
Ja, eine Datenschutzschulung ist für Mitarbeitende, die personenbezogene Daten verarbeiten, faktisch verpflichtend. Die Datenschutz-Grundverordnung (DSGVO) nennt keine eigenständige Norm „Schulungspflicht“, begründet diese aber indirekt über mehrere Artikel zusammen: die Rechenschaftspflicht (Art. 5 Abs. 2), die Verantwortung des Verantwortlichen (Art. 24), die Sicherheit der Verarbeitung (Art. 32) und die in Art. 39 genannte Aufgabe, Beschäftigte zu sensibilisieren und zu schulen. Verantwortlich für die Durchführung ist die Organisation selbst, nicht der Datenschutzbeauftragte.
Grenze/Ausnahme: Die Pflicht trifft den Verantwortlichen als Organisation; den genauen Umfang, die Inhalte und das Intervall gibt die DSGVO bewusst nicht vor, sondern überlässt sie einer risikobasierten Einzelfallbewertung. Eine pauschale „jede Person, jedes Jahr, identisch“-Vorgabe lässt sich aus dem Verordnungstext nicht ableiten.
Die Schulungspflicht ergibt sich aus dem Zusammenspiel mehrerer DSGVO-Vorschriften, nicht aus einer einzelnen Klausel. Art. 39 Abs. 1 lit. b DSGVO weist dem Datenschutzbeauftragten ausdrücklich die Überwachung „der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zu — die Norm setzt damit voraus, dass geschult wird, verlagert die Durchführung aber auf den Verantwortlichen. Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“, zu denen nach allgemeiner Aufsichtspraxis auch Schulung und Sensibilisierung der Beschäftigten zählen, weil menschliches Fehlverhalten ein zentrales Datenschutzrisiko ist.
Hinzu kommt die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze nicht nur sicherstellen, sondern auch nachweisen können. Dokumentierte Schulungen sind dafür ein gängiger Baustein. Art. 24 Abs. 1 DSGVO verpflichtet den Verantwortlichen, durch geeignete Maßnahmen sicherzustellen und nachzuweisen, dass die Verarbeitung verordnungskonform erfolgt.
Grenze/Ausnahme: Aus keiner dieser Normen folgt eine konkrete Frequenz oder ein Mindeststandard-Curriculum. Sie begründen das „Ob“, nicht das „Wie oft“ oder „Wie genau“. Wer aus Art. 32 oder Art. 39 ein festes Jahresintervall herleitet, überdehnt den Wortlaut — diese Konkretisierung stammt aus Praxis und Aufsichtsempfehlungen, nicht aus dem Verordnungstext.
Die DSGVO nennt kein gesetzlich vorgeschriebenes Intervall. Es gibt keine Norm, die „jährlich“, „alle zwei Jahre“ oder einen anderen festen Turnus anordnet. Maßgeblich ist stattdessen ein risikobasierter, regelmäßiger Rhythmus: Art. 32 Abs. 1 lit. d DSGVO verlangt ausdrücklich „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ der Maßnahmen — was eine wiederkehrende, nicht einmalige Sensibilisierung nahelegt.
Die in der Beratungs- und Aufsichtspraxis weit verbreitete Empfehlung lautet, mindestens jährlich zu schulen sowie anlassbezogen (etwa bei Onboarding, neuen Verarbeitungstätigkeiten, neuen Tools oder nach Vorfällen). Wichtig (ANNAHME / Praxis-Einordnung): Dieses „mindestens jährlich“ ist eine etablierte Empfehlung, kein in der DSGVO verankertes Pflichtintervall.
Grenze/Ausnahme: Bei besonders sensiblen Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten), hohem Verarbeitungsvolumen oder erhöhtem Risiko kann ein kürzeres Intervall geboten sein; bei sehr geringem Risiko kann ein längerer Abstand vertretbar sein. Ein starrer Kalender ersetzt die Risikobewertung nicht.
Zu schulen sind grundsätzlich alle Beschäftigten, die an Verarbeitungsvorgängen beteiligt sind — also nahezu jede Person, die im Arbeitsalltag mit personenbezogenen Daten in Berührung kommt, von HR über Vertrieb bis IT. Art. 39 DSGVO spricht ausdrücklich von „der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“. Verantwortlich für die Organisation und Durchführung der Schulung ist der Verantwortliche (die Organisation/Geschäftsleitung), während der Datenschutzbeauftragte beratend begleitet und überwacht.
Grenze/Ausnahme: Auch Organisationen ohne bestellten Datenschutzbeauftragten sind nicht von der Schulungs- und Sensibilisierungspflicht befreit — die Pflicht hängt an der Verarbeitung und der Rechenschaftspflicht, nicht an der Existenz eines DSB. Tiefe und Inhalt der Schulung dürfen nach Rolle und Datenzugriff differenziert werden.
Das passende Format hängt von Risiko, Rollen und Nachweisbedarf ab. Der folgende Entscheidungsbaum hilft bei der Einordnung:
Grenze/Ausnahme: Kein Format ist gesetzlich vorgeschrieben — Präsenz, Online oder Blended sind gleichwertig zulässig, solange Inhalt, Angemessenheit und Nachweisbarkeit stimmen. Entscheidend ist die Wirksamkeit (Art. 32 Abs. 1 lit. d DSGVO), nicht das Medium.
Eine fehlende oder unzureichende Schulung ist nicht unmittelbar bußgeldbewehrt, kann aber mittelbar erhebliche Folgen haben. Bei einem Datenschutzvorfall prüfen Aufsichtsbehörden, ob der Verantwortliche seine Pflichten aus Art. 24 und Art. 32 DSGVO erfüllt hat — fehlende Sensibilisierung kann dann als Verstoß gegen die Pflicht zu geeigneten organisatorischen Maßnahmen gewertet werden. Art. 83 DSGVO sieht für Verstöße gegen Art. 32 Geldbußen von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.
Grenze/Ausnahme: Ob und in welcher Höhe ein Bußgeld verhängt wird, beurteilt die zuständige Aufsichtsbehörde im konkreten Einzelfall anhand der Kriterien des Art. 83 Abs. 2 DSGVO. Die genannten Beträge sind gesetzliche Obergrenzen, keine Regelbußgelder.
Dieser Beitrag wertet ausschließlich Primärquellen aus: den Volltext der DSGVO (Verordnung (EU) 2016/679) über EUR-Lex sowie die konsolidierten Einzelartikel (Art. 5, 24, 32, 39, 83). Es wurde sorgfältig getrennt zwischen gesetzlich verankerter (indirekter) Pflicht und verbreiteter Praxis-Empfehlung (insbesondere beim „mindestens jährlich“). Stand der Prüfung: 10. Juni 2026. Für rechtsverbindliche Auskünfte sind die jeweils aktuelle Fassung der Norm und die zuständige Aufsichtsbehörde maßgeblich.
Die DSGVO enthält keine ausdrückliche Norm „Schulungspflicht“, begründet diese aber indirekt über Art. 5, 24, 32 und 39 DSGVO. Für Mitarbeitende, die personenbezogene Daten verarbeiten, ist die Schulung daher faktisch verpflichtend. Verantwortlich für die Durchführung ist die Organisation selbst, nicht allein der Datenschutzbeauftragte.
Ein festes Intervall schreibt die DSGVO nicht vor; maßgeblich ist ein risikobasierter, regelmäßiger Rhythmus. In der Praxis hat sich „mindestens jährlich“ plus anlassbezogene Schulungen etabliert. Das ist jedoch eine Empfehlung, keine gesetzliche Frist. Den angemessenen Turnus legt jede Organisation nach ihrer Risikolage fest.
Grundsätzlich alle Beschäftigten, die an Verarbeitungsvorgängen beteiligt sind, also fast jede Person mit Zugriff auf personenbezogene Daten. Art. 39 DSGVO spricht von den „an den Verarbeitungsvorgängen beteiligten Mitarbeitern“. Tiefe und Inhalt dürfen nach Rolle und Datenzugriff differenziert werden.
Fehlende Schulung ist nicht unmittelbar bußgeldbewehrt, kann aber bei einem Vorfall als Verstoß gegen Art. 24 und 32 DSGVO gewertet werden. Art. 83 DSGVO sieht hierfür Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes vor. Ob und wie hoch, entscheidet die Aufsichtsbehörde im Einzelfall.
Die DSGVO schreibt kein bestimmtes Format vor. Online-, Präsenz- und Blended-Formate sind gleichwertig zulässig, solange Inhalt, Angemessenheit und Nachweisbarkeit stimmen. Entscheidend ist die Wirksamkeit der Maßnahme im Sinne von Art. 32 Abs. 1 lit. d DSGVO sowie eine Dokumentation der Teilnahme.
Einblicke in das digitale Lernen der Zukunft mit Fokus auf KI, Compliance und moderne Schulungslösungen. Entdecken Sie die neuesten Beiträge und aktuelle Artikel, um praxisnahe Insights zu rechtssicherer, effizienter und automatisierter Weiterbildung im Unternehmen zu erhalten.
Hinweis: Texte, Bilder und Videos auf dieser Website wurden teilweise mit Künstlicher Intelligenz generiert.
Alle Inhalte dienen der Information und wurden sorgfältig journalistisch geprüft, erheben jedoch keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit.