahme) und aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Fehlt der Nachweis bei einem Audit, werten Aufsichtsbehörden das als Organisationsverschulden.

Wie oft müssen Mitarbeiter im Datenschutz geschult werden?

Es gibt keinen gesetzlich fixierten Rhythmus. In der Praxis hat sich eine jährliche Auffrischung etabliert, ergänzt um eine Erstschulung im Onboarding jedes neuen Mitarbeiters und Ad-hoc-Schulungen bei neuen Prozessen, Tools oder nach einer Datenpanne. Wer mit besonders sensiblen Daten arbeitet (Gesundheit, HR), sollte häufiger schulen.

Welche Inhalte gehören in eine Datenschutzschulung?

DSGVO-Grundlagen und Betroffenenrechte, Datensparsamkeit, sichere Passwörter und MFA, Phishing-Erkennung, der Umgang mit Auskunfts- und Löschanfragen, die interne Meldung von Datenpannen, Clean Desk, Home-Office-Regeln und Social Engineering. Dazu kommen branchenspezifische Themen — bei einer Reederei etwa der Umgang mit Crew- und Manifest-Daten.

Präsenz-Schulung oder E-Learning — was ist besser?

Beides ist zulässig. E-Learning ist effizient, skaliert und dokumentiert sich automatisch über Abschlusstests. Präsenz- oder Teams-Schulungen punkten bei Rückfragen und sensiblen Branchenthemen. Für die meisten KMU ist ein Blended-Ansatz ideal: jährliches E-Learning plus eine Live-Schulung für neue Prozesse oder kritische Bereiche.

Wie weise ich eine Datenschutzschulung gegenüber der Aufsichtsbehörde nach?

Dokumentieren Sie pro Schulung das Datum, die Teilnehmerliste mit Unterschrift oder digitalem Abschluss, die behandelten Inhalte beziehungsweise das Curriculum und idealerweise ein bestandenes Quiz oder ein Zertifikat. Diese Unterlagen müssen Sie dem HmbBfDI bei einem Audit kurzfristig vorlegen können — sie sind Teil Ihrer Rechenschaftspflicht.

Brauche ich zusätzlich eine Verpflichtung auf die Vertraulichkeit?

Ja. Neben der Schulung sollten Beschäftigte schriftlich auf die Vertraulichkeit verpflichtet werden. Für private Unternehmen leitet sich das aus Art. 32 Abs. 1 lit. b DSGVO ab; § 53 BDSG (Datengeheimnis) gilt unmittelbar nur für Behörden. Die Verpflichtungserklärung wird üblicherweise zusammen mit der Erstschulung unterschrieben und zur Personalakte genommen.

Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (Art. 39, Art. 32), gesetze-im-internet.de (§ 53 BDSG) und datenschutz-praxis.de.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot