Pflichtschulungen im Unternehmen
Nachdem wir immer wieder gefragt werden „welche Verpflichtungen gibt es denn?“, haben wir eine Übersicht zusammengestellt.
Cyber Security
Datenschutz
Arbeitsschutz
Frank von Stetten
·
13.04.2026
Schulungsverpflichtung begründet aus:
Explizite (gesetzliche) Verpflichtungen
Richtlinie NIS2 (EU) – Directive (EU) 2022/2555
NIS-2 gilt für ca. 30.000 Unternehmen in Deutschland, die mehr als 50 Mitarbeiter haben und zu den „wesentlichen“ oder „wichtigen“ Einrichtungen im Sinne des Gesetzes gelten, weil sie Leistungen in kritischen Sektoren erbringen. Über die Lieferkette der betroffenen Unternehmen wird die NIS-2 Richtline wahrscheinlich für 100.000 Unternehmen relevant, da diese von den NIS-2 direkt betroffenen Unternehmen einfach verpflichtet werden, die gleichen Standards einzuhalten.
Die NIS-2 Richtlinie ist in Deutschland durch das BSI-Gesetz (BSIG) umgesetzt worden. Dort gibt es explizite Schulungsverpflichtungen in zwei Paragraphen:
- Artikel 30, Absatz 2 BSIG fordert: „grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.“ und zwar für alle Beschäftigten.
- Artikel 38, Absatz 3 BSIG regelt zusätzlich explizit die Schulungsplicht für die Geschäftsleitung: „Die Geschäftsleitungen […] müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“
Schulungen sind also gesetzlich explizit vorgeschrieben.
Für die Belegschaft gibt es keine konkreteren Vorgaben, wie die Schulungen auszusehen haben. Es gilt – wie überall bei NIS-2 – die „Best Practice“. Unsere Schulung Fit für Cyber Security ist eine solche „Best Practice“ und deckt seit vielen Jahren die „grundlegende Schulungen und Sensibilisierungsmaßnahmen“ ab: Phishing, Passwörter und Passwort Management, Social Engineering, Ransomware, und vieles mehr.
Für Führungskräfte hat das BSI eine äußerst umfangreiche Handreichung herausgegeben, die in ihrer ersten Version (2025) von 4-stündigen Schulungen ausgeht, die alle 3 Jahre oder beim Wechsel der Geschäftsführung durchgeführt werden müssen. Für Personen, die noch nie mit Risikomanagement zu tun hatten, ist das sinnvoll. Für Leitungsorgane, die aber seit Jahren im Rahmen des Enterprise Risk Management auch über Cyber Security Risiken und Maßnahmen informiert werden, sind die meisten Inhalte jedoch bereits bekannt. Hier ist eine individuelle Schulung von 60-90 Minuten unser Format der Wahl. Diese Schulungen werden in Präsenz oder virtuell durchgeführt und – wie vom BSI gefordert – speziell auf den Umsetzungsgrad des jeweiligen Unternehmens angepasst. E-Learning-Formate sind für die Geschäftsleitung aus unserer Sicht nur eine Notlösung für große Konzerne mit mehr als 20 betroffenen Geschäftseinheiten.
- Betroffen: Alle Unternehmen, die unter NIS-2 fallen (ca. 36.000 in Deutschland) plus sehr wahrscheinlich deren Lieferanten.
- Dauer: keine gesetzliche Vorgabe, es gilt „Best Practice“. Für allgemeine Security Awareness sind das 30-60 Minuten. Für die Geschäftsleitungsschulung empfiehlt das BSI 4 Std. Live-Schulung, Best Practice für Unternehmen mit etabliertem Risikomanagement ist aber eher 90 Minuten.
- Häufigkeit: keine gesetzliche Vorgabe, es gilt „Best Practice“. Für allgemeine Security Awareness bedeutet das Grundlagenschulung im 1. Jahr und Auffrischungen in den Folgejahren. Für die Geschäftsleitungsschulung empfiehlt das BSI alle 3 Jahre oder bei Wechsel der Geschäftsleitung.
- Online-Tauglichkeit: für Belegschaft uneingeschränkt geeignet. Für Geschäftsleitung als Live-Event empfohlen, E-Learning ist als Notlösung für große Konzerne zulässig.
IS-FOX Empfehlung für Inhalte:
- Für Belegschaft: allgemeine Security Awareness zu Phishing, Passwörter, Social Engineering, Ransomware, etc. Beispielweise Fit für Cyber Security oder Grundschutz Cyber Security.
- Für die Geschäftsleitung: Best Practice Live-Schulung NIS-2 für Leitungsorgane. Sie vermittelt die Kenntnisse, wie Risikomanagement funktioniert, um die Situation im eigenen Unternehmen verstehen und bewerten zu können.
KI-Verordnung (EU AI Act)
Der Art. 4 des EU AI Act fordert explizit, dass Maßnahmen ergriffen werden, damit Personen hinreichend kompetent im Umgang mit KI sind (Kenntnisse, Verständnis, Bewusstsein für Risiken etc.). Die Schulung muss angepasst sein an Rolle, Vorwissen, Art der KI-Systeme und Nutzungskontext.
Wir haben uns mit KI-Experten, Fachbereichen unserer Kunden, Juristen und Lernexperten zusammengesetzt, die Inhalte einer "KI-Kompetenzschulung" definiert: KI-Grundlagen (wie funktioniert eine KI), die Risikoklassen der KI-Verordnung, KI und Cyber Security, KI und Datenschutz, sowie praktische und konkrete Tipps für den Umgang mit KI im Alltag. Wir sind davon überzeugt, damit nicht nur Artikel 4 vollumfänglich zu bedienen, sondern alle relevanten Themen für die Zielgruppe „Anwender von KI-Systemen“ zu adressieren.
- Betroffen: Alle Unternehmen, die ihren Mitarbeitern Zugang zu KI-Systemen ermöglichen (also de facto jedes Unternehmen, unabhängig von Größe oder Branche)
- Dauer: keine gesetzliche Vorgabe. Unsere KI-Kompetenzschulung dauert 40 – 50 Minuten.
- Häufigkeit: keine gesetzliche Vorgabe.
- Online-Tauglichkeit: uneingeschränkt geeignet, hohe Effizienz
IS-FOX Empfehlung zu Inhalten: KI-Kompetenzschulung: wie funktioniert KI, was will die KI-Verordnung, Cyber Security und Datenschutz bei KI, praktische und konkrete Tipps zu Nutzung im Alltag.
DORA – Digital Operational Resilience Act (EU-Verordnung 2022/2554)
DORA gilt für Finanzunternehmen (Bank, Versicherung, Zahlungsdienstleister, Krypto-Dienstleistung etc.) und Unternehmen, die IKT-Dienstleistungen für ein Finanzunternehmen erbringen (z. B. Cloud, Datenverarbeitung, Software). In Summe sind ca. 3.600 Unternehmen in Deutschland und mehr als 20.000 Unternehmen EU-weit betroffen.
In Art. 13 fordert DORA explizit:
„Finanzielle Einrichtungen sollen ICT-Security-Awareness-Programme und digitale Resilienz-Schulungen als verpflichtende Module in ihren Mitarbeiterschulungsprogrammen entwickeln. Diese Programme gelten für alle Mitarbeitenden und das Senior Management und müssen in ihrer Komplexität dem Aufgabenbereich der jeweiligen Funktion entsprechen.“
DORA ist keine „mach doch mal ein bisschen Sicherheit“ Verordnung, sondern stellt sehr konkrete Anforderungen mit einem hohen Reifegrad, die auch von den Aufsichtsbehörden auditiert werden. Deshalb lassen sich bei DORA aus unserer Sicht mehrere Zielgruppen für Schulungsanforderungen ableiten:
- Klassische Cyber Security Awareness für die gesamte Belegschaft
- Zusätzlich DORA spezifische Inhalte für Personen mit Führungsaufgaben (Management, Projektleitung, etc.)
- Sicherer IT-Betrieb für Administratoren und ITK-Dienstleister
- Sichere Softwareentwicklung für Entwickler
- Betroffen: ca. 3.600 Finanzunternehmen und deren ITK-Dienstleister in Deutschland
- Dauer: keine gesetzliche Vorgabe.
- Häufigkeit: keine gesetzliche Vorgabe.
- Online-Tauglichkeit: uneingeschränkt für alle Zielgruppen geeignet, hohe Effizienz
IS-FOX Empfehlung für Inhalte:
- Für Belegschaft: allgemeine Security Awareness zu Phishing, Passwörter, Social Engineering, Ransomware, etc. Beispielweise Fit für Cyber Security oder Grundschutz Cyber Security.
- Für Management/Projektleiter: die Online Schulung DORA ergänzt kompakt die DORA spezifischen Inhalte: Wie werden Unternehmen resilient? Was will DORA? Was sind meine Aufgaben als Mitarbeiter oder Führungskraft?
IT-Sicherheitsgesetz (BSIG / IT-SiG 2.0)
Unter das BSI-Gesetz (BSIG) / IT-Sicherheitsgesetz fielen Betreiber kritischer Infrastrukturen (aus definierten Sektoren wie Energie, Wasser, Transport, Gesundheit, etc.), Anbieter digitaler Dienste, Betreiber „besonders wichtiger Anlagen“ und „Unternehmen im besonderen öffentlichen Interesse“ (z.B. Rüstungsunternehmen). Da betroffene Unternehmen auch die Risiken in ihrer Lieferkette beherrschen müssen, werden zusätzlich zahlreiche Zulieferer vertraglich zur Einhaltung verpflichtet.
Das BSIG wurde durch die Umsetzung der NIS-2 Richtlinie überarbeitet. Es gilt nun als das BSIG von 2025 (neue Fassung) nach Umsetzung der NIS-2 Richtlinie und damit dieselben Schulungsverpflichtungen wie bei NIS-2.
Datenschutz nach DSGVO
Schulungsverpflichtungen ergeben sich aus Art. 39 und Art. 32 der DSGVO. Art. 39 definiert in den Aufgaben des Datenschutzbeauftragten “die Sensibilisierung und Schulung des Personals, das an Verarbeitungen beteiligt ist“. Und Art. 32 verlangt „geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung“. Schulungen sind nach herrschender Meinung ein essenzieller Teil der organisatorischen Maßnahmen. Und wie oft? Der Gesetzestext gibt zwar keine klare Frist vor, aber die Aufsichtsbehörden und die gängige Rechtsprechung gehen von „alle 1-2 Jahre“ aus.
Unsere Datenschutz-Schulung vermittelt bereits seit 2018 alle Kompetenzen zum Thema Datenschutz auf einfache, praxisnahe und spielerische Weise: als interaktiver Grundlagenkurs für Neueinsteiger, als Auffrischungskurs für die Wiederholung oder als schneller Test-Out für Profis.
- Betroffen: Alle Mitarbeiter, die personenbezogen Daten verarbeiten (also quasi jede Person mit einem PC-Zugang am Arbeitsplatz, unabhängig von Unternehmensgröße oder Branche)
- Dauer: keine gesetzliche Vorgabe. Unsere Datenschutz Onlineschulung dauert 40 – 50 Minuten.
- Häufigkeit: gemäß Aufsichtsbehörden und Rechtsprechung „alle 1-2 Jahre“.
- Online-Tauglichkeit: uneingeschränkt geeignet, hohe Effizienz dank Auffrischungsmodule und Test-Out
IS-FOX Empfehlung zu Inhalten: Datenschutz nach DSGVO: Datenschutz-Grundlagen, Grundprinzipien, die konkreten Anforderungen, Tipps für Datenschutz im Alltag. Für die Folgejahre empfehlen wir Auffrischungsmodule oder einen Test-Out.
Arbeitsschutz / Arbeitssicherheit
Im Arbeitsschutz gibt es klare gesetzliche Schulungspflichten, die jedes Unternehmen betreffen – unabhängig von Branche und Größe.
Im Arbeitsschutzgesetz (ArbSchG) steht in § 12 Unterweisung:
„Der Arbeitgeber hat die Beschäftigten über Sicherheit und Gesundheitsschutz bei der Arbeit während ihrer Arbeitszeit ausreichend und angemessen zu unterweisen. Die Unterweisung umfasst Anweisungen und Erläuterungen, die eigens auf den Arbeitsplatz oder den Aufgabenbereich der Beschäftigten ausgerichtet sind. Die Unterweisung muss bei der Einstellung, bei Veränderungen im Aufgabenbereich, der Einführung neuer Arbeitsmittel oder einer neuen Technologie vor Aufnahme der Tätigkeit erfolgen. Die Unterweisung ist an die Gefährdungsentwicklung anzupassen und erforderlichenfalls regelmäßig zu wiederholen.“.
Jeder Beschäftigte muss also vor Beginn der Tätigkeit und dann regelmäßig geschult werden, und zwar zu Gefährdungen am Arbeitsplatz, Sicherheitsmaßnahmen, Erste Hilfe, Brandschutz und Notfallverfahren. Das gilt selbstverständlich auch für Büroarbeitsplätze und auch für Personen, die überwiegend oder sogar ausschließlich im Home Office arbeiten. Das Arbeitsschutzgesetz macht keinen Unterschied zwischen dem Arbeitsplatz im Büro und dem zu Hause. Die Berufsgenossenschaften konkretisieren in ihren verbindlichen Vorschriften das „regelmäßig“ zu „mindestens jedoch einmal jährlich“. Die Schulungen müssen dokumentiert werden (Teilnahme, Inhalte, Datum).
Man kann für die Arbeitsschutz-Schulung problemlos ein E-Learning einsetzen, wenn es interaktiv ist, echte Inhalte vermittelt und eine Nachweisfunktion hat, d.h. eine Lernkontrolle durch einen Abschlusstest.
- Betroffen: Jedes Unternehmen, unabhängig von Unternehmensgröße oder Branche, auch PC-Mitarbeiter und im Home-Office).
- Dauer: keine gesetzliche Vorgabe. Unsere Arbeitsschutz Onlineunterweisung dauert 30 – 35 Minuten.
- Häufigkeit: vor Tätigkeitsbeginn und mindestens einmal jährlich.
- Online-Tauglichkeit: geeignet, wenn Inhalte interaktiv sind und der Schulungserfolg nachweisbar ist. Reine Abfragen ohne Vermittlung von Inhalten sind nicht erlaubt.
IS-FOX Empfehlung zu Inhalten: IS-FOX Arbeitsschutz Online Unterweisungen: Arbeitsschutz Grundlagen, Unfallverhütung (Gefährdungen am Arbeitsplatz und Sicherheitsmaßnahmen), Verhalten im Notfall (Erste Hilfe, Brandschutz, etc.) und Gesundheit / Ergonomie. Für die Folgejahre empfehlen wir Auffrischungsmodule. Test-Out ist aktuell gesetzlich nicht zugelassen.
Implizite Schulungspflichten
Neben klaren gesetzlichen Vorgaben gibt es weitere Gründe, aus denen sich Schulungspflichten ableiten lassen:
Unternehmerisches Überleben
Das allerwichtigste Argument aus unserer Sicht ist sehr einfach: wer nicht schult, riskiert sein Unternehmen, vor allem im Bereich Cyber Security. Es gibt nahezu wöchentlich Meldungen über Unternehmen, die durch Cyberangriffe so lahmgelegt wurden, dass sie Insolvenz anmelden mussten. Und wer meint „das trifft nur die Großen“, irrt sich. Der Schutz der großen wird immer besser und KI hilft dabei, die Angriffe zu automatisieren. Deshalb sind zukünftig vermehrte Angriffe auf kleine und mittelständische Unternehmen sehr wahrscheinlich.
Ein sensibilisierter Mitarbeiter kann das Unternehmen vor der Katastrophe bewahren. Der Nutzen steht damit außer Frage.
Fahrlässigkeit
Nach § 280 BGB haben Unternehmen eine Sorgfaltspflicht, z. B. zur Organisation der IT-Sicherheit. Wenn Mitarbeiter nicht hinreichend geschult werden, kann ein Schaden durch gehackte Konten oder Datenverlust als verletzte Organisationspflicht bewertet werden. Das kommt natürlich immer auf den Fall an, aber es sind bereits mehrfach gerichtlich entsprechende Urteile ergangen.
Versicherungen
Viele Versicherer haben in ihrer Police Klauseln wie „Der Versicherungsnehmer hat angemessene technische und organisatorische Maßnahmen zur Risikovermeidung zu treffen.“ Wenn ein Schaden durch menschliches Versagen verursacht wird (z. B. durch Phishing oder Social Engineering), kann der Versicherer argumentieren, dass der Schaden bei ordnungsgemäßer Mitarbeiterschulung vermeidbar gewesen wäre und Leistungen kürzen oder gar nicht zahlen.
Fazit
Neben klaren gesetzlichen Schulungspflichten gibt es viele weitere gute Gründe, Mitarbeiter regelmäßig zu Datenschutz, Compliance, Arbeitsschutz und Cyber Security sensibilisieren. Und das muss kein langweiliges juristisches Hörspiel sein. IS-FOX Online-Schulungen kommen auf den Punkt, verwenden einfache Sprache, sind interaktiv und geben praktische Tipps für die sofortige Anwendung im Alltag. Deshalb bekommen wir seit Jahren nur beste Bewertungen, auch bei „trockenen Themen“. Und es kann ganz einfach sein: Schulung auswählen, Mitarbeiter einladen, fertig! Den Rest übernimmt unsere Plattform – oder das Lernmanagementsystem in eurem Unternehmen.
Über unseren Autor
Frank von Stetten
Co-Gründer HvS-Consulting und Experte für regulatorische Schulungen
Frank von Stetten ist Mitgründer der HvS-Consulting in München und ein echter Profi im Bereich Security Awareness und entsprechenden Schulungen für Unternehmen. Seit mehr als 20 Jahren führen er und sein Team Schulungen zu Cyber Security, Datenschutz, Compliance und Arbeitsschutz durch, als Live-Events oder E-Learning-Kurs.
Er ist Autor einer Vielzahl von IS-FOX Kursen, hält zahlreiche Vorträge zum Thema "Lernen in Unternehmen" und schult aktuell viele Geschäftsleitungen zum Thema NIS-2.
Entdecke unsere rechtssicheren Mitarbeiterschulungen
Top-aktuelle IT-Security-Trainings für Mitarbeitende schützen vor Angriffen und den Folgen für Unternehmen.
Schulen Sie Ihre Mitarbeiter in KI-Kompetenz gemäß Art. 4 des EU AI Act. Der Online-Kurs vermittelt praxisnahe Tipps, rechtliche Grundlagen und ein Zertifikat.
Unsere top-aktuellen und modernen Datenschutz Online-Schulungen machen Deine Mitarbeitenden fit für die DSGVO.
Arbeitsschutz im Unternehmen einfach erklärt und auf den Punkt gebracht. Als E-Learning mit Zertifikat. Jetzt informieren und Schulung buchen!