Ein Mitarbeiterschulung (oder -training) zu ISO 27001 und DSGVO ist ein essenzieller Bestandteil der Informationssicherheits- und Datenschutzstrategie eines Unternehmens. Sowohl die Norm ISO/IEC 27001 als auch die Datenschutz-Grundverordnung (DSGVO) legen ausdrücklich Wert auf das Bewusstsein und die Kompetenz der Mitarbeitenden.
Training ist die wichtigste Komponente für die Awareness. Prüfung wie Phishing-Tests oder Plakate im Büro tragen zur Schärfung der Awareness bei.
Private Daten schützen? Security fürs Unternehmen – Photo by panumas nikhomkhai: https://www.pexels.com/photo/close-up-photo-of-mining-rig-1148820/
Rechtliche und regulatorische Anforderungen erfüllen
DSGVO fordert nach Art. 39 und 47 explizit, dass Mitarbeitende im Datenschutz geschult werden.
ISO 27001 (Kapitel 7.2 & A.6.3) verlangt, dass Personen über relevante Schulungen verfügen und sich ihrer Rolle im Informationssicherheitsmanagement bewusst sind.
Risiken durch menschliches Fehlverhalten minimieren
Der Mensch ist häufig die größte Schwachstelle in der Informationssicherheit (z. B. Phishing, Social Engineering).
Bewusstes Verhalten schützt vor Datenverlust, Reputationsschäden und rechtlichen Konsequenzen.
Kultur der Sicherheit und des Datenschutzes etablieren
Ein sensibilisiertes Team erkennt und meldet Vorfälle frühzeitig.
Informationssicherheit und Datenschutz werden als gemeinsame Verantwortung verstanden.
Audits bestehen und Zertifizierungen erhalten
Eine ISO 27001-Zertifizierung erfordert nachweislich geschulte Mitarbeiter.
Umgang mit Passwörtern, mobilen Geräten, E-Mails, Cloud-Diensten
Melden von Sicherheitsvorfällen
Sensibilisierung für Social Engineering und Phishing
Was schulen wir bei der DSGVO – Datenschutz
Grundprinzipien der DSGVO (z. B. Rechtmäßigkeit, Transparenz, Datenminimierung)
Rollen und Verantwortlichkeiten (Verantwortlicher, Auftragsverarbeiter)
Rechte betroffener Personen
Umgang mit personenbezogenen Daten im Alltag
Datensicherheit und Datenschutzvorfälle
Datenschutzfreundliche Kommunikation und Dokumentation
Was passiert, wenn Unternehmen Awareness ignoriert?
Hohes Risiko eingehen: Phishing E-Mails und Social Engineering sind die Wege, mit denen sich Kriminelle am häufigsten Zugang zu einem Unternehmen verschaffen. Das Hacken von IT-Systemen birgt die Gefahr sofort erkannt zu werden. Eine echte Account-Übernahme ist immer die erste Wahl. Technische Schwachstellen gibt es zwar viele, aber Kriminelle müssen die passenden Systeme richtig angreifen und erreichen nicht immer ihr Ziel vollständig. Das Unternehmen, das nicht seine Mitarbeiter schult, muss davon ausgehen, dass einer in der Belegschaft auf einen gefährlichen Link klickt.
Keine Chance beim Audit: Viele Normen, Gesetze und Standards verlangen strikt die Durchführung einer Schulung. In der Regel müssen die Mitarbeiter die Schulung jährlich wiederholen, um die Inhalte frisch zu halten.
Audit ohne Schulung … schwierig
Unprofessionelle Arbeitsweise: Normen wie die ISO 20000 oder 9001 definieren Prozesse, an denen sich die Mitarbeiter halten sollen. Nur mit einer Schulung kann das Unternehmen eine unprofessionelle Arbeitsweise vermeiden. Ein klarer Prozess reduziert Fehler und hilft bei der professionellen Außendarstellung.
Warum scheitern Unternehmen / Mitarbeiter an dem Thema Training?
Trainingsplan unklar: Was soll überhaupt wer wie wann trainieren? Der Trainingsplan im Unternehmen wird von vielen Stakeholdern zerpflückt und angepasst. Keiner weiß mehr was wichtig ist und was nicht.
Trainings plan unklar?
Schlecht kommuniziert: Einige Mitarbeiter bekommen jeden Tag 100te Mails, in denen die Trainingsankündigungen untergehen können. Andere Firmen verstecken das Trainingsprogramm auf einer internen Webseite, die keiner liest. Andere Unternehmen senden Trainingsaufforderungen über Drittunternehmen, die wie Spam aussehen. Das ist ein Garant für dauerhaft schlechte Trainingsqouten.
Keine Deadlines: Die Mitarbeiter brauchen für die interne Tätigkeit genügend Zeit und eine Deadline. Einige Audits prüfen auch, wie schnell Mitarbeiter die Trainings beenden.
Irrelevante Inhalte: Hat es der Mitarbeiter ins Training geschafft, merkt dieser nach 5 Minuten, dass nur nutzlose Inhalte gelehrt werden. Der Mitarbeiter bricht die Schulung ab, schiebt diese auf oder macht die Prüfung nicht. Jede Abteilung braucht andere Schulungsinhalte. Nicht jede Policy berührt jede Abteilung und muss deshalb nicht von A bis Z durchgekaut werden.
Keine Prüfung: Schulungen sind optional – Wissen muss aber präsent sein. Der Mitarbeiter muss nicht 60 Minuten in einer Schulung aufgehalten werden, wenn dieser die Inhalte selbst wiedergeben kann.
Technische Probleme: Dritt-Software und unsaubere Mitarbeiterlisten garantieren technische Probleme. Learning-Plattformen sind häufig ein Graus für sich.
Uninteressierte Führungskräfte: Viele Führungskräfte motivieren ihre Mitarbeiter indirekt dazu die Trainings nicht zu machen und stattdessen verrechenbare Stunden für die Kunden zu produzieren. Kostendruck und andere Interessen sind der Tod für viele Schulungen.
Was dagegen machen, damit Training besser läuft?
Technik auf Herz und Nieren prüfen
Um Frust zu vermeiden, sollte die Schulung vorher geprüft werden.
Kann der Mitarbeiter die Schulung erreichen?
Ist der installierte Browser kompatibel?
Welche Monitorgröße braucht die Schulung?
Sind die interaktiven Inhalte inklusiv (Schriftgröße, Kontrast, usw.)?
Welche Endgeräte verwenden unsere Mitarbeiter?
Wie können Sie die bestandene Schulung beweisen?
Läuft es im Browser?
Inhalte anpassen und reduzieren – Minimal
Nicht jeder Mitarbeiter muss alle Schulungen durchführen. Bei der Einstellung sollte genau überlegt werden, welche Schulungen überhaupt notwendig sind. Einzelschulungen für spezifische Kompetenzen sind sinnvoll.
Passende Prüfung statt Pflicht-Klicken
Kaum einer hat Lust auf Schulungen. Wer aber die Inhalte schon kennt, sollte diese nur mit der Endprüfung beweisen können. Ein Überspringen der Inhalte soll möglich sein, wenn die Prüfung das Wissen gründlich checkt.
Die Führungsriege muss den Führungskräften genügend Zeitbudget (für die Mitarbeiter) geben, in dem die Mitarbeiter alle Schulungen abschließen können. Diese Zeit kann man nicht an einen Kunden verrechnen und es sollte sich nicht schlecht auf die Statistik auswirken.
Schulungsinhalte und -anbieter vergleichen
Statt die nächste beste Schulung auszuwählen, solltest Du probehalber mehrere Schulungen testen, um den Gehalt des Programms zu testen. Je nach Unternehmen sind gehaltvollere, informationsbepackte Schulungen besser als die Kindervariante.
Richtige Kommunikation – Information verteilen
Stelle sicher, dass der Link zur Schulung funktioniert und stelle klar, ob ein VPN oder andere Anforderungen wichtig sind. Lege mit der ersten Kommunikation, eine Deadline fest und informiere über die ungefähre Dauer der Prüfung. Weiße auf die „Verpflichtung“ hin und setze die Führungskräfte in CC. Vermeide das Senden über Drittanbieter, weil eine solche Mail wie Spam oder Werbung aussieht und keiner Beachtung geschenkt wird.
Dieser Beitrag ist zitierfähig. Adaptiere das Beispiel nach dem Harvard Stil: Lippke, Steffen (2026): ‚Programmieren lernen – Tutorial für Einsteiger‘, Security and Coding Explosive Tutorials [online], 01. Januar 2026. Verfügbar unter: https://lippke.li/programmieren-lernen/, ISSN: 3054-3436
Schreibe einen Kommentar