Alle Artikel

SCHULUNG ZU IT‑SICHERHEIT: WAS IST WIRKLICH PFLICHT?

Cyber-Versicherung, DSGVO und EU AI Act verlangen Mitarbeiterschulung auf je eigene Weise. Was tatsächlich gefordert ist und woran du einen belastbaren Nachweis erkennst.

Zuletzt aktualisiert: 15. Juli 2026

Eine einzelne, allgemeine Pflicht zur IT-Sicherheitsschulung gibt es nicht. In der Praxis verlangen aber drei Quellen genau das: Cyber-Versicherungen erwarten regelmäßige Mitarbeiterschulung als Obliegenheit, die DSGVO setzt sensibilisierte und unterwiesene Beschäftigte voraus, und der EU AI Act fordert seit Februar 2025 KI-Kompetenz. Wer im Schadensfall oder auf Nachfrage keine dokumentierte Schulung vorweisen kann, steht schlecht da.

Cyber-Versicherung: die Obliegenheit im Kleingedruckten

Cyber-Versicherer koppeln ihren Schutz an Sorgfaltspflichten, die sogenannten Obliegenheiten. Regelmäßige Schulung der Mitarbeiter zu IT-Sicherheit und Phishing gehört in vielen Policen dazu, teils als Bedingung im Vertrag, teils über die Risikofragen im Antrag. Relevant wird das im Schadensfall: Kannst du die Schulung nicht belegen, riskierst du Diskussionen über die Leistung. Was genau deine Police verlangt, steht in den Bedingungen und klärst du mit deinem Versicherer oder Makler.

DSGVO: Sensibilisierung ist Teil der Pflichten

Die DSGVO nennt keine wörtliche Schulungspflicht, kommt aber ohne geschulte Beschäftigte nicht aus. Sie verlangt technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung (Artikel 32) und erlaubt den Umgang mit Personendaten nur auf Weisung (Artikel 29). Beides setzt Mitarbeiter voraus, die wissen, was sie tun. Wo es einen Datenschutzbeauftragten gibt, zählt Artikel 39 die Sensibilisierung und Schulung der beteiligten Mitarbeiter ausdrücklich zu seinen Aufgaben. Aufsichtsbehörden fragen nach Vorfällen regelmäßig, wie das Personal unterwiesen wurde.

EU AI Act: KI-Kompetenz kommt dazu

Seit dem 2. Februar 2025 verpflichtet Artikel 4 der EU-KI-Verordnung Unternehmen, die KI einsetzen, für ausreichende KI-Kompetenz ihres Personals zu sorgen; ab dem 2. August 2026 ist die Aufsichtsstruktur vollständig arbeitsfähig. Das ist eine eigene Pflicht neben der klassischen Sicherheitsschulung, auch wenn sich die Themen berühren: Moderne Phishing-Angriffe arbeiten mit Deepfakes und geklonten Stimmen. Was Artikel 4 konkret verlangt, steht in unserem Artikel KI-Kompetenz nach Artikel 4 umsetzen.

Woran du einen belastbaren Nachweis erkennst

Ob eine Schulung im Ernstfall trägt, entscheidet sich an der Dokumentation. Ein belastbarer Nachweis erfüllt fünf Kriterien:

  1. Pro Person nachvollziehbar. Wer wurde wann zu welchen Inhalten geschult, mit welchem Ergebnis.
  2. Wissenskontrolle statt Abspielbestätigung. Ein Test mit Bestehensschwelle zeigt, dass Inhalte angekommen sind.
  3. Gegen nachträgliche Änderungen geschützt. Ergebnisse, die sich im Nachhinein anpassen lassen, überzeugen weder Versicherer noch Behörden.
  4. Mit organisierter Wiederholung. Jährliche Auffrischung und Fristen für neue Mitarbeiter, automatisch erinnert.
  5. Exportierbar. Im Ernstfall brauchst du ein Paket zum Weiterreichen, keine Screenshot-Sammlung.

Wie SEGUAI unterstützt

Unsere Online-Sicherheitsschulung deckt Datenschutz, Cybersicherheit und Phishing ab und erzeugt genau diesen Nachweis: Zertifikat pro Person, Gesamtexport mit manipulationssicherem Protokoll, echte Phishing-Simulation und jährliche Auffrischung mit automatischen Erinnerungen. Auf Wunsch läuft alles auf eurem eigenen Server, dann verlassen keine Personendaten das Haus. Details unter IT-Sicherheitsschulung. Die KI-Kompetenz nach Artikel 4 trainieren wir separat, rollenspezifisch in der KI-Schulung.

Hinweis: Dieser Artikel ist eine Umsetzungshilfe und keine Rechtsberatung. Ob deine Police oder dein Datenschutzkonzept im Einzelfall mehr verlangt, klärst du mit deinem Versicherer beziehungsweise deiner Rechtsberatung.

Häufige Fragen

Gibt es ein Gesetz, das IT-Sicherheitsschulung für alle Unternehmen vorschreibt?

Nein, eine einzelne, allgemeine Schulungspflicht existiert nicht. Die Anforderung entsteht aus mehreren Richtungen zugleich: aus den Obliegenheiten deiner Cyber-Versicherung, aus den Pflichten der DSGVO und, für den KI-Einsatz, aus Artikel 4 der EU-KI-Verordnung. Für einzelne Branchen und kritische Infrastrukturen kommen eigene Vorgaben dazu.

Reicht ein jährliches Video mit Abspielbestätigung?

Als Nachweis ist das dünn. Eine Abspielbestätigung belegt nur, dass ein Video lief, nicht, dass jemand etwas verstanden hat. Belastbar wird der Nachweis durch eine Wissenskontrolle mit Bestehensschwelle, nachvollziehbare Ergebnisse pro Person und Schutz gegen nachträgliche Änderungen.

Wie oft sollten Mitarbeiter geschult werden?

Üblich und von Versicherern erwartet ist mindestens einmal im Jahr, dazu eine Unterweisung neuer Mitarbeiter beim Start. Wichtig ist, dass die Wiederholung organisiert ist, mit Fristen und Erinnerungen, und nicht vom Erinnerungsvermögen einzelner abhängt.

Zählt eine Phishing-Simulation zur Schulung?

Ja, als praktischer Teil. Simulierte Phishing-Mails messen, wie das Team im Alltag reagiert, und machen den Lerneffekt sichtbar: Wer klickt, bekommt eine Nachschulung, wer meldet, hat bestanden. Das Ergebnis gehört mit in den Nachweis.

Konkrete Frage zu deinem Betrieb?

Im Erstgespräch klären wir, was das für dein Unternehmen bedeutet. Online, ehrlich, unverbindlich.

Unverbindliches Erstgespräch