legal

Datenschutzschulung – betrifft das meinen Shop?

Grafik: Eine Frau absolviert eine Datenschutzschulung am PC.

Die meisten Unternehmen verpflichten ihre Mitarbeiter*innen regelmäßig zu Datenschutzschulungen. In der Praxis unterscheidet sich jedoch, wie oft und auf welche Weise diese Schulungen stattfinden. Wer Schulungen selber konzipiert, steht vor einem hohen Vorbereitungsaufwand. Externe Anbieter*innen sind hingegen teuer. Da stellt sich die Frage: Müssen Mitarbeiter*innen überhaupt geschult werden und wenn ja, wie oft?

In diesem Tipp der Woche erfährst du alles über die rechtliche Verpflichtung zur Datenschutzschulung und wie du sie in der Praxis leicht umsetzt.

Gibt es eine allgemeine Pflicht zur Datenschutzschulung?

Die Datenschutz-Grundverordnung (DSGVO) schreibt an keiner Stelle ausdrücklich vor, dass Mitarbeiter*innen zu Datenschutzschulungen verpflichtet sind. Allerdings gehört die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern und die diesbezüglichen Überprüfungen“ zu den Aufgaben einer*s Datenschutzbeauftragten.

In der Fachliteratur und bei den Aufsichtsbehörden besteht Einigkeit darüber, dass diese Pflicht auch Unternehmen ohne Datenschutzbeauftragte*n trifft. Verantwortlich für die Einhaltung ist immer die Geschäftsführung. Sie kann die Durchführung jedoch delegieren – entweder an den*die Datenschutzbeauftragte*n oder an eine andere fachlich geeignete Person, wie eine*n Datenschutzkoordinator*in. Um die geforderte „Überprüfung” durchzuführen, ist eine Wissenskontrolle nach der Schulung erforderlich.

Welche Mitarbeiter*innen müssen geschult werden?

Laut DSGVO betrifft die Schulungspflicht jede Person, die an „Verarbeitungsvorgängen beteiligt“ ist. Mit Verarbeitungsvorgängen ist jede Art von Verarbeitung personenbezogener Daten – also Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen – gemeint. Hierbei ist es ausreichend, wenn bei der Tätigkeit personenbezogene Daten indirekt verarbeitet werden oder es sich nur um einen nebensächlichen Aspekt handelt.

  • Beispiel Softwareentwicklung: Softwareentwickler*innen, die Quellcode schreiben, unterliegen der Schulungspflicht, sobald sie mit echten Daten der Kundschaft oder der Belegschaft arbeiten. Selbst wer nur mit anonymisierten oder Dummy-Daten arbeitet, muss dennoch geschult werden, da bereits die Nutzung eines E-Mail-Accounts eine Verarbeitung von personenbezogenen Daten darstellt.
  • Beispiel Reinigungskräfte: Reinigungskräfte können beim Leeren von Papierkörben Zugriff auf personenbezogene Daten erhalten und auch ihre Entsorgung bzw. Vernichtung ist ein Verarbeitungsvorgang. Daher unterliegen auch Reinigungskräfte regelmäßig der Schulungspflicht.

In der Praxis sind daher grundsätzlich alle Mitarbeiter*innen zu schulen. In Zweifelsfällen empfiehlt es sich, die strittige Person bei der Datenschutzschulung einzubinden. Unabhängig davon, ob eine Pflicht zur Datenschutzschulung besteht, sollten ausnahmslos alle Mitarbeiter*innen zur Vertraulichkeit verpflichtet werden.

Wie oft und mit welchen Inhalten ist eine Datenschutzschulung durchzuführen?

In der DSGVO finden sich keine Vorschriften darüber, wie oft und/oder über welche konkreten Themen Mitarbeiter*innen zu schulen sind. In der Regel wird eine jährliche Schulung empfohlen.

Neben dem jährlichen Turnus gibt es auch anlassbezogene Schulungspflichten. Diese greifen beispielsweise, wenn neue Software eingeführt wird (z. B. ein neues CRM- oder HR-System), Abteilungen umstrukturiert werden oder sich die Rechtslage grundlegend ändert. Auch nach einer (beinahe) Datenpanne ist eine sofortige Nachschulung der involvierten Personen ratsam.

Folgende Inhalte sollte jede Schulung abdecken:

  • Definition von personenbezogenen Daten und Verarbeitung
  • Grundsätze der Datenverarbeitung (u. a. Transparenz, Speicherbegrenzung, Zweckbindung und Datenminimierung)
  • Rechtsgrundlagen der Verarbeitung
  • Technische und organisatorische Maßnahmen („TOM“) zum Schutz der Daten
  • Betroffenenrechte (Auskunft, Löschung etc.)
  • Erkennen und Vorgehen bei Phishing-Angriffen und Datenpannen

Je nach konkreter Tätigkeit, kann es sinnvoll sein, noch zusätzliche Inhalte aufzunehmen, die sich auf die spezifischen Anforderungen bestimmter Arbeitsbereiche beziehen. Im Online-Handel können beispielsweise folgende Themen relevant sein:

  • Rechtssicherer Einsatz von Cookies und Tracking-Tools im Online-Shop
  • Umgang mit Kundendaten im Bestellprozess und Möglichkeit von Gastbestellungen
  • Bonitätsprüfungen und Datenweitergabe an Zahlungsdienstleister
  • Weitergabe von Daten an Versanddienstleister und Tracking von Lieferungen
  • Marketingmaßnahmen wie Newsletterversand

Muss die Teilnahme an der Schulung dokumentiert werden?

Die Teilnahme ist zwingend zu dokumentieren. Eines der wichtigsten Prinzipien der DSGVO ist die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Sie bedeutet, dass jedes Unternehmen jederzeit in der Lage sein muss, die Einhaltung der datenschutzrechtlichen Anforderungen nachweisen zu können. Daher reicht es nicht, die Datenschutzschulung lediglich durchzuführen, sondern es muss dokumentiert werden, dass alle Mitarbeiter*innen an der Schulung teilgenommen haben und die anschließende Wissenskontrolle bestanden haben.

Hierbei sollte ein Zertifikat für jede Person ausgestellt werden, das mindestens den vollständigen Namen, das Datum, die Art der Schulung sowie ihre Inhalte umfasst. Diese Zertifikate sollten so abgelegt werden, dass sie jederzeit abrufbar sind. Außerdem sollte kontrolliert werden können, welche Mitarbeiter*innen, die Schulung (noch) nicht erfolgreich absolviert haben und bei welchen Mitarbeiter*innen die Schulung bereits so lange her ist, dass eine neue Schulung fällig ist.

Welche Konsequenzen drohen bei fehlenden Schulungen?

Wer auf Datenschutzschulungen verzichtet, geht ein hohes wirtschaftliches und rechtliches Risiko ein. Kommt es im Unternehmen zu einer Datenpanne (z. B. durch einen erfolgreichen Phishing-Angriff) und die Aufsichtsbehörde stellt fest, dass die Belegschaft nicht oder unzureichend geschult wurde, drohen empfindliche Konsequenzen:

  • Höhere Bußgelder: Das Fehlen von Schulungen kann von den Behörden als Organisationsverschulden gewertet werden und kann damit die Höhe eines DSGVO-Bußgeldes nach oben treiben.
  • Haftung der Geschäftsführung: Unter Umständen kann die Geschäftsführung für Schäden persönlich haftbar gemacht werden, wenn sie ihren Überwachungspflichten nicht nachgekommen ist.
  • Reputationsschaden: Datenpannen müssen bei hohen Risiken auch den betroffenen Personen direkt gemeldet werden und können öffentlich bekannt werden. Das führt regelmäßig zu einem massiven Vertrauensverlust.

Unser Tipp

Schütze dein Unternehmen und schule dich und deine Kolleg*innen einmal jährlich ganz flexibel mit unserer Online-Datenschutzschulung. Damit behältst du den Überblick, wer die Schulung erfolgreich absolviert hat und erfüllst die gesetzliche Dokumentationspflicht.

Nutze zudem die Angebote des Legal Accounts, um über (datenschutz-)rechtliche Themen immer auf dem neusten Stand zu bleiben. Profitiere zum Beispiel von unseren Whitepapern oder melde dich zu einem unserer nächsten Webinare an.

22.06.26
Mareike Michel

Mareike Michel

Mareike Michel, LL.M., ist als Legal Consultant bei Trusted Shops tätig und berät Kundinnen und Kunden zu allen Fragen rund um Datenschutz.

 Weiterlesen

Weitere relevante Artikel

Person nutzt Smartphone neben Laptop, eingeblendete App-Berechtigungen wie Kamera, Standort und Datenschutz symbolisieren App Tracking und Privatsphäre.

Datenschutz beim App Tracking: Das zählt

 Jemand nutzt am Smartphone einen Chat-Bot.

Microsoft Copilot: datenschutzkonform – geht das?

 Eine Cyber-Waage symbolisiert das Thema KI und Datenschutz.

KI-Systeme und Datenschutz: Was sagt die DSK?

Weitere interessante Blog-Artikel

Datenschutz in Legal

Datenschutzschulung – betrifft das meinen Shop?

In diesem Tipp der Woche erfährst du alles über die rechtliche Verpflichtung zur Datenschutzschulung und wie du sie in der Praxis leicht umsetzt.

Jetzt lesen
3min. Lesezeit  |  22.06.26
Online-Handel in Legal

PPWR – neue Regeln für Verpackungen ab 12.08.2026

Mit der Packaging and Packaging Waste Regulation (PPWR) soll Schluss sein mit überflüssigen Verpackungen. Ab 12.08. gelten europaweit einheitliche Regeln.

Jetzt lesen
6min. Lesezeit  |  16.06.26
Abmahnung , Verbraucherschutzrecht in Legal

Botanicals: Diese Health Claims sind jetzt tabu

Mehr Ausgeglichenheit, weniger Stress – viele Nahrungsergänzungsmittel werben mit positiven Wirkungen auf die Gesundheit. Der EuGH setzt dem Grenzen.

Jetzt lesen
4min. Lesezeit  |  09.06.26
Land auswählen:

© 2026 Trusted Shops SE Impressum Datenschutz Cookies