Einmal im Jahr schulen? Warum das nicht funktioniert – und was stattdessen wirkt

Es ist ein Bild, das viele kennen: Morgens Datenschutz, mittags Arbeitssicherheit, nachmittags Brandschutz, zum Abschluss noch ein Abschnitt zur KI-Compliance. Alle nicken, alle unterschreiben. Erledigt. Drei Wochen später landet eine Phishing-Mail im Postfach, jemand klickt, und der Incident beginnt.

Das ist kein böser Wille, das ist keine Nachlässigkeit. Es ist das vorhersehbare Ergebnis eines Formats, das nicht dafür gemacht ist, Wissen zu verankern. Der klassische Schulungstag deckt sich formal ab – er schafft aber keine echte Handlungssicherheit. Und genau dort liegt das eigentliche Problem.

In diesem Beitrag zeige ich dir, warum viele Schulungskonzepte strukturell scheitern und wie du das mit ein paar gezielten Entscheidungen ändern kannst. Ohne unrealistische Idealvorstellungen, ohne Budgets, die kein Mittelstand hat – aber mit einem klaren Blick auf das, was in der Praxis wirklich wirkt.

Die Frage, ob Mitarbeiterschulungen zu Datenschutz, IT-Sicherheit und KI Pflicht sind, lässt sich klar beantworten: Ja. Aber die gesetzlichen Grundlagen sind unterschiedlich gelagert, je nach Themenbereich.

Im Datenschutz ergibt sich die Schulungspflicht nicht aus einer einzelnen, eindeutigen Norm, sondern indirekt aus mehreren Anforderungen der DSGVO. Artikel 32 verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen – und Schulungen sind eindeutig eine solche Maßnahme. Artikel 39 weist dem Datenschutzbeauftragten die Aufgabe zu, auf die Einhaltung der Datenschutzgrundsätze hinzuwirken und die Mitarbeitenden zu sensibilisieren. Wer einen Auftragsverarbeitungsvertrag abgeschlossen hat, findet dort in der Regel ebenfalls die Verpflichtung, dass Beschäftigte die wesentlichen Datenschutzanforderungen kennen. Artikel 24 DSGVO schreibt darüber hinaus vor, dass ergriffene Maßnahmen regelmäßig überprüft und bei Bedarf angepasst werden müssen – eine einmalige Schulung vor drei Jahren genügt dem nicht.

Bei NIS-2 ist die Lage klarer formuliert. Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Deutschland in Kraft und verpflichtet betroffene Einrichtungen ausdrücklich zu Schulungen – auch und besonders auf Ebene der Geschäftsleitung. Das BSI hat für die NIS-2-Geschäftsleitungsschulung sogar Mindestinhalte definiert und gibt als Empfehlung mindestens einen jährlichen Turnus vor, der sich bei wesentlichen Änderungen der Bedrohungslage verkürzt. Das Risiko der Geschäftsleitung ist dabei nicht abstrakt: Bei einem Sicherheitsvorfall, der auf fehlende oder unzureichende Maßnahmen zurückgeführt werden kann, kann die Geschäftsleitung persönlich haften.

Die KI-Verordnung fügt seit Anfang 2025 eine weitere Pflicht hinzu: Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Das bedeutet nicht nur technisches Verständnis, sondern auch ein kritisches Urteilsvermögen: Wie funktioniert das System, welche Risiken bringt es mit sich, und wann muss der Mensch eingreifen, statt der automatisierten Ausgabe zu vertrauen?

Wer sich darüber hinaus nach ISO 27001 zertifiziert hat, einen Cyberrisikocheck gemacht hat oder dem BSI-Grundschutz verpflichtet ist, schuldet regelmäßige Schulungen auf Basis seiner eigenen Verpflichtungen. Und wer eine Cyberversicherung hat, sollte sich deren Bedingungen genau ansehen: Im Schadensfall prüfen Versicherer, ob Schulungspflichten erfüllt wurden. Wer das nicht nachweisen kann, riskiert einen eingeschränkten Versicherungsschutz – und garantiert höhere Prämien in der Zukunft.

Viele Unternehmen gehen von einer falschen Grundannahme aus: Die Mitarbeitenden wissen, was sie tun sollen – wir haben doch geschult. Diesen Satz höre ich häufig. Er klingt beruhigend, beschreibt aber eine Situation, die mit Sicherheit nicht der Realität entspricht.

Das Problem liegt selten beim einzelnen Menschen. Es liegt im Format. Ein Schulungstag einmal im Jahr vermittelt an einem Vormittag, was an den anderen 364 Tagen angewendet werden soll. Die Inhalte konkurrieren mit den anderen Pflichtthemen, der Kaffee ist schlecht, die Folien sind zu lang, und keiner weiß so genau, warum das jetzt für den eigenen Alltag relevant ist. Unter diesen Bedingungen hält Wissen nicht.

Dazu kommt ein strukturelles Problem, das ich in vielen Unternehmen beobachte: Schulungen werden so konzipiert, dass sie rechtliche Anforderungen abdecken. Das ist nachvollziehbar, aber es führt dazu, dass die Teilnehmenden eine Stunde lang Gesetze erklärt bekommen, statt zu verstehen, was das für ihre tägliche Arbeit bedeutet. Eine Schulung, die erklärt, was Artikel 32 DSGVO vorschreibt, ohne zu zeigen, wie das konkret am Arbeitsplatz aussieht, erzeugt kein Verständnis – sie erzeugt Compliancedokumentation.

Hinzu kommt die Frage der Vergessenskurve. Wissen, das einmal im Jahr aufgefrischt wird, ist nach wenigen Wochen zu großen Teilen wieder verblasst. Wer möchte, dass Mitarbeitende dauerhaft sicherer handeln, braucht kein größeres Event – er braucht regelmäßige, kleine Impulse, die das Wissen lebendig halten.

Einer der häufigsten Fehler in Schulungskonzepten ist das Prinzip „alle bekommen das Gleiche". Dabei sind die Anforderungen im Unternehmen grundlegend unterschiedlich.

Eine sinnvolle Struktur denkt in Ebenen. Es gibt Grundlageninhalte, die für alle Mitarbeitenden relevant sind: Was ist Datenschutz, warum ist IT-Sicherheit mein Thema, wie gehe ich mit KI-Tools im Arbeitsalltag um? Das ist die Basis, die jeder braucht. Darüber hinaus haben einzelne Fachbereiche spezifischen Bedarf: Die HR-Abteilung denkt bei Datenschutz an Bewerberdaten und Personalakten, die IT an Berechtigungskonzepte und Systemarchitektur, das Marketing an Newsletter, Tracking und Einwilligungsmanagement. Wer alle drei mit der gleichen Schulung bedient, unterfordert die einen und überfährt die anderen – und ist am Ende für niemanden wirklich relevant.

Führungskräfte und Geschäftsleitung brauchen noch einmal ein anderes Format. Es geht nicht darum, dass sie jedes technische Detail kennen müssen. Aber sie müssen Verantwortung verstehen, Meldepflichten kennen, haftungsrelevante Entscheidungen einordnen können. Das lässt sich nicht per E-Learning abhandeln – diese Zielgruppe braucht Raum für Fragen und Diskussion.

Und dann gibt es noch eine vierte Ebene, die oft vergessen wird: die Beauftragten selbst. Als DSB oder ISB bist du verpflichtet, deine Fachkunde aufrechtzuerhalten und nachzuweisen. Das bedeutet, dass Schulungen, die du für deine Mitarbeitenden konzipierst, nicht gleichzeitig deine eigene Fortbildung sind. Du brauchst ein anderes Niveau, andere Inhalte, andere Quellen.

Es gibt einen weiteren Denkfehler, der in vielen Unternehmen verbreitet ist: die drei Themenfelder werden als separate Silos behandelt. Der DSB macht seine Schulung, der ISB macht seine Schulung, und wenn es irgendwann KI-Schulungen gibt, kommen die noch obendrauf.

In der Praxis greifen diese Themen aber untrennbar ineinander. Wer über Homeoffice spricht, muss gleichzeitig Datenschutz und IT-Sicherheit adressieren. Wer KI-Tools erklärt, kommt an Datenschutzrisiken nicht vorbei. Und wenn eine Phishing-Mail zum Klick führt, ist der Sicherheitsvorfall oft gleichzeitig ein Datenschutzvorfall. 

Integrierte Schulungen, die bewusst Zusammenhänge aufzeigen, sind effizienter und erzeugen ein tieferes Verständnis. Sie sind auch ehrlicher gegenüber der Realität, in der die Mitarbeitenden arbeiten.

Es gibt nicht das eine richtige Schulungsformat. Es gibt das jeweils richtige Format für den jeweiligen Zweck. Das klingt banal, wird in der Praxis aber selten so umgesetzt.

Präsenzschulungen eignen sich hervorragend, wenn Diskussion und Tiefe gefragt sind: Gruppenarbeiten, Szenarien, offene Fragen. Der Nachteil ist der Aufwand – Zeit, Anreise, Terminkoordination. Webinare bieten eine größere Reichweite bei deutlich weniger Aufwand. Sie eignen sich gut für regelmäßige Impulse und für alle, die nicht am gleichen Ort sind. Wenn der Referent es schafft, auch remote eine echte Verbindung zu den Teilnehmenden herzustellen, kann ein Webinar fast so viel bewirken wie eine Präsenzveranstaltung.

E-Learning wiederum ist ideal für Grundlagenschulungen, die skalierbar sein müssen. Jeder kann in seinem eigenen Tempo lernen, der Abschluss wird automatisch dokumentiert, und Teilnahmebescheinigungen lassen sich ohne manuellen Aufwand erzeugen. Das Format ist aber nicht für alles geeignet: Wenn Rückfragen möglich sein müssen oder wenn die Zielgruppe erfahrungsgemäß diskutieren will, braucht es etwas anderes.

Mein persönliches Lieblingsformat – und eines, das in vielen Konzepten fehlt – ist das Microlearning. Statt einmal im Jahr sechs Stunden bedeutet das: einmal pro Woche fünf Minuten. Ein gut gemachter One-Pager, der erklärt, wie ein sicheres Passwort aussieht. Eine kurze Checkliste für die korrekte Meldung einer Datenschutzpanne. Eine einzelne, klare Botschaft, die sich sofort in den Arbeitsalltag integrieren lässt. Nichts davon erfordert viel Aufwand – aber die kontinuierliche Wirkung auf die Sicherheitskultur ist erheblich größer als die eines einmaligen Schulungstages.

Ohne Dokumentation ist die beste Schulung nichts wert – zumindest nicht gegenüber Aufsichtsbehörden oder Versicherungen. Das klingt bürokratisch, hat aber einen sehr pragmatischen Hintergrund.

Im Ernstfall werden zwei Parteien prüfen, ob du deiner Schulungspflicht nachgekommen bist: die zuständige Aufsichtsbehörde und deine Cyberversicherung. Wer dann keine Nachweise vorlegen kann, hat ein Problem – und das nicht nur juristischer Art.

Was für einen belastbaren Nachweis gebraucht wird, ist überschaubar: Name der Teilnehmenden, Bezeichnung der Schulung, Datum, vermittelte Inhalte, Dauer. Das lässt sich per Teilnehmerliste abbilden, per Export aus einer E-Learning-Plattform oder als dokumentiertes Schulungskonzept, wenn es um Microlearning-Maßnahmen geht. Wichtig ist, dass die Dokumentation systematisch ist – also nicht einzelne Nachweise, die irgendwo liegen, sondern ein nachvollziehbares Konzept mit zugehörigen Belegen.

Eine kurze Erinnerung für alle, die als DSB tätig sind: Du bist nicht automatisch verantwortlich dafür, dass Schulungen durchgeführt werden. Du bist dafür verantwortlich, darauf hinzuwirken. Die Entscheidung, ob und wann geschult wird, liegt bei der Unternehmensleitung. Wenn du eine Schulung empfiehlst und sie nicht durchgeführt wird, dokumentiere das. Dass du darauf hingewiesen hast, ist Teil deiner Aufgabe – die Umsetzung ist es nicht.

Ein funktionierendes Schulungskonzept lässt sich auf fünf Fragen herunterbrechen:

Wer muss geschult werden? 
Definiere die Zielgruppen in deinem Unternehmen. Grundlagenwissen für alle, Fachbereichsspezifisches für einzelne Gruppen, strategisches Wissen für die Führungsebene – und deine eigene Fortbildung als Beauftragter separat davon.

Zu welchem Thema? 
Identifiziere den tatsächlichen Bedarf: Was ist gesetzlich gefordert, was sind aktuelle Risiken, was hat zuletzt zu Problemen geführt? Ein Schulungsplan, der nur das abbildet, was formal dokumentiert werden muss, greift zu kurz.

In welchem Rhythmus? 
Einmal im Jahr als Grundlage reicht nicht aus. Ergänze das durch regelmäßige Kurzimpulse, anlassbezogene Schulungen bei neuen Gesetzen oder Vorfällen und ein strukturiertes Onboarding für neue Mitarbeitende.

Welches Format? 
Wähle das Format, das zur Zielgruppe und zum Inhalt passt. E-Learning für Grundlagen, Webinar oder Präsenz für Vertiefung und Diskussion, Microlearning für kontinuierliche Sensibilisierung.

Wie weise ich nach? 
Lege von Anfang an fest, wie du Schulungen dokumentierst. Automatisch, wenn du eine Plattform einsetzt. Manuell, wenn du Präsenzveranstaltungen durchführst. Konzeptbasiert, wenn du Microlearning oder Rundschreiben einsetzt.

Der Punkt, den ich immer wieder betone, ist einfach: Eine Schulung, die nur Häkchen setzt, verfehlt ihren eigentlichen Zweck. Der rechtliche Rahmen – DSGVO, NIS-2, KI-Verordnung – verlangt nicht einfach, dass Schulungen stattgefunden haben. Er verlangt, dass Mitarbeitende in der Lage sind, datenschutz- und sicherheitskonform zu handeln. Das ist ein Unterschied, der im Ernstfall entscheidend ist.

Echte Awareness entsteht nicht aus einer Paragraphenübersicht, sondern aus regelmäßigen, verständlichen und zielgruppengerechten Impulsen. Das kostet nicht zwingend mehr – es erfordert nur mehr Gedanken vorab. Wer weiß, wen er schult, was diese Zielgruppe wirklich braucht und welches Format passt, erzielt mit weniger Aufwand deutlich mehr Wirkung.

Wenn du weißt, dass dein aktuelles Konzept nicht das abruft, was es soll – oder wenn du noch keins hast – gibt es verschiedene Möglichkeiten, wie wir gemeinsam ansetzen können.

Mit unserem interaktiven Schulungsplaner kannst du erste Ideen für Themen, Zielgruppen und Zeitbudgets strukturieren. Er schlägt dir passende Inhalte vor und hilft, ein erstes Konzept zu entwickeln.

Wenn du fertige Kurse brauchst, die deine Mitarbeitenden selbständig und dokumentiert absolvieren können, lohnt ein Blick auf die NOVICADEMY – unsere Lernplattform für Datenschutz, IT-Sicherheit und KI-Compliance. Du kannst 30 Tage kostenlos und ohne Abo testen.

Und wenn du direkte Unterstützung beim Aufbau eines Schulungskonzepts, bei der Durchführung von Schulungen oder bei der dauerhaften Sensibilisierung brauchst: das hier ist der kürzeste Weg zum Kontaktformular.