Übersicht CSDDD 2026: Was die EU-Lieferkettenrichtlinie nach Omnibus I noch bedeutet Erstellt am: 23. Mai 2026 Andreas Bersch Teilen auf: Wichtigste Erkenntnisse: CSDDD in Kraft, aber stark verändert: Die EU-Lieferkettenrichtlinie ist seit März 2026 in Kraft — durch Omnibus I (Richtlinie EU 2026/470) wurden Anwendungsbereich, Fristen und Pflichten erheblich abgeschwächt. Anwendung erst ab 26. Juli 2029: Die gestaffelten Wellen entfallen. Alle direkt betroffenen Unternehmen starten zum gleichen Zeitpunkt. Neue Schwelle: Nur Unternehmen mit mehr als 5.000 Beschäftigten UND mehr als 1,5 Mrd. EUR Umsatz fallen direkt in den Anwendungsbereich. LkSG wird abgelöst: Deutschland plant ein neues „Gesetz über die internationale Unternehmensverantwortung“ zur Umsetzung der CSDDD bis 26. Juli 2028. Indirekte Betroffenheit bleibt: Auch kleinere Unternehmen werden über Vertragsbeziehungen mit großen Auftraggebern weiter mit Sorgfaltspflichten konfrontiert. Die Corporate Sustainability Due Diligence Directive (CSDDD) sollte 2024 die europäische Antwort auf nationale Lieferkettengesetze wie das deutsche LkSG werden — branchenübergreifend, mit gestaffelter Anwendung und einer EU-weit einheitlichen Haftungsgrundlage. Mit dem Omnibus-I-Paket hat die EU im Frühjahr 2026 jedoch erheblich nachjustiert: Der Anwendungsbereich ist deutlich kleiner, die Fristen sind nach hinten verschoben und einige der weitreichendsten Pflichten wurden gestrichen. Was aktuell gilt, wer betroffen ist, wie sich die CSDDD vom LkSG unterscheidet und wie Unternehmen sich sinnvoll vorbereiten — dieser Beitrag fasst den Stand 2026 zusammen. Inhalt 1. Was ist die CSDDD?2. Wie hat Omnibus I die CSDDD verändert?3. Welche Pflichten bringt die CSDDD?4. Wie unterscheidet sich die CSDDD vom LkSG?5. Wann gilt die CSDDD in Deutschland?6. Wie können sich Unternehmen jetzt vorbereiten?7. Welche Schulungen unterstützen die CSDDD-Compliance?8. Fazit9. Häufige Fragen Was ist die CSDDD? Die CSDDD (Corporate Sustainability Due Diligence Directive, Richtlinie EU 2024/1760) ist die EU-Lieferkettenrichtlinie. Sie verpflichtet große Unternehmen dazu, in ihrer eigenen Geschäftstätigkeit sowie entlang ihrer Aktivitätskette systematisch Risiken für Menschenrechte und Umwelt zu identifizieren, zu vermeiden und zu beheben. Ursprünglich wurde die Richtlinie 2024 verabschiedet und sollte ab Juli 2027 schrittweise in Kraft treten. Bereits im Februar 2025 legte die EU-Kommission das Omnibus-I-Paket vor, das den Anwendungsbereich, die Fristen und die Pflichtentiefe deutlich reduzierte. Nach der Einigung im Trilog (Dezember 2025) und der Verabschiedung im Rat (Februar 2026) wurde die geänderte Fassung als Richtlinie EU 2026/470 im Amtsblatt veröffentlicht und ist seit dem 18. März 2026 in Kraft. Im Kern verfolgt die CSDDD zwei Ziele: einheitliche Standards für nachhaltige Lieferketten in der EU zu schaffen und die Wettbewerbsfähigkeit europäischer Unternehmen durch Harmonisierung — statt durch einen Flickenteppich nationaler Gesetze wie LkSG, französisches Loi de vigilance oder das niederländische Wet zorgplicht — zu sichern. Wie hat Omnibus I die CSDDD verändert? Das Omnibus-I-Paket ist die wichtigste Änderung an der CSDDD seit ihrer ursprünglichen Verabschiedung. Die wesentlichen Punkte: Neue Schwellenwerte. Statt einer gestaffelten Einführung ab 1.000 Beschäftigten und 450 Mio. EUR Umsatz gilt jetzt eine einheitliche Schwelle: Nur Unternehmen mit mehr als 5.000 Beschäftigten und einem Nettoumsatz von mehr als 1,5 Mrd. EUR fallen direkt in den Anwendungsbereich. Das reduziert den Kreis der unmittelbar verpflichteten Unternehmen erheblich. Einheitlicher Anwendungszeitpunkt. Die ursprünglich vorgesehenen drei Wellen (2027, 2028, 2029) entfallen. Alle direkt betroffenen Unternehmen müssen die CSDDD-Pflichten ab dem 26. Juli 2029 erfüllen. Mitgliedstaaten haben für die Umsetzung in nationales Recht bis zum 26. Juli 2028 Zeit. Klimatransitionsplan gestrichen. Die ursprünglich vorgesehene Pflicht zur Erstellung und Umsetzung eines Klimatransitionsplans (Art. 22 CSDDD) entfällt vollständig. Nationale Gesetzgeber können diese Pflicht eigenständig vorschreiben; für CSRD-berichtspflichtige Unternehmen bleibt der ESRS-E1-Standard relevant. Kein einheitliches EU-Haftungsregime. Die ursprünglich vorgesehene EU-weit harmonisierte zivilrechtliche Haftungsgrundlage wurde gestrichen. Die CSDDD verweist nun auf nationales Recht — mit der Folge eines Flickenteppichs unterschiedlicher Haftungsregime. Begrenzung der Geldbußen. Sanktionen werden auf maximal 3 Prozent des weltweiten Umsatzes gedeckelt. Ausgeweitete Vollharmonisierung. In den Kernbereichen Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren, Überwachung und Berichtswesen sind die Anforderungen jetzt vollharmonisiert. Das heißt: Mitgliedstaaten dürfen hier weder strengere noch mildere Regelungen vorsehen. Welche Pflichten bringt die CSDDD? Auch in der abgeschwächten Fassung bleibt die CSDDD ein anspruchsvoller Rahmen. Die zentralen Pflichten für direkt betroffene Unternehmen: Risikoanalyse (Art. 8–9). Unternehmen müssen die eigene Geschäftstätigkeit und die Aktivitätskette systematisch auf menschenrechtliche und umweltbezogene Risiken untersuchen. Bei Anhaltspunkten ist vertiefend zu prüfen. Präventions- und Abhilfemaßnahmen (Art. 10–11). Identifizierte Risiken müssen durch geeignete Maßnahmen verhindert, gemindert oder behoben werden — von Verhaltenskodizes über vertragliche Zusicherungen bis hin zur Unterstützung von Geschäftspartnern. Beschwerdeverfahren (Art. 14). Betroffene müssen Verstöße melden können. Unternehmen müssen ein Beschwerdeverfahren bereitstellen, das Vertraulichkeit, Schutz vor Repressalien und nachvollziehbare Bearbeitung gewährleistet. Überwachung (Art. 15). Die Wirksamkeit der eigenen Sorgfaltsmaßnahmen muss regelmäßig überprüft werden — mit klaren Indikatoren und dokumentierten Ergebnissen. Berichtswesen. Über die Sorgfaltspflichten und ihre Umsetzung muss öffentlich berichtet werden. Die Detailtiefe der Berichtsanforderungen wurde durch Omnibus I gegenüber dem Ursprungsentwurf reduziert. Verantwortliche und Schulungen. Wer keine klar benannten Verantwortlichen, dokumentierte Prozesse und geschulte Mitarbeitende hat, wird die CSDDD-Pflichten in der Praxis kaum erfüllen können. Wie unterscheidet sich die CSDDD vom LkSG? Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) ist seit 2023 in Kraft und gilt aktuell für Unternehmen ab 1.000 Beschäftigten. Die CSDDD geht in mehreren Punkten über das LkSG hinaus — wird durch Omnibus I in anderen Punkten aber milder. Anwendungsbereich. Das LkSG erfasst alle Unternehmen mit mindestens 1.000 Beschäftigten in Deutschland. Die CSDDD setzt die Schwelle nach Omnibus I deutlich höher an (>5.000 MA und >1,5 Mrd. EUR Umsatz), erfasst dafür aber das gesamte konzernweite Umsatzvolumen. Aktivitätskette statt Lieferkette. Während das LkSG primär die vorgelagerte Lieferkette betrachtet (eigener Geschäftsbereich, direkte Zulieferer, indirekte Zulieferer bei substantiierter Kenntnis), erweitert die CSDDD den Blick auf die gesamte Aktivitätskette: also auch auf nachgelagerte Bereiche wie Vertrieb, Transport und Lagerung der Produkte durch direkte Geschäftspartner. Haftung. Das LkSG sieht keine zivilrechtliche Haftungsgrundlage vor. Die CSDDD verweist auf nationales Recht — wie Deutschland das umsetzt, ist noch offen. Berichtspflicht. Beim LkSG sind die Berichtspflichten faktisch ausgesetzt (siehe nächster Abschnitt). Die CSDDD-Berichtspflichten sind durch Omnibus I gegenüber dem Ursprungsentwurf reduziert, bleiben aber bestehen. Wann gilt die CSDDD in Deutschland? Für die deutsche Umsetzung sind drei parallele Entwicklungen wichtig: LkSG in der Übergangsphase. Im Koalitionsvertrag zwischen CDU/CSU und SPD vom April 2025 wurde die Abschaffung des LkSG in seiner heutigen Form angekündigt. Am 3. September 2025 hat das Bundeskabinett einen Gesetzentwurf zur Änderung des LkSG beschlossen, der die Berichtspflichten nach § 10 Abs. 2 LkSG rückwirkend ab 01.01.2023 streicht. Seit September 2025 verfolgt das BAFA auf Weisung des BMWK nur noch „schwere“ Verstöße; seit November 2025 ist die digitale Berichtsmaske deaktiviert. Der Bundestag hat den Entwurf am 16. Januar 2026 in erster Lesung beraten. CSDDD-Umsetzung über ein neues Gesetz. Das LkSG soll nach den Plänen der Bundesregierung durch ein Gesetz über die internationale Unternehmensverantwortung abgelöst werden, das die CSDDD in deutsches Recht überführt. Der konkrete Entwurf liegt noch nicht vor — die EU-Umsetzungsfrist endet am 26. Juli 2028. Anwendung für Unternehmen. Direkt betroffene Unternehmen müssen die CSDDD-Pflichten ab dem 26. Juli 2029 erfüllen. Bis dahin gilt das LkSG in seiner reduzierten Form weiter. Wie können sich Unternehmen jetzt vorbereiten? Auch wenn die direkten Pflichten erst ab 2029 greifen und nur einen kleineren Kreis betreffen, bleibt Vorbereitung sinnvoll — vor allem wegen der Ausstrahlwirkung über Vertragsketten. Unternehmen unter den CSDDD-Schwellenwerten werden über ihre großen Auftraggeber, Banken und Versicherungen weiter mit Sorgfaltspflichten konfrontiert. Risiko-Mapping der Aktivitätskette. Welche Teile der eigenen Geschäftstätigkeit und welche Geschäftspartner bergen besondere menschenrechtliche oder umweltbezogene Risiken? Eine strukturierte Bestandsaufnahme bildet die Basis für alles Weitere. Code of Conduct für Lieferanten. Ein klarer Verhaltenskodex mit konkreten Anforderungen an Geschäftspartner ist sowohl unter LkSG als auch unter CSDDD ein zentrales Steuerungsinstrument — und ein häufig gefordertes Nachweisdokument. Beschwerdeverfahren etablieren. Wer noch keinen funktionierenden Hinweisgeberkanal hat, sollte einen aufsetzen. Die Pflicht besteht ohnehin nach Hinweisgeberschutzgesetz und LkSG; sie ergänzt die CSDDD-Anforderungen nahtlos. Dateninventar aufbauen. Konsistente Daten zu Lieferanten, Standorten, Produktströmen und ESG-Kennzahlen sind die Grundlage für alle künftigen Berichts- und Auskunftspflichten — auch gegenüber Kunden, Banken und Investorinnen. Verantwortlichkeiten klären. Wer ist im Unternehmen für Sorgfaltspflichten zuständig? Welche Schnittstellen gibt es zwischen Einkauf, Compliance, HR und Nachhaltigkeit? Klare Rollen sind die Voraussetzung dafür, dass Prozesse später nicht an Zuständigkeitslücken scheitern. Mitarbeitende sensibilisieren. Sorgfaltspflichten greifen nur, wenn alle Beteiligten — vom Einkauf über das Qualitätsmanagement bis zur Geschäftsführung — wissen, worauf sie achten müssen. Welche Schulungen unterstützen die CSDDD-Compliance? Wirksame Sorgfaltspflichten sind ohne kontinuierliche Schulungen kaum umsetzbar. Mitarbeitende müssen Risiken erkennen, Eskalationswege kennen und in ihrer täglichen Arbeit nachhaltigkeitsrelevante Entscheidungen treffen können. Über reteach lassen sich relevante Lerninhalte zentral steuern und revisionssicher dokumentieren. Für CSDDD-Compliance besonders relevante Themenbereiche: Lieferkettensorgfaltspflichten — Grundlagen, Risikoanalyse, Beschwerdeverfahren Menschenrechte in der Lieferkette — internationale Standards, Risikoindikatoren Compliance im Einkauf — Lieferantenmanagement, Auditierung, Vertragsgestaltung Hinweisgeberschutz — Umgang mit Meldungen, Vertraulichkeit, Repressalienschutz Umweltschutz und Nachhaltigkeit — Umweltrisiken erkennen, ESG-Daten erfassen Antikorruption und Compliance-Kultur — als flankierender Baustein eines belastbaren Compliance-Systems reteach bietet vorkonfigurierte Compliance-Kurse zu diesen Themen, die sich nach Bedarf um eigene Inhalte ergänzen lassen. Fazit Die CSDDD bleibt nach Omnibus I ein zentraler Baustein der europäischen Nachhaltigkeitsregulierung — wenn auch in deutlich abgespeckter Form. Für die meisten Unternehmen verschiebt sich der unmittelbare Handlungsdruck nach hinten: Die Anwendung beginnt erst 2029, die Schwellenwerte filtern den direkten Pflichtenkreis stark. Gleichzeitig wäre es ein Fehler, die CSDDD als „erledigt“ abzuhaken. Die Erwartungen von Kunden, Banken und Investorinnen an nachvollziehbare ESG-Daten und gelebte Sorgfaltspflichten wachsen unabhängig vom direkten Anwendungsbereich. Wer die Jahre bis 2029 nutzt, um saubere Strukturen, klare Verantwortlichkeiten und geschulte Mitarbeitende aufzubauen, hat es später deutlich leichter — und kann schon kurzfristig souveräner auf Auskunftsanfragen reagieren. In Deutschland bleibt die Lage in den nächsten Monaten dynamisch: Das LkSG ist faktisch in einer Übergangsphase, das neue Gesetz über die internationale Unternehmensverantwortung muss bis Juli 2028 stehen. Wir aktualisieren diesen Beitrag, sobald der deutsche Referentenentwurf vorliegt. Häufig gestellte Fragen Was bedeutet CSDDD?CSDDD steht für Corporate Sustainability Due Diligence Directive — auf Deutsch: EU-Lieferkettenrichtlinie. Sie verpflichtet große Unternehmen zu menschenrechtlichen und umweltbezogenen Sorgfaltspflichten in ihrer eigenen Geschäftstätigkeit und entlang ihrer Aktivitätskette. Ab wann gilt die CSDDD?Die geänderte CSDDD ist seit 18. März 2026 in Kraft. Die Mitgliedstaaten müssen sie bis zum 26. Juli 2028 in nationales Recht umsetzen. Direkt betroffene Unternehmen müssen die Pflichten einheitlich ab dem 26. Juli 2029 erfüllen. Wer ist von der CSDDD direkt betroffen?Nach Omnibus I fallen nur Unternehmen mit mehr als 5.000 Beschäftigten und einem Nettoumsatz von mehr als 1,5 Mrd. EUR in den direkten Anwendungsbereich. Kleinere Unternehmen sind nicht unmittelbar verpflichtet, werden aber häufig über Vertragsbeziehungen mit großen Auftraggebern in Sorgfaltspflichten einbezogen. Was ist Omnibus I?Omnibus I ist eine EU-Änderungsrichtlinie (Richtlinie EU 2026/470), die im Februar 2026 verabschiedet wurde und die Nachhaltigkeitsregulierung in der EU vereinfacht. Sie verändert sowohl die CSRD-Berichtspflichten als auch die CSDDD — durch höhere Schwellenwerte, verschobene Fristen und reduzierte Pflichten. Wird das LkSG abgeschafft?Das deutsche LkSG soll nach den Plänen der Bundesregierung durch ein neues Gesetz über die internationale Unternehmensverantwortung abgelöst werden, das die CSDDD umsetzt. Bis dahin gilt das LkSG in einer faktisch reduzierten Form weiter: Die Berichtspflichten wurden rückwirkend ab 2023 gestrichen, die Durchsetzung beschränkt sich auf schwere Verstöße. Was passiert bei Verstößen gegen die CSDDD?Sanktionen werden in nationalem Recht geregelt; die EU-Vorgabe deckelt Geldbußen auf maximal 3 Prozent des weltweiten Umsatzes. Eine EU-einheitliche zivilrechtliche Haftungsgrundlage wurde durch Omnibus I gestrichen — etwaige Haftungsregelungen ergeben sich aus dem jeweiligen nationalen Recht. Müssen sich auch KMU mit der CSDDD beschäftigen?Direkt nicht — die Schwellenwerte schließen KMU aus dem Anwendungsbereich aus. Indirekt sind viele KMU jedoch betroffen: Wenn sie an CSDDD-pflichtige Unternehmen liefern, werden Sorgfaltsanforderungen über Verträge, Audits und Lieferantenfragebögen weitergegeben. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Pflichtschulungen im öffentlichen Sektor: Welche Schulungen Kommunen durchführen müssen Organisationen im öffentlichen Sektor müssen zahlreiche gesetzliche Schulungs- und Unterweisungspflichten erfüllen. Wir zeigen, welche Pflichtschulungen dazugehören und wie sie sich effizient organisieren und dokumentieren lassen. Compliance LMS Vergleich 2026: 8 Plattformen für Pflichtschulungen im DACH-Check Pflichtschulungen manuell verwalten kostet Zeit – und wird im Audit zum Risiko. Dieser Compliance LMS Vergleich zeigt, welche Plattform zu Ihrem Unternehmen passt: 8 Anbieter im DACH-Check, klar eingeordnet nach Zielgruppe, Funktionstiefe und Einsatzszenario. Compliance-Schulungen: Welche Verantwortung und Pflichten die Geschäftsführung wirklich trägt Compliance-Schulungen sind Teil der Organisations- und Aufsichtspflicht der Geschäftsführung. Erfahren Sie, welche Aufgaben delegierbar sind, welche Verantwortung bleibt und warum Dokumentation und Kontrolle entscheidend sind. AGG-Schulung 2026: Sofort rechtssicher umsetzen Die AGG-Schulung wird 2026 wichtiger denn je: § 12 AGG, geplante Reform und Rekordzahlen bei Diskriminierungsfällen. So setzen Sie die Pflichten smart und rechtssicher im LMS um – inklusive Reform-Update.
Übersicht Korruptionsprävention im Unternehmen: Effektive Maßnahmen & Pflichten 2026 Erstellt am: 18. Mai 2026 Andreas Bersch Teilen auf: Wichtigste Erkenntnisse Aktuelle Lage: 2024 wurden in Deutschland 2.926 Korruptionsstraftaten registriert – mit einem festgestellten Schaden von 36 Millionen Euro. Das Dunkelfeld gilt als erheblich. Gesetzliche Pflichten: Unternehmen ab 50 Mitarbeitenden müssen seit Dezember 2023 eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) betreiben. Bestechung im geschäftlichen Verkehr ist nach § 299 StGB strafbar. EU-Antikorruptionsrichtlinie 2026: Die geplante EU-Richtlinie wird die Compliance-Anforderungen weiter verschärfen – mit höheren Mindeststrafen, erweiterter Unternehmenshaftung und neuen Präventionspflichten. Vier Säulen wirksamer Prävention: Risikoanalyse, Code of Conduct, Hinweisgebersystem und regelmäßige Schulungen für besonders gefährdete Bereiche wie Einkauf, Vertrieb und Management. Schulung als Pflichtbestandteil: Regelmäßige, dokumentierte Schulungen sind nicht nur gesetzliche Anforderung, sondern können bei einem Vorfall straf- oder bußgeldmindernd wirken. Korruptionsprävention im Unternehmen ist 2026 wichtiger denn je – und betrifft jede Branche, vom Mittelstand bis zum Konzern. Geschenke an Geschäftspartner, Provisionszahlungen im Einkauf, verdeckte Vorteile im Vertrieb: Die Übergänge zwischen üblicher Geschäftspflege und strafbarem Verhalten sind oft fließend. Mit dem Hinweisgeberschutzgesetz, verschärften Sanktionen und der für 2026 erwarteten EU-Antikorruptionsrichtlinie steigen die Anforderungen an Unternehmen deutlich. Dieser Leitfaden zeigt, was Korruptionsprävention im Unternehmen rechtlich umfasst, welche Maßnahmen wirken und wie Sie Mitarbeitende praxisnah sensibilisieren. Inhalt 1. Was bedeutet Korruptionsprävention im Unternehmen?2. Warum ist Korruptionsprävention für Unternehmen so wichtig?3. Welche gesetzlichen Anforderungen gelten für Unternehmen?4. Welche Bereiche sind besonders korruptionsgefährdet?5. Welche Maßnahmen gehören in ein wirksames Compliance-Programm?6. Wie schulen Sie Mitarbeitende effektiv zur Korruptionsprävention?7. Fazit: Korruptionsprävention ist Führungsaufgabe – und Schulungsthema8. Nächste Schritte für Ihr Unternehmen9. Häufige Fragen Was bedeutet Korruptionsprävention im Unternehmen? Korruptionsprävention im Unternehmen umfasst alle organisatorischen, kulturellen und schulungsbezogenen Maßnahmen, mit denen ein Unternehmen Bestechung, Bestechlichkeit und vergleichbare Integritätsverstöße verhindert. Sie ist ein zentraler Bestandteil eines Compliance-Management-Systems (CMS). Das Bundeskriminalamt definiert Korruption als Missbrauch einer Funktion in Wirtschaft, Verwaltung oder Politik zur Erlangung eines unrechtmäßigen Vorteils – für sich selbst oder einen Dritten, zulasten der Allgemeinheit oder eines Unternehmens. Typische Erscheinungsformen sind: Bestechung und Bestechlichkeit im geschäftlichen Verkehr (§ 299 StGB) Vorteilsgewährung und -annahme gegenüber Amtsträgern (§§ 331–335 StGB) Verdeckte Provisionen und Kick-back-Zahlungen Interessenkonflikte durch Nebentätigkeiten, persönliche Beziehungen oder Beteiligungen Unzulässige Geschenke und Einladungen an Entscheidende auf Kunden- oder Lieferantenseite Wichtig: Korruption ist kein reines Risiko großer Konzerne. Gerade im Mittelstand führen unklare Geschenkerichtlinien, fehlende Vier-Augen-Prinzipien und mangelnde Schulungen häufig zu Grauzonen, in denen Mitarbeitende ohne klare Orientierung handeln. Warum ist Korruptionsprävention für Unternehmen so wichtig? Die unmittelbaren Folgen eines Korruptionsfalls reichen weit über die strafrechtliche Verantwortung der einzelnen handelnden Person hinaus. Unternehmen drohen: Geldbußen und Gewinnabschöpfung nach dem Ordnungswidrigkeitenrecht Ausschluss von öffentlichen Vergabeverfahren über mehrere Jahre Reputationsschäden mit unmittelbaren Auswirkungen auf Kundenbeziehungen und Mitarbeitendengewinnung Zivilrechtliche Schadenersatzforderungen durch Geschäftspartner oder Wettbewerber Verlust von Zertifizierungen und Audits (z. B. ISO 37001, Lieferantenfreigaben) Laut dem aktuellen Bundeslagebild Korruption 2024 des BKA wurden 2.926 Korruptionsstraftaten registriert – das sind 23,8 Prozent weniger als im Vorjahr, aber bei stark anzunehmendem Dunkelfeld. Das Dienstleistungs- und Baugewerbe gehören zu den am stärksten betroffenen Wirtschaftsbranchen. Auffällig: Knapp 62 Prozent der „Gebenden“ waren Privatpersonen – ein Hinweis darauf, dass Korruption oft an der Schnittstelle zwischen Unternehmen und ihren externen Kontakten entsteht. Hinzu kommt: Belegt ein Unternehmen den Aufbau und die ernsthafte Anwendung eines Compliance-Systems, kann dies im Falle einer Tat straf- oder bußgeldmindernd berücksichtigt werden. Korruptionsprävention ist damit nicht nur Pflicht, sondern auch ein konkreter Risikopuffer.. Welche gesetzlichen Anforderungen gelten für Unternehmen? Die rechtliche Grundlage für Korruptionsprävention setzt sich aus mehreren Bausteinen zusammen: Strafgesetzbuch (StGB) Zentrale Tatbestände sind § 299 StGB (Bestechlichkeit und Bestechung im geschäftlichen Verkehr), §§ 331–335 StGB (Vorteilsannahme und Bestechung von Amtsträgern) sowie § 335a StGB für ausländische Amtsträger. Strafbar ist bereits das Anbieten oder Versprechen eines Vorteils – nicht erst die Annahme. Hinweisgeberschutzgesetz (HinSchG) Seit Dezember 2023 müssen Unternehmen ab 50 Mitarbeitenden eine interne Meldestelle betreiben, die anonyme und vertrauliche Hinweise auf Rechtsverstöße – einschließlich Korruption – ermöglicht. Geschützt sind nicht nur Beschäftigte, sondern auch Lieferanten, Dienstleister und Freelancer. Der Gesetzestext ist über gesetze-im-internet.de einsehbar. EU-Antikorruptionsrichtlinie (geplant für 2026) Die EU arbeitet an einer harmonisierten Antikorruptionsrichtlinie, die für 2026 erwartet wird. Sie sieht erhöhte Mindesthöchststrafen, erweiterte Haftung von Unternehmen (auch bei Aufsichtspflichtverletzungen) und neue Strafbarkeitstatbestände wie die Einflussnahme über Mittelspersonen vor. Unternehmen sollten ihr Compliance-Management-System frühzeitig auf die neuen Anforderungen ausrichten. Internationale Vorgaben Für Unternehmen mit internationalem Geschäft sind besonders der UK Bribery Act 2010 (extraterritoriale Reichweite) und der US-amerikanische Foreign Corrupt Practices Act (FCPA) relevant. Beide gelten auch für deutsche Unternehmen mit entsprechendem Auslandsbezug. ISO 37001 Die internationale Norm DIN ISO 37001 definiert Anforderungen an ein Anti-Korruptions-Management-System. Eine Zertifizierung ist freiwillig, kann aber bei Ausschreibungen und gegenüber Geschäftspartnern als Nachweis dienen. Welche Bereiche sind besonders korruptionsgefährdet? Nicht jeder Unternehmensbereich trägt das gleiche Risiko. Eine Risikoanalyse sollte am Anfang jeder Präventionsstrategie stehen und besonders folgende Funktionen in den Blick nehmen: Einkauf und Beschaffung: Auswahl von Lieferanten, Auftragsvergaben, Verhandlung von Konditionen Vertrieb und Key Account Management: Provisionsmodelle, Geschenke an Kunden, Bewirtungen Geschäftsführung und Management: Entscheidungen über Investitionen, Beteiligungen, Sponsoring Personalbereich: Einstellungen, Beförderungen, Vergabe von Aufträgen an Bekannte Außendienst und Vertretungen in Ländern mit erhöhtem Korruptionsrisiko Zoll- und Genehmigungsprozesse im internationalen Geschäft Klassische Risikomerkmale sind: Ermessensspielräume bei Entscheidungen, fehlende Vier-Augen-Kontrolle, lange Verweildauer auf besonders sensiblen Posten sowie persönliche Nähe zu Geschäftspartnern.esonders exponierte Bereiche sinnvoll — etwa für HR, Marketing, IT, das Gesundheitswesen oder den öffentlichen Sektor. Welche Maßnahmen gehören in ein wirksames Compliance-Programm? Wirksame Korruptionsprävention im Unternehmen steht auf vier Säulen: 1. Risikoanalyse und Code of Conduct Identifizieren Sie korruptionsgefährdete Bereiche systematisch und legen Sie verbindliche Verhaltensregeln in einem Code of Conduct fest. Besonders wichtig sind klare Regelungen zu Geschenken, Einladungen, Sponsoring und Interessenkonflikten – inklusive konkreter Wertgrenzen und Genehmigungsprozesse. 2. Strukturelle Schutzmechanismen Dazu gehören das Vier-Augen-Prinzip bei sensiblen Entscheidungen, Rotation auf besonders gefährdeten Positionen, klare Zuständigkeiten und Trennung von Verfahrensschritten (z. B. Planung, Vergabe, Abrechnung). Auch die Prüfung von Geschäftspartnern (Third Party Due Diligence) ist Standard – insbesondere bei internationalen Aktivitäten. 3. Hinweisgebersystem und Speak-up-Kultur Eine interne Meldestelle ist seit dem HinSchG für Unternehmen ab 50 Mitarbeitenden Pflicht. Wirksam wird sie aber erst, wenn die Belegschaft sie kennt, ihr vertraut und sich vor Repressalien geschützt fühlt. Ergänzend können externe Ombudspersonen oder digitale Hinweisgeberplattformen sinnvoll sein. 4. Regelmäßige Schulungen Ohne systematische Schulung bleibt jeder Code of Conduct Theorie. Mitarbeitende in Risikobereichen brauchen mindestens einmal jährlich eine Auffrischung – mit Praxisbeispielen, klaren Handlungsanweisungen und nachvollziehbarer Nachweisdokumentation. Organisationen wie Transparency International Deutschland und das UN Global Compact Netzwerk stellen kostenfreie Leitfäden und Checklisten zur Verfügung, die als Orientierung dienen können. Wie schulen Sie Mitarbeitende effektiv zur Korruptionsprävention? Klassische Präsenzschulungen zur Korruptionsprävention im Unternehmen stoßen in der Praxis schnell an Grenzen: Termine kollidieren mit Außendienst, Schichten oder internationalen Standorten. Inhalte veralten zwischen den Jahresterminen. Nachweise landen in Excel-Listen oder gar Aktenordnern. Digitale Compliance-Schulungen über eine Lernplattform lösen diese Probleme. Sie ermöglichen: Konsistente Inhalte für alle Standorte und Sprachen Flexibles Lernen im individuellen Tempo Automatische Nachweisdokumentation für Audits und Behörden Schnelle Updates bei Gesetzesänderungen (z. B. neue EU-Richtlinie) Erinnerungs- und Wiedervorlagefunktionen für jährliche Auffrischungen Ein erprobtes Schulungs-Setup zur Korruptionsprävention umfasst typischerweise: Eine Grundlagenschulung für alle Mitarbeitenden (Bewusstsein für Korruptionsrisiken, Meldewege, Kultur der Integrität) Vertiefende Module für Risikogruppen wie Einkauf, Vertrieb und Management Spezifische Trainings zu Geschenken und Einladungen, Geschäftspartnerprüfung und Geldwäscheprävention Eine Einführung in den Hinweisgeberschutz mit klarer Erklärung der internen Meldewege Mehr zur Umsetzung digitaler Compliance-Programme – inklusive konkreter Kosten- und Aufwandsvergleiche – finden Sie in unserem Leitfaden zur digitalen Compliance-Schulung. Einen Überblick über das gesamte Themenspektrum gibt unsere Übersicht zu Compliance- und Datenschutz-Schulungen für Mitarbeitende. Fazit: Korruptionsprävention ist Führungsaufgabe – und Schulungsthema Die Korruptionsprävention ist mehr als ein juristisches Pflichtprogramm. Sie ist ein Kulturthema und beginnt bei der Geschäftsführung („tone from the top“). Mit dem Hinweisgeberschutzgesetz, schärferen Sanktionen und der für 2026 erwarteten EU-Antikorruptionsrichtlinie steigen die Anforderungen weiter – an Strukturen, an Dokumentation und an die Schulung der Mitarbeitenden. Wer Korruptionsprävention systematisch aufsetzt, schützt nicht nur sein Unternehmen vor Bußgeldern und Reputationsschäden, sondern stärkt auch das Vertrauen von Kundinnen, Geschäftspartnern und der eigenen Belegschaft. Nächste Schritte für Ihr Unternehmen Risiken kartieren: Identifizieren Sie korruptionsgefährdete Bereiche und Funktionen in Ihrem Unternehmen. Regelwerk schaffen: Aktualisieren Sie Ihren Code of Conduct mit klaren Regeln zu Geschenken, Einladungen und Interessenkonflikten. Meldestelle prüfen: Stellen Sie sicher, dass Ihr Hinweisgebersystem den HinSchG-Anforderungen entspricht und bei der Belegschaft bekannt ist. Schulungsplan aufsetzen: Definieren Sie Schulungsintervalle und Zielgruppen – mindestens jährlich für Risikobereiche. Auf 2026 vorbereiten: Beobachten Sie die finale Fassung der EU-Antikorruptionsrichtlinie und passen Sie Ihr Compliance-Management-System frühzeitig an. Häufig gestellte Fragen Was ist der Unterschied zwischen Korruption und Bestechung?Bestechung ist eine konkrete Erscheinungsform von Korruption. Korruption ist der übergeordnete Begriff für den Missbrauch einer Funktion zur Erlangung eines unrechtmäßigen Vorteils und umfasst neben Bestechung und Bestechlichkeit auch Vorteilsannahme, verdeckte Provisionen, Interessenkonflikte und ähnliche Integritätsverstöße. Ab welcher Unternehmensgröße sind Korruptionsschulungen Pflicht?Eine explizite gesetzliche Schulungspflicht zur Korruptionsprävention gibt es für die Privatwirtschaft nicht. Allerdings ergeben sich Schulungsanforderungen indirekt aus dem Hinweisgeberschutzgesetz, dem Compliance-Anspruch von Geschäftspartnern, ISO 37001 und nicht zuletzt aus der Sorgfaltspflicht der Geschäftsführung. Spätestens bei einer Größe ab 50 Mitarbeitenden sind systematische Schulungen unverzichtbar. Wie oft sollten Mitarbeitende zur Korruptionsprävention geschult werden?Empfohlen wird mindestens eine jährliche Auffrischung für Mitarbeitende in besonders gefährdeten Bereichen wie Einkauf, Vertrieb und Management. Eine Grundlagenschulung sollte alle neuen Mitarbeitenden im Rahmen des Onboardings erhalten. Welche Inhalte muss eine Korruptionsschulung umfassen?Eine wirksame Schulung vermittelt die wichtigsten gesetzlichen Grundlagen (StGB, HinSchG), konkrete Praxisbeispiele zu Geschenken und Einladungen, klare Handlungsanweisungen bei Verdachtsmomenten, die internen Meldewege und die Folgen von Verstößen – sowohl für Beschäftigte als auch für das Unternehmen. Was passiert, wenn ein Unternehmen keine Meldestelle nach HinSchG einrichtet?Verstöße gegen die Einrichtungspflicht können mit Bußgeldern geahndet werden. Darüber hinaus drohen im Fall eines Korruptionsvorfalls verschärfte Sanktionen, weil das Fehlen einer Meldestelle als organisatorisches Versäumnis gewertet wird. Wie hoch sind die Strafen bei Bestechung im geschäftlichen Verkehr?Bestechung und Bestechlichkeit im geschäftlichen Verkehr nach § 299 StGB können mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden. In besonders schweren Fällen drohen Freiheitsstrafen von drei bis zu fünf Jahren. Hinzu kommen Bußgelder und Gewinnabschöpfung für das Unternehmen. Ist eine ISO-37001-Zertifizierung sinnvoll?Eine Zertifizierung ist freiwillig, kann aber bei öffentlichen Vergabeverfahren und gegenüber internationalen Geschäftspartnern als belastbarer Nachweis dienen. Für kleinere Unternehmen reicht oft ein gut dokumentiertes Compliance-Management-System auch ohne formale Zertifizierung. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Pflichtschulungen im öffentlichen Sektor: Welche Schulungen Kommunen durchführen müssen Organisationen im öffentlichen Sektor müssen zahlreiche gesetzliche Schulungs- und Unterweisungspflichten erfüllen. Wir zeigen, welche Pflichtschulungen dazugehören und wie sie sich effizient organisieren und dokumentieren lassen. Kosten und Zeit sparen mit digitalen Unterweisungen – und trotzdem rechtssicher bleiben Unternehmen, die Zeit einsparen und Nerven schonen möchte, sollten sich mit der Automatisierung von Unterweisungen und Compliance durch Software befassen. Denn nicht nur können die zuständigen Mitarbeiter mit anderen Aufgaben als der Verwaltung von Listen betraut werden – es können bis zu 90% der Kosten für Schulungen eingespart werden. Compliance LMS Vergleich 2026: 8 Plattformen für Pflichtschulungen im DACH-Check Pflichtschulungen manuell verwalten kostet Zeit – und wird im Audit zum Risiko. Dieser Compliance LMS Vergleich zeigt, welche Plattform zu Ihrem Unternehmen passt: 8 Anbieter im DACH-Check, klar eingeordnet nach Zielgruppe, Funktionstiefe und Einsatzszenario. Unterschied Compliance-Schulungen und Unterweisungen: Definitionen Compliance-Schulung, Unterweisung oder Weiterbildung? Die Begriffe werden oft verwechselt – mit rechtlichen Risiken. Lesen Sie, worin die Unterschiede liegen und welche Anforderungen an Verständnissicherung und Dokumentation gelten.
Übersicht AGG-Schulung 2026: Sofort rechtssicher umsetzen Erstellt am: 17. Mai 2026 Andreas Bersch Teilen auf: Wichtigste Erkenntnisse § 12 AGG verpflichtet Arbeitgeber, präventive Maßnahmen gegen Diskriminierung zu treffen. Eine dokumentierte AGG-Schulung gilt rechtlich als Erfüllung dieser Schutzpflicht. AGG-Reform 2026 im Anmarsch: Der Referentenentwurf vom 14. April 2026 weitet den Schutz vor sexueller Belästigung aus und stärkt die Antidiskriminierungsstelle. Umsetzung der EU-Richtlinien bis 19. Juni 2026. Rekord bei Diskriminierungsanfragen: 2024 erreichten 11.405 Beratungsanfragen die Antidiskriminierungsstelle – mehr als das 2,5-Fache von 2019. Ein Drittel betrifft das Arbeitsleben. Ohne nachweisbare AGG-Schulung droht Organisationsverschulden – mit Entschädigungszahlungen, Schadensersatzansprüchen und erheblichen Reputationsschäden. Ein LMS macht die AGG-Schulung skalierbar, wiederholbar und auditfest – inklusive automatischer Zuweisung, Wissenskontrollen und revisionssicherer Dokumentation. 20 Jahre nach Inkrafttreten ist das Allgemeine Gleichbehandlungsgesetz (AGG) so relevant wie nie. Die Beratungsanfragen bei der Antidiskriminierungsstelle des Bundes steigen Jahr für Jahr, eine umfassende Reform steht 2026 unmittelbar bevor, und gleichzeitig wächst die juristische Sensibilität in Belegschaften und Bewerbungsverfahren. Für Arbeitgeber heißt das: Eine systematische AGG-Schulung der Belegschaft ist 2026 nicht mehr Kür, sondern Pflicht – wirtschaftlich wie rechtlich. Dieser Beitrag zeigt, was § 12 AGG konkret fordert, was sich durch die laufende Reform ändert, welche Inhalte in eine gute AGG-Schulung gehören – und warum ein Learning Management System (LMS) der schnellste Weg zu einer rechtssicheren, dokumentierten Umsetzung ist. Inhalt 1. Was ist eine AGG-Schulung – und warum ist sie 2026 so relevant?2. Welche Pflichten ergeben sich aus § 12 AGG für Arbeitgeber?3. Was ändert sich durch die AGG-Reform 2026?4. Was passiert, wenn Unternehmen die AGG-Schulung vernachlässigen?5. Welche Inhalte gehören in eine wirksame AGG-Schulung?6. Warum eignet sich ein LMS besonders gut für AGG-Schulungen?7. Wie setzt man eine AGG-Schulung mit einem LMS Schritt für Schritt um?8. Fazit: Sensibilisierung als Daueraufgabe, nicht als Jahrespflicht9. Häufige Fragen Was ist eine AGG-Schulung – und warum ist sie 2026 so relevant? Eine AGG-Schulung ist eine Mitarbeiterunterweisung zum Allgemeinen Gleichbehandlungsgesetz. Ziel ist es, Mitarbeitende und Führungskräfte für Diskriminierung zu sensibilisieren und über ihre Rechte und Pflichten zu informieren. Sie ist die zentrale Präventionsmaßnahme, mit der Arbeitgeber ihrer Schutzpflicht nach § 12 AGG nachkommen. Drei Entwicklungen machen die AGG-Schulung 2026 wichtiger als je zuvor: 1. Steigende Sensibilität in der Gesellschaft. Laut Jahresbericht 2024 der Antidiskriminierungsstelle gingen 11.405 Beratungsanfragen ein – ein neuer Höchststand. 2019 waren es noch 4.247. Ein Drittel der Fälle betrifft das Arbeitsleben. 2. Reform des AGG. Das BMJV hat am 14. April 2026 einen Referentenentwurf veröffentlicht, der den Diskriminierungsschutz erweitert und die Rechtsdurchsetzung stärkt. Hintergrund sind zwei EU-Richtlinien, die bis 19. Juni 2026 in nationales Recht umzusetzen sind. 3. Wachsendes Haftungsrisiko. Gerichte prüfen im Konfliktfall sehr genau, ob Arbeitgeber präventiv geschult und dokumentiert haben. Fehlt der Nachweis, drohen Organisationsverschulden und teure Entschädigungszahlungen. Welche Pflichten ergeben sich aus § 12 AGG für Arbeitgeber? Das AGG verpflichtet Arbeitgeber in § 12 zu vier zentralen Maßnahmen, die jede HR-Abteilung kennen muss: 1. Schutz vor Benachteiligung (§ 12 Abs. 1 AGG). Arbeitgeber müssen die Belegschaft aktiv vor Diskriminierung wegen der sechs geschützten Merkmale nach § 1 AGG schützen: ethnische Herkunft, Geschlecht, Religion oder Weltanschauung, Behinderung, Alter und sexuelle Identität. 2. Schulung als Präventionspflicht (§ 12 Abs. 2 AGG). Eine nachweislich durchgeführte Schulung gilt rechtlich als Erfüllung der Schutzpflicht – der sogenannte Safe-Harbor-Effekt. Wer nicht schult, haftet im Streitfall für organisatorisches Verschulden. 3. Information der Beschäftigten (§ 12 Abs. 5 AGG). Der Gesetzestext muss allen Mitarbeitenden zugänglich gemacht werden, üblicherweise per Aushang oder im Intranet. Auch die Beschwerdestelle und die Klagefristen müssen kommuniziert werden. 4. Einrichtung einer Beschwerdestelle (§ 13 AGG). Beschäftigte müssen wissen, an welche Stelle sie sich bei einer mutmaßlichen Diskriminierung wenden können. Beschwerden müssen geprüft und das Ergebnis mitgeteilt werden. Eine wirksame AGG-Schulung vermittelt nicht nur diese Pflichten an Führungskräfte und HR – sie macht sie auch für alle Mitarbeitenden im Alltag greifbar. Was ändert sich durch die AGG-Reform 2026? Das Zweite Gesetz zur Änderung des AGG soll bis spätestens 19. Juni 2026 verabschiedet sein. Die zentralen Änderungen laut Referentenentwurf des BMJV im Überblick: Erweiterter Schutz vor sexueller Belästigung. Bislang greift der AGG-Schutz vor sexueller Belästigung nur am Arbeitsplatz. Künftig soll er auch im Wohnungsmarkt, in Fitnessstudios, Fahrschulen oder anderen Dienstleistungssituationen gelten. Stärkung der Antidiskriminierungsstelle (ADS). Die ADS soll künftig ein Streitschlichtungsverfahren anbieten, das Betroffenen eine schnelle Einigung außerhalb der Gerichte ermöglicht. Zudem werden europäische Standards für nationale Antidiskriminierungsstellen umgesetzt. Klarstellung der Kirchenklausel (§ 9 AGG). Eine Ungleichbehandlung wegen Religion oder Weltanschauung in kirchlichen Einrichtungen soll künftig nur noch zulässig sein, wenn die Religionszugehörigkeit eine gerechtfertigte berufliche Anforderung für die konkrete Tätigkeit darstellt – im Einklang mit aktueller EuGH-Rechtsprechung. Anpassungen im Zivilrecht. Die Beschränkung des Diskriminierungsverbots auf Massengeschäfte beim Merkmal „Geschlecht“ wird gelockert, um die EU-Unisex-Richtlinie sauber umzusetzen. Was nicht im Entwurf steht. Verbandsklagerecht und Regelungen zum sogenannten AGG-Hopping (Scheinbewerbungen mit Entschädigungsabsicht) bleiben außen vor – ein Punkt, den sowohl Wirtschaftsverbände als auch Antidiskriminierungsorganisationen kritisieren. Für die AGG-Schulung heißt das: Inhalte zur erweiterten Reichweite und zum neuen Streitschlichtungsverfahren sollten ab Mitte 2026 in jedes Curriculum integriert werden. Was passiert, wenn Unternehmen die AGG-Schulung vernachlässigen? Wer die Schulungspflicht ignoriert, riskiert eine ganze Kette finanzieller und reputativer Folgen. Beweislastumkehr im Konfliktfall. Sobald eine betroffene Person Indizien für eine Benachteiligung schlüssig vorträgt, muss das Unternehmen beweisen, dass kein AGG-Verstoß vorlag. Ohne dokumentierte Schulung wird dieser Beweis extrem schwer. Entschädigung und Schadensersatz nach § 15 AGG. Bei nachgewiesener Diskriminierung – etwa im Bewerbungsverfahren – können bis zu drei Bruttomonatsgehälter Entschädigung anfallen, bei schweren oder wiederholten Verstößen mehr. Hinzu kommen Schadensersatzansprüche für entgangenes Gehalt. Organisationsverschulden. Hat der Arbeitgeber keine angemessenen Präventionsmaßnahmen ergriffen, haftet er nicht nur für direkte Diskriminierung, sondern auch für strukturelles Versäumnis. Eine fehlende AGG-Schulung ist dabei einer der ersten Punkte, die Gerichte prüfen. Reputationsschäden. Klagen wegen Diskriminierung landen regelmäßig in der Presse. Bewertungsplattformen wie kununu spiegeln die interne Kultur wider und beeinflussen die Recruiting-Pipeline. Eine einzige eskalierte Beschwerde kann das Employer Branding für Jahre belasten. Wirtschaftlicher Folgeschaden. Klagebearbeitung, Anwaltskosten, interne Untersuchungen und Krisenkommunikation binden Ressourcen, die deutlich höher sind als die Kosten einer kontinuierlichen LMS-basierten Schulung. Welche Inhalte gehören in eine wirksame AGG-Schulung? Eine AGG-Schulung, die nur Paragraphen vorliest, verfehlt ihren Zweck. Wirksame Schulungen verbinden rechtliches Wissen mit alltagsnahen Beispielen. Bewährt hat sich eine modulare Struktur: Basis für alle Mitarbeitenden: Die sechs geschützten Merkmale nach § 1 AGG und ihre Bedeutung im Alltag Diskriminierungsformen: unmittelbare und mittelbare Benachteiligung, Belästigung, sexuelle Belästigung, Anweisung zur Benachteiligung Konkrete Beispiele aus dem Berufsleben: Stellenausschreibungen, Vergütung, Beförderung, Teaminteraktion, Kantinensituationen Verhalten bei Beobachtung von Diskriminierung: Wie reagiere ich? Wo melde ich? Die unternehmensinterne Beschwerdestelle nach § 13 AGG Vertiefung für Führungskräfte und HR: Pflichten nach § 12 AGG und Konsequenzen bei Verstößen Diskriminierungsfreie Stellenanzeigen und Bewerbungsverfahren Beweislastumkehr nach § 22 AGG verstehen und vermeiden Umgang mit Beschwerden: Annahme, Prüfung, Dokumentation Kirchenklausel und Sonderfälle Aktuelle Themen 2026: AGG-Reform 2026: Erweiterter Schutz vor sexueller Belästigung, neues Streitschlichtungsverfahren der ADS AGG-Hopping: Erkennen von Scheinbewerbungen und korrekter Umgang damit KI-Bewerbungsprozesse: Diskriminierungsrisiken algorithmischer Auswahlverfahren Diversity & Inclusion: AGG-Compliance als Bestandteil einer breiteren D&I-Strategie Hinzu kommt das Aushangs- und Informationspflicht-Modul (§ 12 Abs. 5 AGG): Gesetzestext, Beschwerdestelle und Klagefristen müssen allen Mitarbeitenden bekannt sein. Warum eignet sich ein LMS besonders gut für AGG-Schulungen? Die größte Herausforderung bei der AGG-Umsetzung ist nicht das Gesetz selbst – es ist die lückenlose Dokumentation. Wer im Streitfall nicht in unter zwei Minuten nachweisen kann, dass alle relevanten Mitarbeitenden geschult wurden, verliert den Safe-Harbor-Effekt. Genau hier spielt ein Learning Management System (LMS) seine Stärken aus: 1. Automatische Zuweisung an die ganze Belegschaft. Egal ob 30 oder 3.000 Mitarbeitende: Pflichtkurse lassen sich an Zielgruppen ausrollen, inklusive Erinnerungen und Eskalationen bei Fristüberschreitung. 2. Onboarding-Integration. Jede neue Person erhält die AGG-Schulung automatisch am ersten Tag – ohne manuelles Nachhalten durch HR. 3. Rollenspezifische Lernpfade. Führungskräfte, HR-Team, Betriebsrat und allgemeine Belegschaft bekommen unterschiedlich tiefe Module. Das spart Zeit und steigert die Wirksamkeit. 4. Verständniskontrollen und Zertifikate. Kleine Quizfragen sichern den Lernerfolg ab, automatisch generierte Zertifikate landen direkt in der digitalen Personalakte. 5. Auditfeste Dokumentation. Im Streitfall sind Teilnahmestatus, Datum, Lernfortschritt und Quiz-Ergebnisse jederzeit per Knopfdruck exportierbar – der entscheidende Vorteil gegenüber Zettelwirtschaft. 6. Schnelle Reaktion auf Reformen. Wenn die AGG-Reform 2026 in Kraft tritt, lässt sich ein kurzes Update-Modul binnen Stunden ausspielen – inklusive Pflicht zur Wiederholung. 7. Mehrsprachigkeit und Barrierefreiheit. Internationale Teams, Schichtarbeit, mobile Belegschaft: Alle lernen in ihrer Sprache, an ihrem Endgerät, in ihrem Tempo – ein Anspruch, der bei einer AGG-Schulung besonders sinnvoll ist. Mit einer Plattform wie reteach lassen sich diese Anforderungen ohne IT-Aufwand umsetzen – inklusive vorgefertigter Compliance-Module, automatischer Pflichtzuweisung und revisionssicherem Reporting. Mehr dazu auch in den Beiträgen zur datenschutzkonformen Weiterbildung und zur Phishing-Schulung im LMS. Wie setzt man eine AGG-Schulung mit einem LMS Schritt für Schritt um? Eine pragmatische Umsetzung in fünf Schritten: 1. Pflichtenanalyse. Welche Rollen brauchen welche Tiefe? Wer ist AGG-Beauftragte oder Beauftragter, wer leitet die Beschwerdestelle, wer ist Führungskraft mit Personalverantwortung? 2. Curriculum-Auswahl. Standardmodul für alle, Vertiefung für HR und Führungskräfte, Spezialmodul für AGG-Beauftragte. Aktuelle Themen wie die AGG-Reform 2026 als eigenes Update-Modul vorsehen. 3. Beschwerdestelle und Aushang sichtbar machen. Im LMS verlinken, im Intranet veröffentlichen, in der Schulung erklären – die drei Wege müssen ineinandergreifen. 4. Wiederholungsrhythmus festlegen. Eine einmalige Schulung ist nicht ausreichend. Bewährt haben sich jährliche Auffrischungen plus Sonder-Module bei Gesetzesänderungen oder konkreten Vorfällen. 5. Reporting und Eskalation einrichten. HR und Compliance brauchen klare Dashboards zur Teilnahmequote. Bei Nichtteilnahme sollten automatische Erinnerungen und Eskalationen greifen. Fazit: Sensibilisierung als Daueraufgabe, nicht als Jahrespflicht Die AGG-Schulung ist 2026 mehr als eine lästige Compliance-Anforderung. Sie ist Haftungsschutz, Kulturarbeit und Employer-Branding-Faktor in einem. Wer die Reform 2026, die steigenden Beratungsanfragen und die verschärfte Beweislastsituation ernst nimmt, etabliert AGG-Inhalte als festen Bestandteil seiner Lernkultur – nicht als jährlichen Pflichttermin. Ein modernes LMS ist dafür der wirksamste Hebel: Es macht die AGG-Schulung skalierbar, nachweisbar und aktuell. Es entlastet HR, schützt die Geschäftsführung und gibt der Belegschaft Sicherheit, wie sie sich im Ernstfall verhalten kann. Nächste Schritte: Status quo prüfen: Welche AGG-Schulungen liegen vor, wie aktuell sind sie, wie ist die Dokumentation? Rollen identifizieren, die eine vertiefte AGG-Schulung benötigen (Führungskräfte, HR, AGG-Beauftragte). Curriculum für 2026 anpassen – inklusive Reform-Modul und Themen wie KI im Bewerbungsverfahren. LMS auswählen, das automatische Zuweisung, rollenspezifische Lernpfade und revisionssicheres Reporting bietet. Wiederholungsrhythmus festlegen und mit Compliance- und HR-Prozessen verzahnen. Wenn Sie sehen möchten, wie sich eine AGG-Schulung mit reteach in der Praxis umsetzen lässt, buchen Sie eine Live-Demo – wir zeigen Ihnen in unter 30 Minuten, wie aus der Compliance-Pflicht eine lebendige Sicherheits- und Fairnesskultur wird. Häufig gestellte Fragen Ist eine AGG-Schulung gesetzlich vorgeschrieben?Das AGG nennt keine ausdrückliche Schulungspflicht. § 12 Abs. 1 AGG verpflichtet Arbeitgeber jedoch, präventive Maßnahmen gegen Diskriminierung zu ergreifen. § 12 Abs. 2 AGG stellt klar: Eine nachweisliche Schulung der Belegschaft erfüllt diese Pflicht. Faktisch ist die AGG-Schulung damit Standard, weil sie der einzige verlässliche Weg ist, den Schutzpflicht-Nachweis zu führen. Wie oft sollte eine AGG-Schulung wiederholt werden?Empfohlen wird eine jährliche Auffrischung. Zusätzliche Module sollten bei Gesetzesänderungen wie der AGG-Reform 2026, bei konkreten Vorfällen im Unternehmen oder beim Eintritt neuer Mitarbeitender ausgerollt werden. Eine einmalige Schulung gilt nach mehreren Jahren nicht mehr als ausreichende Erfüllung der Schutzpflicht. Wer muss in einer AGG-Schulung berücksichtigt werden?Grundsätzlich alle Beschäftigten, da Diskriminierung in jedem Team auftreten kann. Eine vertiefte Schulung ist für Führungskräfte mit Personalverantwortung, HR, Betriebsrat und Mitglieder der Beschwerdestelle nach § 13 AGG erforderlich. Die AGG-Beauftragte oder der AGG-Beauftragte benötigt zudem fundierte rechtliche Kenntnisse. Was kostet eine fehlende AGG-Schulung im Ernstfall?Bei nachgewiesener Diskriminierung können bis zu drei Bruttomonatsgehälter Entschädigung anfallen, bei schweren oder wiederholten Verstößen mehr. Hinzu kommen Schadensersatz für entgangenes Einkommen, Anwalts- und Gerichtskosten sowie Reputationsschäden. Eine LMS-basierte Schulung ist demgegenüber ein Bruchteil dieser Kosten. Was ist AGG-Hopping?Als AGG-Hopping wird das gezielte Versenden von Scheinbewerbungen bezeichnet, um bei einer Ablehnung Entschädigung nach § 15 AGG einzuklagen. Unternehmen mit dokumentierter AGG-Schulung und diskriminierungsfreien Auswahlprozessen sind hier deutlich besser geschützt, weil sie die Beweislast effektiv tragen können. Die Reform 2026 enthält keine Regelung zu AGG-Hopping – Prävention bleibt damit Aufgabe der Arbeitgeber. Was ändert sich konkret durch die AGG-Reform 2026?Der Schutz vor sexueller Belästigung wird über den Arbeitsplatz hinaus erweitert. Die Antidiskriminierungsstelle des Bundes erhält ein Streitschlichtungsverfahren. Die Kirchenklausel (§ 9 AGG) wird an die EuGH-Rechtsprechung angepasst. Verbandsklagerecht und AGG-Hopping bleiben außen vor. Die Umsetzung der EU-Richtlinien muss bis 19. Juni 2026 erfolgen. Wer haftet, wenn ein Mitarbeitender einen Kollegen diskriminiert?Grundsätzlich der Arbeitgeber – über § 12 AGG und das Prinzip des Organisationsverschuldens. Hat das Unternehmen jedoch eine wirksame AGG-Schulung durchgeführt und dokumentiert, greift der Safe-Harbor-Effekt aus § 12 Abs. 2 AGG. Dann verlagert sich die Haftung stärker auf die handelnde Einzelperson. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Phishing-Schulung: Mitarbeitende für Social Engineering und CEO Fraud sensibilisieren Phishing, Social Engineering und CEO Fraud sind 2026 die wichtigsten Einfallstore für Cyberangriffe. So sensibilisieren Sie Ihre Mitarbeitenden wirksam – mit einer kontinuierlichen Phishing-Schulung im LMS. EU-Entgelttransparenzrichtlinie 2026: Was jetzt auf HR und Unternehmen zukommt Excerpt (Textauszug): Die EU-Entgelttransparenzrichtlinie sollte bis 7. Juni 2026 in deutsches Recht umgesetzt sein – Deutschland verfehlt die Frist. Was das für Unternehmen bedeutet, welche Rolle das BAG-Urteil vom Oktober 2025 spielt und wie HR, Legal und Controlling jetzt strukturiert vorgehen. So gelingt datenschutzkonforme Weiterbildung Datenschutzkonforme Weiterbildung 2026: Welche DSGVO-Pflichten gelten für Ihr LMS, wie schützen Sie Lernerdaten sicher und welche TOMs sind Pflicht? Der Praxisleitfaden mit FAQ, Checkliste und konkreten Empfehlungen. Kosten und Zeit sparen mit digitalen Unterweisungen – und trotzdem rechtssicher bleiben Unternehmen, die Zeit einsparen und Nerven schonen möchte, sollten sich mit der Automatisierung von Unterweisungen und Compliance durch Software befassen. Denn nicht nur können die zuständigen Mitarbeiter mit anderen Aufgaben als der Verwaltung von Listen betraut werden – es können bis zu 90% der Kosten für Schulungen eingespart werden.
Übersicht Phishing-Schulung: Mitarbeitende für Social Engineering und CEO Fraud sensibilisieren Erstellt am: Andreas Bersch Teilen auf: Wichtigste Erkenntnisse Phishing, Social Engineering und CEO Fraud sind 2026 die wichtigsten Einfallstore für Cyberangriffe – nicht Technik, sondern Menschen werden gezielt manipuliert. KI und Deepfakes haben die Bedrohungslage dramatisch verschärft: Stimmen lassen sich in Sekunden klonen, gefälschte Videocalls verursachen Millionenschäden. Einmalige Awareness-Veranstaltungen reichen nicht. Wirksamer Schutz entsteht durch kontinuierliche, kurze Trainingseinheiten – idealerweise mit Phishing-Simulationen. Ein Learning Management System (LMS) macht Phishing-Schulungen skalierbar, wiederholbar und nachweisbar – inklusive automatischer Erinnerungen, Lernpfade und Reportings für NIS2 und DSGVO. Organisatorische Schutzmaßnahmen wie das Vier-Augen-Prinzip, Out-of-Band-Verifikation und Code-Wörter ergänzen die Schulung und stoppen einen Großteil der Angriffe. Cyberkriminelle interessieren sich heute weniger für Firewalls als für Menschen. Eine einzige Phishing-Mail, ein gefälschter Anruf vom vermeintlichen CEO oder ein präparierter QR-Code reichen aus, um sechsstellige Schäden auszulösen. Deshalb gehört eine wirksame Phishing-Schulung 2026 zu den wichtigsten Schutzmaßnahmen für Unternehmen. Laut dem aktuellen Cybersicherheitsmonitor 2026 von BSI und ProPK war im vergangenen Jahr jeder neunte Internetnutzer in Deutschland von Cyberkriminalität betroffen – und 88 Prozent der Betroffenen erlitten dabei einen konkreten Schaden. Phishing zählt zu den häufigsten Vorfällen. Für Unternehmen ist eine systematische Phishing-Schulung der Belegschaft deshalb längst keine Kür mehr, sondern zentraler Bestandteil jeder Sicherheitsstrategie. Dieser Beitrag zeigt, was Mitarbeitende über Phishing, Social Engineering und CEO Fraud wissen müssen – und warum ein LMS das ideale Werkzeug ist, um dieses Wissen nachhaltig in den Köpfen zu verankern. Inhalt 1. Was bedeuten Phishing, Social Engineering und CEO Fraud?2. Wie bedrohlich ist die Lage 2026 wirklich?3. Wie verändern KI und Deepfakes klassische Angriffe?4. Welche Schutzmaßnahmen funktionieren in der Praxis?5. Warum ist ein LMS ideal für eine kontinuierliche Phishing-Schulung?6. Welche Inhalte gehören in eine Phishing-Schulung mit LMS?7. Fazit8. Häufige Fragen Was bedeuten Phishing, Social Engineering und CEO Fraud? Die drei Begriffe werden oft synonym verwendet, beschreiben aber unterschiedliche Dinge. Social Engineering ist der Oberbegriff. Gemeint ist jede Form der psychologischen Manipulation, mit der Kriminelle Menschen dazu bringen, vertrauliche Informationen preiszugeben, Überweisungen auszulösen oder Schadsoftware zu installieren. Der Mensch ist hier die Schwachstelle, nicht die Technik. Phishing ist die bekannteste Variante des Social Engineering. Über gefälschte E-Mails, SMS, QR-Codes oder Webseiten versuchen Angreifer, an Zugangsdaten, Zahlungsinformationen oder andere sensible Daten zu gelangen. Wichtige Spielarten sind: Spear-Phishing: personalisierte Angriffe auf einzelne Personen oder Abteilungen Whaling: Phishing-Angriffe auf Führungskräfte Vishing: Voice-Phishing über das Telefon, häufig mit geklonten Stimmen Smishing: Phishing per SMS oder Messenger Quishing: Phishing über manipulierte QR-Codes CEO Fraud (auch „Chefmasche“ oder „Business Email Compromise“) ist eine besonders gefährliche Sonderform. Dabei geben sich Angreifer als Geschäftsführung, Finanzvorstand oder andere Vorgesetzte aus und fordern Mitarbeitende per E-Mail, Anruf oder Videocall zu dringenden Überweisungen oder zur Herausgabe vertraulicher Daten auf. Eine wirksame Phishing-Schulung muss deshalb alle drei Themen – Phishing, Social Engineering und CEO Fraud – gemeinsam vermitteln. Wie bedrohlich ist die Lage 2026 wirklich? Die Zahlen sind eindeutig – und alarmierend. Deutsche Unternehmen verzeichnen laut Check Point Research durchschnittlich rund 1.200 Cyberattacken pro Woche. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft kleine und mittlere Unternehmen im aktuellen Lagebericht explizit als besonders gefährdet ein – ihnen fehlen häufig Ressourcen, Fachwissen und klare Zuständigkeiten. Besonders rasant entwickelt sich der Schaden durch CEO Fraud und Deepfakes. Die aktuelle Schadensstatistik von Allianz Trade zeigt einen besonders gefährlichen Trend: Die Fallzahlen beim Fake-President-Betrug gingen 2025 zwar leicht zurück, die Schäden je Fall stiegen aber um 81 Prozent – nachdem sie sich bereits 2024 verdreifacht hatten. Jeder einzelne Angriff wird also raffinierter, gezielter und teurer. Auch die Deepfake-Komponente nimmt rasant zu: Branchendaten zufolge ist die Rate des Deepfake-Betrugs in Deutschland im Vorjahresvergleich um über 1.000 Prozent gestiegen – damit zählt Deutschland zu den am stärksten betroffenen Ländern Europas. Wer denkt, das treffe nur Großkonzerne, liegt falsch. Laut Verizon Data Breach Investigations Report richten sich rund 43 Prozent aller weltweiten Cyberangriffe gegen kleine Unternehmen, und etwa 80 Prozent der angezeigten Ransomware-Angriffe in Deutschland trafen KMU. Wie verändern KI und Deepfakes klassische Angriffe? Vor wenigen Jahren waren Phishing-Mails noch oft an Rechtschreibfehlern, plumpen Anreden oder schlechter Grammatik zu erkennen. Diese Zeiten sind vorbei. Generative KI produziert heute Texte, die in Tonfall, Stil und Kontext exakt zur angegriffenen Person passen – inklusive interner Begriffe und korrekter Namen. Drei Entwicklungen sind besonders kritisch: 1. Voice Cloning. Mit wenigen Sekunden Audiomaterial – etwa aus einem Podcast, einem LinkedIn-Video oder einem Webinar – lässt sich die Stimme einer Führungskraft kopieren. Im Telefonat ist die Fälschung kaum mehr vom Original zu unterscheiden. 2. Deepfake-Videocalls. Im Februar 2024 überwies ein Finanzangestellter in Hongkong rund 25 Millionen Dollar, nachdem er in einer Videokonferenz mit seinem vermeintlichen CFO und weiteren Kollegen gesprochen hatte. Sämtliche Teilnehmenden waren KI-generierte Deepfakes. Inzwischen sind solche Echtzeit-Videofälschungen technisch breit verfügbar. 3. KI-gestütztes Spear-Phishing. Angreifer analysieren öffentliche Informationen über Mitarbeitende und ihre Unternehmen, formulieren maßgeschneiderte Mails und kombinieren sie mit gefälschten Anrufen. Dieser hybride Angriffsweg unterläuft viele klassische Sicherheitsroutinen. Auch prominente deutsche Persönlichkeiten sind betroffen: Kriminelle missbrauchten Anfang 2026 die Identität des Unternehmers Reinhold Würth mit einem gefälschten Video, das auf Social Media für dubiose Investmentangebote warb. Für Unternehmen heißt das: Eine moderne Phishing-Schulung muss KI-spezifische Inhalte fest integrieren. Welche Schutzmaßnahmen funktionieren in der Praxis? Technische Filter allein reichen nicht aus, wenn die Angriffe immer perfekter werden. Wirksamer Schutz entsteht aus dem Zusammenspiel von Technik, Organisation und Sensibilisierung. Organisatorische Maßnahmen sind dabei oft die wirksamsten – und gleichzeitig die günstigsten: Vier-Augen-Prinzip bei allen Zahlungen ab einem definierten Schwellenwert. Keine Ausnahmen, auch nicht bei vermeintlichen CEO-Anweisungen. Out-of-Band-Verifikation: Ungewöhnliche Anweisungen werden über einen zweiten, vorher festgelegten Kanal bestätigt – zum Beispiel per Rückruf auf eine bekannte Mobilnummer, nicht auf die Nummer aus dem Anruf. Code-Wörter für kritische Anweisungen, die in jeder dringenden Zahlungsfreigabe genannt werden müssen. Reduktion öffentlich verfügbaren Materials: Jede Minute Video- oder Audioaufnahme von Führungskräften ist potenzielles Trainingsmaterial für Angreifer. Sensibilisierung ist die zweite Säule – und hier zeigen sich klare Erfolgsmuster. Der Phishing by Industry Benchmarking Report von KnowBe4 belegt: Mitarbeitende in Europa haben ohne Phishing-Schulung eine Anfälligkeit von rund 32,5 Prozent. Nach 90 Tagen kontinuierlicher Phishing-Schulung sinkt der Wert auf rund 20 Prozent, nach einem Jahr auf etwa 5 Prozent. Das entspricht einem Rückgang um über 80 Prozent. Entscheidend ist das Wort kontinuierlich. Eine einmalige Pflichtschulung pro Jahr bringt nachweislich wenig. Wirksam wird das Training erst durch: regelmäßige, kurze Lerneinheiten (Microlearning) realistische Phishing-Simulationen, bei denen Mitarbeitende fingierte Angriffe in ihrem Alltag erleben direktes, unmittelbares Feedback bei einem Fehlklick rollenspezifische Inhalte (die Buchhaltung braucht andere Beispiele als der Vertrieb) Auffrischungen, sobald neue Bedrohungen auftauchen – etwa nach einer realen Angriffswelle Genau hier kommt ein LMS ins Spiel. Warum ist ein LMS ideal für eine kontinuierliche Phishing-Schulung? Ein Learning Management System (LMS) ist die digitale Infrastruktur, die kontinuierliche, skalierbare und nachweisbare Schulungen erst möglich macht. Speziell für das Thema Phishing, Social Engineering und CEO Fraud spielt es seine Stärken voll aus: 1. Skalierbarkeit über die gesamte Belegschaft. Egal, ob 50 oder 5.000 Personen geschult werden müssen: Im LMS lassen sich Pflichtkurse einer Zielgruppe in wenigen Klicks zuweisen – inklusive automatischer Erinnerungen und Eskalationsstufen. 2. Microlearning statt Frontalunterricht. Statt einer einzigen 90-Minuten-Schulung pro Jahr lassen sich kurze, fokussierte Lerneinheiten von fünf bis zehn Minuten verteilen. Genau dieses Format wirkt nachweislich am besten gegen das schnelle Vergessen. 3. Rollenspezifische Lernpfade. Buchhaltung, Geschäftsführung, IT, Vertrieb und Empfang sind unterschiedlich exponiert. Ein LMS spielt die passenden Inhalte automatisch an die jeweilige Zielgruppe aus. 4. Phishing-Simulationen und Praxisübungen. Moderne LMS-Plattformen lassen sich mit Phishing-Simulationstools koppeln. Wer auf eine fingierte Mail klickt, landet direkt in einer kurzen Lerneinheit, die den Vorfall einordnet und das richtige Verhalten zeigt. 5. Nachweis und Reporting. Die NIS2-Richtlinie, die KI-Verordnung und die DSGVO fordern dokumentierte Schulungsmaßnahmen. Im LMS lassen sich Teilnahmequoten, Abschlüsse und Wissensstände jederzeit auditfest exportieren. 6. Mehrsprachigkeit und Ortsunabhängigkeit. Internationale Teams, Außendienst, Schichtarbeit, Homeoffice: Alle Mitarbeitenden lernen in ihrer Sprache, zu ihrem Zeitpunkt und an ihrem Endgerät. 7. Schnelle Reaktion auf neue Bedrohungen. Taucht eine neue Phishing-Welle auf – etwa mit Bezug zur eigenen Branche – lässt sich binnen Stunden ein kurzes Awareness-Modul zuweisen. Speziell für Phishing-Simulationen und Security-Awareness-Trainings bietet reteach Phishing Awareness die Möglichkeit, realistische Phishing-Mails zu simulieren. Passende Lerninhalte werden automatisch ausgespielt. Mehr zur Rolle eines LMS in compliancerelevanten Kontexten findest du im Beitrag zur datenschutzkonformen Weiterbildung und in unserem Artikel zu LMS und DSGVO. Welche Inhalte gehören in eine Phishing-Schulung mit LMS? Eine wirksame Phishing-Schulung deckt die ganze Bandbreite der Bedrohungen ab. Bewährt hat sich eine modulare Struktur: Basismodule für alle Mitarbeitenden: Was sind Phishing, Social Engineering und CEO Fraud? (Grundlagen) Typische Warnsignale in E-Mails, SMS und Anrufen Sicherer Umgang mit Passwörtern und Zwei-Faktor-Authentifizierung Verhalten bei einem vermuteten Angriff: Wer wird informiert? Welche Schritte sind nötig? Aufbaumodule für besonders gefährdete Rollen: Buchhaltung und Finance: CEO Fraud, gefälschte Lieferantenrechnungen, Vier-Augen-Prinzip in der Praxis Assistenz und Empfang: Pretexting am Telefon, Umgang mit Druck und Dringlichkeit Führungskräfte: Schutz der eigenen Identität, Reduktion öffentlich verfügbarer Audio-/Videoaufnahmen IT-Teams: Erkennung technischer Angriffsmuster und Reaktion im Ernstfall Aktuelle Themen 2026: Deepfake-Erkennung: Wie unterscheide ich einen echten Videocall von einem gefälschten? KI-generierte Phishing-Mails: Warum sprachliche Perfektion kein Echtheitsbeweis mehr ist Quishing: Sicherer Umgang mit QR-Codes im Arbeitsalltag Hinzu kommen wiederkehrende Phishing-Simulationen, die das theoretische Wissen unter realen Bedingungen testen – und gleichzeitig wertvolle Daten darüber liefern, wo noch Sensibilisierungsbedarf besteht. Fazit: Sensibilisierung ist kein Projekt, sondern ein Prozess Phishing, Social Engineering und CEO Fraud sind keine vorübergehenden Modeerscheinungen. Sie sind die zentrale Angriffsfläche moderner Unternehmen – und mit dem Einzug von KI und Deepfakes hat sich ihr Gefahrenpotenzial vervielfacht. Wer seine Belegschaft nur einmal jährlich für 30 Minuten „durchschult“, erfüllt vielleicht eine Compliance-Anforderung, schafft aber kein echtes Sicherheitsbewusstsein. Wirksamer Schutz entsteht durch kontinuierliches, kurzes und rollenspezifisches Lernen, kombiniert mit klaren organisatorischen Regeln wie dem Vier-Augen-Prinzip und Out-of-Band-Verifikation. Ein modernes LMS macht genau das möglich: skalierbar, nachweisbar, in der Sprache und Geschwindigkeit der Mitarbeitenden. Es verwandelt die Phishing-Schulung von einer einmaligen Pflichtveranstaltung in eine lebendige Sicherheitskultur. Nächste Schritte: Identifizieren Sie die am stärksten gefährdeten Rollen in Ihrem Unternehmen. Entwickeln Sie eine modulare Schulungsstrategie – Basis für alle, Vertiefung für Risikogruppen. Setzen Sie auf kontinuierliches Microlearning statt Jahrestermine. Ergänzen Sie das Training um regelmäßige Phishing-Simulationen. Wählen Sie ein LMS, das Skalierung, Reporting und schnelle Reaktion auf neue Bedrohungen ermöglicht. Phishing schulen und simulieren mit reteach Phishing Awareness Genau für diese Aufgaben haben wir reteach Phishing Awareness entwickelt: Damit schulen Sie Ihre Mitarbeitenden mit kurzen E-Learning-Einheiten zu Phishing, Social Engineering und CEO Fraud – und testen das Gelernte mit realistischen Phishing-Simulationen direkt im Arbeitsalltag. Sie versenden automatisierte Kampagnen, sehen Klick- und Risikoraten pro Abteilung und nutzen das Modul wahlweise in Ihrer reteach-Plattform oder eigenständig. Mehr über reteach Phishing Awareness erfahren oder direkt eine Live-Demo buchen. Häufig gestellte Fragen Was ist der Unterschied zwischen Phishing und Social Engineering?Social Engineering ist der Oberbegriff für jede Form der psychologischen Manipulation, mit der Kriminelle Menschen zu sicherheitsrelevanten Fehlentscheidungen verleiten. Phishing ist eine konkrete Methode davon – meistens per E-Mail, SMS oder gefälschten Webseiten. Auch CEO Fraud, Vishing oder Pretexting sind Spielarten des Social Engineering. Wie erkennen Mitarbeitende eine Phishing-E-Mail?Typische Warnsignale sind starker Zeitdruck, ungewöhnliche Absenderadressen oder Antwortpfade, unerwartete Anhänge oder Links, Anweisungen am offiziellen Prozess vorbei und Aufforderungen zur Geheimhaltung. Wichtig: Auch sprachlich einwandfreie Mails können gefährlich sein, da KI heute fehlerfreie Texte produziert. Im Zweifel hilft nur die Rückfrage über einen zweiten Kanal. Wie oft sollten Mitarbeitende eine Phishing-Schulung absolvieren?Eine einmalige Schulung pro Jahr reicht nachweislich nicht. Wirksam ist eine Kombination aus kurzem Basis-Onboarding, vierteljährlichen Microlearning-Einheiten von fünf bis zehn Minuten und regelmäßigen Phishing-Simulationen. Nach realen Vorfällen oder neuen Bedrohungswellen sind kurzfristige Sonder-Module sinnvoll. Mit einem Tool wie reteach Phishing Awareness lassen sich solche wiederkehrenden Kampagnen und Auffrischungen automatisiert ausspielen. Sind Phishing- und Awareness-Schulungen gesetzlich vorgeschrieben?Ja, indirekt über mehrere Regelungen. Die DSGVO fordert angemessene technische und organisatorische Maßnahmen, dazu zählt die Sensibilisierung der Beschäftigten. Die NIS2-Richtlinie verlangt für betroffene Unternehmen ausdrücklich regelmäßige Cybersicherheits-Schulungen, und die KI-Verordnung verpflichtet Unternehmen, die KI einsetzen, zur Vermittlung von KI-Kompetenz. Eine dokumentierte Schulung im LMS erfüllt diese Nachweispflichten. Was tun bei einem Verdacht auf CEO Fraud?Erstens: keine Zahlung freigeben und keine Daten herausgeben. Zweitens: Verifikation über einen zweiten Kanal – Rückruf auf eine bekannte Nummer, persönliche Ansprache, vorher vereinbartes Code-Wort. Drittens: IT-Abteilung, Datenschutzbeauftragte und Geschäftsführung informieren. Viertens: Vorfall vollständig dokumentieren. Wurde bereits gezahlt, sofort die Hausbank kontaktieren und Anzeige bei der Polizei erstatten. Reicht eine Phishing-Schulung allein als Schutz?Nein. Sensibilisierung ist eine Säule, daneben braucht es technische Maßnahmen wie Spam-Filter, Multi-Faktor-Authentifizierung und SPF/DKIM/DMARC sowie organisatorische Regeln wie das Vier-Augen-Prinzip und Out-of-Band-Verifikation. Erst das Zusammenspiel aller drei Ebenen schafft echte Resilienz gegen Phishing, Social Engineering und CEO Fraud. Was kostet eine Phishing-Schulung pro Mitarbeitenden?Die Kosten hängen stark vom Format ab. Externe Präsenzschulungen liegen schnell im dreistelligen Bereich pro Person und Termin. LMS-basierte Awareness-Schulungen sind deutlich günstiger, weil Inhalte einmalig erstellt und unbegrenzt skaliert werden. Bei reteach sind Awareness-Module Teil der All-in-One-Plattform für Schulungen, Onboarding und Unterweisungen. Einen Überblick über Funktionen und Pakete bietet die Seite zu reteach Phishing Awareness. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Unterschied Compliance-Schulungen und Unterweisungen: Definitionen Compliance-Schulung, Unterweisung oder Weiterbildung? Die Begriffe werden oft verwechselt – mit rechtlichen Risiken. Lesen Sie, worin die Unterschiede liegen und welche Anforderungen an Verständnissicherung und Dokumentation gelten. Kosten und Zeit sparen mit digitalen Unterweisungen – und trotzdem rechtssicher bleiben Unternehmen, die Zeit einsparen und Nerven schonen möchte, sollten sich mit der Automatisierung von Unterweisungen und Compliance durch Software befassen. Denn nicht nur können die zuständigen Mitarbeiter mit anderen Aufgaben als der Verwaltung von Listen betraut werden – es können bis zu 90% der Kosten für Schulungen eingespart werden. EU AI Act: Was Unternehmen 2026 wissen und tun müssen Der EU AI Act regelt KI in der EU. Was gilt 2026 nach dem Digital Omnibus, welche Pflichten greifen wann – und was müssen Unternehmen jetzt tun? NIS2 Schulungspflicht: Was Unternehmen jetzt wissen und umsetzen müssen Die NIS2 Schulungspflicht ist seit 2025 verbindlich. Erfahren Sie, wen sie betrifft, welche Schulungen erforderlich sind und wie Unternehmen die Anforderungen effizient umsetzen.
Übersicht DSGVO-Schulung 2026: Der komplette Praxisleitfaden Erstellt am: 15. Mai 2026 Andreas Bersch Teilen auf: Wichtigste Erkenntnisse Indirekte Schulungspflicht: Die DSGVO schreibt keine ausdrückliche Schulungspflicht vor, leitet sie aber aus Art. 5, 32 und 39 ab. Fehlende Schulungsnachweise wirken im Verstoßfall bußgelderhöhend. Empfohlene Häufigkeit: Eine jährliche Grundunterweisung gilt als Best Practice — ergänzt um anlassbezogene Schulungen bei Gesetzesänderungen, Datenpannen oder neuen Tools. Pflichtinhalte: Rechtliche Grundlagen, Betroffenenrechte, sicherer Umgang mit personenbezogenen Daten, Meldewege bei Datenpannen, Phishing-Awareness und Datenschutz bei KI-Tools. Zielgruppe: Geschult werden müssen alle Beschäftigten, die mit personenbezogenen Daten in Berührung kommen — und zwar ab dem ersten Arbeitstag. Dokumentation: Teilnahme, Inhalte und Lernerfolg müssen nachweisbar dokumentiert werden, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu genügen. Eine regelmäßige DSGVO-Schulung gehört für Unternehmen längst zum Pflichtprogramm — und sie ist die wirksamste Maßnahme gegen Datenpannen. Denn die entstehen selten aus böser Absicht, sondern fast immer durch fehlendes Wissen: Eine vielzitierte IBM-Studie beziffert den Anteil menschlicher Fehler an Cybersicherheitsvorfällen auf bis zu 95 Prozent. Wer die Anforderungen der Datenschutz-Grundverordnung (DSGVO) ernst nimmt, muss seine Mitarbeitenden also regelmäßig und nachweisbar schulen. Doch was genau ist eigentlich Pflicht? Wie oft muss geschult werden? Welche Inhalte gehören in eine DSGVO-Schulung — und welche Formate funktionieren in der Praxis? Dieser Leitfaden gibt einen klaren, branchenübergreifenden Überblick und zeigt, worauf es 2026 ankommt. Inhalt 1. Was ist eine DSGVO-Schulung?2. Ist eine DSGVO-Schulung Pflicht?3. Wer muss an einer DSGVO-Schulung teilnehmen?4. Welche Inhalte gehören in eine DSGVO-Schulung?5. Wie oft sollte eine DSGVO-Schulung stattfinden?6. Welche Formate eignen sich für eine DSGVO-Schulung?7. Wer darf eine DSGVO-Schulung durchführen?8. Wie dokumentiere ich die DSGVO-Schulung rechtssicher?9. Was ist 2026 neu bei DSGVO-Schulungen?10. Fazit und nächste Schritte11. Häufige Fragen Was ist eine DSGVO-Schulung? Eine DSGVO-Schulung ist eine strukturierte Sensibilisierung von Beschäftigten zu den Anforderungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes (BDSG). Ziel ist es, dass alle Mitarbeitenden, die im Arbeitsalltag mit personenbezogenen Daten in Kontakt kommen, diese rechtssicher und verantwortungsvoll verarbeiten. Die Schulung deckt die rechtlichen Grundlagen ebenso ab wie konkrete Verhaltensregeln im Umgang mit Kundendaten, Personalinformationen, E-Mails, mobilen Geräten oder Cloud-Diensten. Sie ist damit ein zentraler Baustein eines funktionierenden Datenschutzmanagementsystems (DSMS) und entscheidend, um der Rechenschaftspflicht nachzukommen. Ist eine DSGVO-Schulung Pflicht? Die kurze Antwort: Ja — wenn auch nicht ausdrücklich. Die DSGVO formuliert keine eigene Vorschrift wie „Alle Mitarbeitenden sind einmal jährlich zu schulen.“ Die Schulungspflicht ergibt sich jedoch indirekt aus mehreren Artikeln der Verordnung: Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht): Verantwortliche müssen nachweisen können, dass sie die Grundsätze der Datenverarbeitung einhalten. Ohne geschultes Personal ist dieser Nachweis kaum zu erbringen. Art. 32 Abs. 1 DSGVO (Technische und organisatorische Maßnahmen): Unternehmen sind verpflichtet, geeignete Maßnahmen zur Datensicherheit zu treffen. Schulungen zählen als zentrale organisatorische Maßnahme. Art. 39 Abs. 1 lit. b DSGVO (Aufgaben des Datenschutzbeauftragten): Datenschutzbeauftragte müssen die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ überwachen. Schulungen werden also gesetzlich als Selbstverständlichkeit vorausgesetzt. In der Praxis bedeutet das: Fehlt der Nachweis regelmäßiger Schulungen, gewichten Aufsichtsbehörden im Fall einer Datenpanne das Bußgeld in der Regel deutlich höher. Behörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fragen Schulungsmaßnahmen in ihren Prüffragebögen routinemäßig ab. Eine DSGVO-Schulung ist damit faktisch Pflicht — auch wenn das Wort „Schulung“ in der Verordnung nur indirekt auftaucht. Wer muss an einer DSGVO-Schulung teilnehmen? Geschult werden müssen alle Beschäftigten, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten — und das sind in den meisten Unternehmen praktisch alle. Konkret zählen dazu unter anderem: Mitarbeitende in HR und Personalwesen, die mit Bewerbungsunterlagen, Verträgen und Gehaltsdaten arbeiten Vertriebs- und Marketingteams, die Kundendaten erfassen, CRM-Systeme nutzen oder Newsletter versenden IT- und Administrationsteams mit Zugriff auf Systeme und Datenbanken Kundendienst und Support, die Anfragen Betroffener entgegennehmen Führungskräfte, die Verantwortung für datenschutzkonforme Prozesse in ihren Teams tragen Gewerbliche Mitarbeitende in Logistik, Fertigung oder Außendienst, die mit Kundendaten oder Lieferdokumenten umgehen Auch Auszubildende, Werkstudierende und befristet Beschäftigte gehören dazu. Externe Auftragsverarbeitende sollten zusätzlich vertraglich zur Schulung verpflichtet werden. Wichtig: Eine Erstunterweisung sollte bereits im Onboarding stattfinden — also bevor neue Beschäftigte erstmals mit personenbezogenen Daten arbeiten. Wer erst nach Monaten schult, riskiert genau in der heikelsten Phase einen Datenschutzvorfall. Welche Inhalte gehören in eine DSGVO-Schulung? Die DSGVO macht keine konkreten Vorgaben zu Schulungsinhalten — überlässt das Thema also den Unternehmen. Aus der gängigen Praxis und den Empfehlungen der Aufsichtsbehörden ergeben sich aber klare Pflichtinhalte für eine Grundschulung: 1. Rechtlicher Rahmen und Grundbegriffe Zweck und Geltungsbereich von DSGVO und BDSG Was sind personenbezogene Daten, was sind besonders sensible Daten nach Art. 9 DSGVO? Grundprinzipien: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität 2. Rechtsgrundlagen der Datenverarbeitung Einwilligung, Vertragserfüllung, berechtigtes Interesse, gesetzliche Pflicht Anforderungen an eine wirksame Einwilligung und deren Widerruf 3. Rechte der Betroffenen Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch Wie reagiere ich, wenn eine Anfrage auf meinem Schreibtisch landet? 4. Sicherer Umgang mit Daten im Arbeitsalltag Passwortrichtlinien und Zwei-Faktor-Authentifizierung Versand von E-Mails (BCC, Verschlüsselung, Anhänge) Umgang mit mobilen Geräten, USB-Sticks und Cloud-Diensten Datenschutz im Homeoffice und auf Reisen 5. Erkennen von Risiken Phishing-E-Mails und Social Engineering Schadsoftware und Ransomware Unbefugter Zugriff und Shoulder Surfing 6. Verhalten im Fall einer Datenpanne Wie erkenne ich eine Datenpanne überhaupt? Meldewege im Unternehmen 72-Stunden-Meldepflicht an die Aufsichtsbehörde nach Art. 33 DSGVO 7. Sanktionen und Konsequenzen Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des Jahresumsatzes Reputationsschäden und persönliche Haftung von Führungskräften 8. Aktuelle Themen 2026 Datenschutz bei KI-Tools (ChatGPT, Microsoft Copilot, Gemini & Co.) Schnittstellen zur KI-Verordnung (KI-VO) und zu NIS2 Internationale Datentransfers nach dem aktuellen EU-US Data Privacy Framework Über die Grundschulung hinaus sind vertiefende Module für besonders exponierte Bereiche sinnvoll — etwa für HR, Marketing, IT, das Gesundheitswesen oder den öffentlichen Sektor. Wie oft sollte eine DSGVO-Schulung stattfinden? Die DSGVO macht zur Häufigkeit keine konkreten Vorgaben. Aufsichtsbehörden, Datenschutzbeauftragte und Branchenverbände empfehlen aber übereinstimmend einen jährlichen Schulungsturnus als Best Practice. Zusätzliche anlassbezogene Schulungen sind sinnvoll bei: Neueinstellungen: Erstunterweisung im Rahmen des Onboardings Gesetzesänderungen oder neuen Urteilen: etwa zur KI-Verordnung oder zu internationalen Datentransfers Einführung neuer Tools oder Prozesse: beim Rollout eines neuen CRM, ERP oder KI-Assistenten Nach einer Datenpanne: als Korrektur- und Sensibilisierungsmaßnahme Bei Funktionswechseln: wenn Mitarbeitende in datenschutzkritischere Rollen wechseln Auch zwischen den großen Schulungsterminen lohnen sich kurze Refresher — etwa Mikro-Lerneinheiten zu spezifischen Themen wie Phishing oder Passwortsicherheit. Sie halten das Thema präsent, ohne den Arbeitsalltag stark zu unterbrechen. Welche Formate eignen sich für eine DSGVO-Schulung? Auch zur Form macht die DSGVO keine Vorgaben — Hauptsache, die Schulung ist inhaltlich angemessen, nachweisbar und wirksam. In der Praxis haben sich drei Formate etabliert: Präsenzschulung Vorteile: hohe Interaktion, Raum für Rückfragen, Diskussion konkreter Praxisfälle. Nachteile: hoher organisatorischer und finanzieller Aufwand, schwer skalierbar, schwer regelmäßig auffrischbar. Live-Online-Schulung (Webinar) Vorteile: standortunabhängig, mit Diskussion und Q&A. Nachteile: feste Termine, weniger Flexibilität als E-Learning, die Aufmerksamkeit lässt online schneller nach. E-Learning Vorteile: zeit- und ortsunabhängig, beliebig wiederholbar, skalierbar auf große Teams, automatische Dokumentation in einem Learning Management System (LMS), einheitlicher Wissensstand über alle Standorte. Nachteile: weniger persönlicher Austausch, erfordert gut produzierte Inhalte, um nicht im „Durchklicken“ zu enden. Für die meisten Unternehmen ist ein Blended-Learning-Ansatz sinnvoll: E-Learning für die regelmäßige Grundunterweisung, ergänzt um Präsenz- oder Live-Online-Formate für Vertiefungen und Diskussionen mit dem Datenschutzbeauftragten. Wer darf eine DSGVO-Schulung durchführen? Die DSGVO macht hierzu keine Qualifikationsvorgaben. In der Praxis sollte die Schulung aber von fachlich qualifizierten Personen verantwortet werden, typischerweise: dem internen oder externen Datenschutzbeauftragten (sofern bestellt) spezialisierten Fachanwältinnen für IT-Recht und Datenschutz erfahrenen Datenschutzberatungen professionellen E-Learning-Anbietern mit juristisch geprüften Inhalten Wichtig: Der interne Datenschutzbeauftragte ist oft ein nebenbei weitergebildetes Teammitglied — und nicht zwingend auch ein guter Trainer. In dem Fall lohnt sich die Auslagerung an spezialisierte Anbieter, gerade bei der jährlichen Grundunterweisung. Wie dokumentiere ich die DSGVO-Schulung rechtssicher? Die Dokumentation ist der eigentliche Hebel im Audit- oder Bußgeldfall. Folgende Nachweise sollten Sie zu jeder DSGVO-Schulung sicher aufbewahren: Teilnehmendenliste mit Namen, Datum und Funktion Schulungsinhalte und vermittelte Themen (Curriculum, Folien, Modulinhalte) Lernerfolgskontrolle — etwa durch einen Abschlusstest Teilnahmezertifikate mit Datum und Schulungsumfang Schulungskonzept als Teil des Datenschutzmanagementsystems Bei E-Learning-Schulungen über ein LMS entstehen diese Nachweise automatisch — Teilnahmen, Quiz-Ergebnisse und Zertifikate werden zentral gespeichert und sind jederzeit auswertbar. Das vereinfacht den Nachweis gegenüber Aufsichtsbehörden erheblich. Worauf Sie bei der Auswahl eines DSGVO-konformen LMS achten sollten, lesen Sie in unserem Beitrag zu LMS und DSGVO. Wie Sie Ihre Trainingsprozesse insgesamt datenschutzkonform aufsetzen, beleuchten wir im Beitrag zur datenschutzkonformen Weiterbildung. Was ist 2026 neu bei DSGVO-Schulungen? Drei Entwicklungen prägen das Schulungsjahr 2026: 1. KI-Datenschutz wird zum Kernthema Generative KI-Tools wie ChatGPT, Microsoft Copilot oder Gemini sind in vielen Unternehmen längst Alltag — bringen aber neue Datenschutzrisiken mit sich. Mitarbeitende müssen lernen, welche Daten sie in KI-Tools eingeben dürfen und welche nicht. Eine moderne DSGVO-Schulung deckt das ausdrücklich ab. 2. KI-Verordnung (KI-VO) ergänzt die DSGVO Seit Februar 2025 schreibt die KI-VO eine KI-Kompetenzpflicht für Unternehmen vor (Art. 4 KI-VO). Wer KI-Systeme einsetzt, muss seine Beschäftigten entsprechend qualifizieren. Viele Unternehmen kombinieren DSGVO- und KI-Schulungen, um inhaltliche Synergien zu nutzen. 3. NIS2 verschärft die Anforderungen an Informationssicherheit Die NIS2-Richtlinie verpflichtet betroffene Unternehmen zu deutlich umfassenderen Maßnahmen im Bereich Cybersicherheit — inklusive verpflichtender Schulungen. Wer NIS2-pflichtig ist, sollte Datenschutz- und Cybersecurity-Awareness konsequent gemeinsam denken. Fazit und nächste Schritte Eine DSGVO-Schulung ist auch 2026 keine Kür, sondern faktisch Pflicht — und gleichzeitig eine der wirksamsten Maßnahmen, um Datenpannen, Bußgelder und Reputationsschäden zu vermeiden. Wer einmal jährlich strukturiert schult, anlassbezogen nachsteuert und die Teilnahme sauber dokumentiert, ist auf der sicheren Seite. Für die Umsetzung gilt: praxisnah, interaktiv und nachweisbar sind die drei wichtigsten Erfolgskriterien. Eine moderne, digitale Schulung über ein LMS spart organisatorischen Aufwand, sorgt für einen einheitlichen Wissensstand und liefert die nötigen Nachweise auf Knopfdruck. Mit reteach lässt sich genau das umsetzen: Fertige, laufend aktualisierte Kurse dazu finden Sie in den Compliance & Datenschutz Schulungen — direkt einsetzbar oder anpassbar an Ihr Unternehmen. Häufig gestellte Fragen Ist eine DSGVO-Schulung gesetzlich verpflichtend?Nicht ausdrücklich. Die Pflicht ergibt sich aber indirekt aus Art. 5 Abs. 2, Art. 32 und Art. 39 DSGVO. Im Verstoßfall werten Aufsichtsbehörden fehlende Schulungen als Versäumnis bei den technisch-organisatorischen Maßnahmen. Und das wirkt bußgelderhöhend. Wie oft müssen DSGVO-Schulungen wiederholt werden?Empfohlen wird ein jährlicher Turnus, ergänzt um anlassbezogene Schulungen bei Gesetzesänderungen, Datenpannen, Funktionswechseln oder der Einführung neuer Tools. Wer muss an einer DSGVO-Schulung teilnehmen?Alle Beschäftigten, die mit personenbezogenen Daten arbeiten, also in der Regel praktisch das gesamte Unternehmen. Auch Auszubildende, Werkstudierende und befristet Beschäftigte sind eingeschlossen. Was kostet eine DSGVO-Schulung?Die Kosten reichen von rund 15 Euro pro Person und Jahr bei standardisierten E-Learnings bis hin zu mehreren tausend Euro für eine Präsenzschulung mit Fachanwältin. Bei größeren Teams ist E-Learning meist die wirtschaftlichste Option. Wer darf eine DSGVO-Schulung durchführen?Es gibt keine gesetzliche Qualifikationsvorgabe. In der Praxis sind interne oder externe Datenschutzbeauftragte, Fachanwältinnen oder spezialisierte E-Learning-Anbieter geeignet. Wie lange dauert eine DSGVO-Schulung?Eine solide Grundschulung umfasst je nach Format 30 bis 90 Minuten. E-Learning-Module lassen sich oft in kürzere Einheiten von 15 bis 30 Minuten aufteilen, um die Aufmerksamkeit hochzuhalten. Reicht ein E-Learning aus oder muss es Präsenz sein?Ein gutes E-Learning genügt aus rechtlicher Sicht vollständig, sofern Inhalte und Lernerfolg dokumentiert werden. Wichtig ist die Qualität der Inhalte, nicht das Format. Wie weise ich der Aufsichtsbehörde nach, dass meine Mitarbeitenden geschult wurden?Über Teilnahmelisten, Schulungszertifikate, Quiz-Ergebnisse und ein dokumentiertes Schulungskonzept. Über ein LMS lassen sich diese Nachweise automatisch erstellen. Was passiert, wenn ich keine DSGVO-Schulungen durchführe?Im Verstoßfall droht ein deutlich höheres Bußgeld, weil fehlende Schulungen als Verletzung der Rechenschaftspflicht und der technisch-organisatorischen Maßnahmen gewertet werden. Außerdem steigt das Risiko von Datenpannen erheblich. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Kosten sparen mit digitaler Compliance Schulung für Mitarbeiter Digitale Compliance Schulungen sparen im Durchschnitt 69 % der Kosten und machen Ihr Unternehmen gleichzeitig rechts- und auditsicher. Erfahren Sie, wie Sie Pflichtschulungen effizienter gestalten und 69% Kosten senken können. EU-Entgelttransparenzrichtlinie 2026: Was jetzt auf HR und Unternehmen zukommt Excerpt (Textauszug): Die EU-Entgelttransparenzrichtlinie sollte bis 7. Juni 2026 in deutsches Recht umgesetzt sein – Deutschland verfehlt die Frist. Was das für Unternehmen bedeutet, welche Rolle das BAG-Urteil vom Oktober 2025 spielt und wie HR, Legal und Controlling jetzt strukturiert vorgehen. Compliance LMS Vergleich 2026: 8 Plattformen für Pflichtschulungen im DACH-Check Pflichtschulungen manuell verwalten kostet Zeit – und wird im Audit zum Risiko. Dieser Compliance LMS Vergleich zeigt, welche Plattform zu Ihrem Unternehmen passt: 8 Anbieter im DACH-Check, klar eingeordnet nach Zielgruppe, Funktionstiefe und Einsatzszenario. AGG-Schulung 2026: Sofort rechtssicher umsetzen Die AGG-Schulung wird 2026 wichtiger denn je: § 12 AGG, geplante Reform und Rekordzahlen bei Diskriminierungsfällen. So setzen Sie die Pflichten smart und rechtssicher im LMS um – inklusive Reform-Update.
Übersicht EU AI Act: Was Unternehmen 2026 wissen und tun müssen Erstellt am: 13. Mai 2026 Andreas Bersch Teilen auf: Wichtigste Erkenntnisse Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise bis 2028 anwendbar – das weltweit erste umfassende Gesetz zu Künstlicher Intelligenz. Vier Risikoklassen bestimmen die Pflichten: verboten, Hochrisiko, begrenztes Risiko, minimales Risiko. Je höher das Risiko, desto strenger die Anforderungen. Der Digital Omnibus (Mai 2026) verschiebt die vollen Hochrisiko-Pflichten auf den 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I). Andere Pflichten bleiben unverändert. Bußgelder bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes drohen bei Verstößen gegen die strengsten Pflichten. Das BSI ist in Deutschland zuständig. Die KI-Schulungspflicht nach Art. 4 gilt seit Februar 2025 – sie ist die einzige Pflicht, die aktuell für nahezu alle Unternehmen unmittelbar greift. Mit dem EU AI Act hat die Europäische Union als erste Region weltweit ein umfassendes Gesetz zur Künstlichen Intelligenz geschaffen. Seit dem 1. August 2024 ist es in Kraft – und betrifft praktisch jedes Unternehmen, das KI-Systeme einsetzt oder bereitstellt. Doch was steckt genau drin? Welche Pflichten gelten wann? Und was hat der Digital Omnibus vom Mai 2026 daran geändert? Dieser Leitfaden gibt einen vollständigen Überblick über den EU AI Act 2026 – inklusive aller Risikoklassen, Stichtage, Sanktionen und konkreten Handlungsempfehlungen für Unternehmen. Inhalt 1. Was ist der EU AI Act?2. Wer ist vom EU AI Act betroffen?3. Welche Risikoklassen unterscheidet der EU AI Act?4. Welche Pflichten gelten ab wann?5. Welche Strafen drohen und wer prüft die Einhaltung?6. Was müssen Unternehmen jetzt tun?7. Wie unterstützt ein LMS bei der EU AI Act-Umsetzung?8. Fazit & Nächste Schritte9. Häufige Fragen 1. Was ist der EU AI Act? Der EU AI Act ist die Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz in der Europäischen Union. Auch bekannt als KI-Verordnung oder AI Act, ist er das weltweit erste umfassende Gesetz seiner Art und verfolgt drei zentrale Ziele: Schutz der Grundrechte, Gesundheit und Sicherheit der Menschen in der EU Förderung vertrauenswürdiger und transparenter KI Sicherstellung eines funktionierenden Binnenmarkts für KI-Anwendungen Der EU AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko, das von einer KI-Anwendung ausgeht, desto strenger sind die Anforderungen. Damit unterscheidet er sich grundlegend von technologieneutralen Regulierungen wie der DSGVO. Wichtig zu wissen: Der EU AI Act gilt extraterritorial. Auch Unternehmen außerhalb der EU müssen ihn einhalten, wenn ihre KI-Systeme in der EU genutzt werden oder ihre Ausgaben dort verwendet werden. 2. Wer ist vom EU AI Act betroffen? Der EU AI Act unterscheidet vier Rollen, die jeweils eigene Pflichten haben: Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen in Verkehr bringen Betreiber (Deployer): Unternehmen, die KI-Systeme in ihrer beruflichen Tätigkeit einsetzen Importeure und Händler: Unternehmen, die KI-Systeme aus Drittländern in die EU bringen oder weitergeben In der Praxis sind die meisten Unternehmen Betreiber – etwa wenn sie ChatGPT, Microsoft Copilot oder andere KI-Tools im Arbeitsalltag nutzen. Achtung: Wer ein bestehendes KI-System wesentlich verändert oder für einen neuen Zweck einsetzt, kann automatisch zum Anbieter werden – mit deutlich umfangreicheren Pflichten. Gilt der EU AI Act auch für kleine Unternehmen? Ja. Der EU AI Act sieht keine generelle Ausnahme für KMU oder Startups vor. Artikel 62 enthält allerdings Erleichterungen: reduzierte Bußgelder, vereinfachte Dokumentationsanforderungen und bevorzugten Zugang zu KI-Sandbox-Umgebungen. 3. Welche Risikoklassen unterscheidet der EU AI Act? Das Herzstück des EU AI Act ist die vierstufige Risikoklassifizierung. Je höher das Risiko, desto strenger die Anforderungen: Verbotene KI-Praktiken (Art. 5) Diese KI-Anwendungen sind seit dem 2. Februar 2025 EU-weit untersagt. Dazu zählen: Social Scoring durch staatliche Stellen Manipulative KI, die das Verhalten von Menschen ohne deren Wissen beeinflusst Biometrische Echtzeit-Fernüberwachung im öffentlichen Raum (mit engen Ausnahmen) Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen Ungezielte Auswertung biometrischer Daten zur Erstellung von Gesichtsdatenbanken KI-Apps zur Erstellung nicht-einvernehmlicher intimer Inhalte (durch den Digital Omnibus 2026 ergänzt) Hochrisiko-KI-Systeme Diese Systeme sind grundsätzlich zulässig, unterliegen aber einem umfangreichen Pflichtenkatalog: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Datenqualitätsstandards. Sie sind in zwei Anhängen geregelt: Anhang III (eigenständige Hochrisiko-Systeme): Biometrie und Emotionserkennung Kritische Infrastruktur (Energie, Wasser, Verkehr) Bildung und Berufsausbildung Personalwesen (Bewerberauswahl, Leistungsbeurteilung, Beförderung) Kreditvergabe und Versicherungen Strafverfolgung, Migration und Justiz Anhang I (KI als Sicherheitskomponente in regulierten Produkten): Medizinprodukte Aufzüge, Spielzeug Maschinen und Fahrzeuge Sonstige Produkte mit EU-Konformitätsbewertung Im HR-Bereich sind viele KI-Anwendungen hochrisiko-relevant. Eine Vertiefung mit konkreten Schulungsanforderungen liefert unser Artikel zur KI-Schulungspflicht nach Art. 4 EU AI Act. Begrenztes Risiko (Art. 50) Diese Kategorie umfasst KI-Systeme mit Transparenzpflichten – ab dem 2. August 2026 EU-weit verbindlich: Chatbots müssen offenlegen, dass es sich um KI handelt KI-generierte Inhalte (Text, Bild, Audio, Video) müssen gekennzeichnet werden Deepfakes sind verpflichtend als solche zu markieren Minimales Risiko Spam-Filter, KI-gestützte Empfehlungssysteme oder einfache Automatisierungen fallen in diese Klasse. Hier gelten keine spezifischen Pflichten – lediglich freiwillige Verhaltenskodizes. 4. Welche Pflichten gelten ab wann? Der EU AI Act wird stufenweise anwendbar. Hier die aktualisierte Timeline nach dem Digital Omnibus (politische Einigung vom 7. Mai 2026): DatumWas tritt in Kraft?1. August 2024Verordnung tritt formal in Kraft2. Februar 2025Verbot bestimmter KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4)2. August 2025Governance-Regeln + Pflichten für GPAI-Modelle2. August 2026Transparenzpflichten (Art. 50) für Chatbots, KI-Inhalte, Deepfakes2. Dezember 2027Hochrisiko-Pflichten nach Anhang III (durch Digital Omnibus verschoben von 8/2026)2. August 2028Hochrisiko-Pflichten nach Anhang I (durch Digital Omnibus verschoben von 8/2027) Was hat der Digital Omnibus geändert? Am 7. Mai 2026 hat sich die EU im Rahmen des Digital Omnibus politisch geeinigt, die Anwendbarkeit der Hochrisiko-Pflichten zu verschieben. Hintergrund: Harmonisierte Normen, technische Standards und Konformitätsverfahren waren noch nicht ausreichend verfügbar. Die Verschiebung gilt nur für Hochrisiko-Anforderungen – Art. 4 (KI-Kompetenz), Art. 5 (Verbote) und Art. 50 (Transparenz) bleiben unverändert in Kraft. 5. Welche Strafen drohen und wer prüft die Einhaltung? Der EU AI Act sieht abgestufte Sanktionen je nach Pflichtverletzung vor: Verbotene KI-Praktiken: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes Verstöße gegen Hochrisiko-Anforderungen: bis zu 15 Mio. Euro oder 3 % des Umsatzes Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1 % des Umsatzes Für KMU und Startups gilt jeweils der niedrigere Wert (Festbetrag oder Prozent). KI-MIG: Das deutsche Durchführungsgesetz Mit dem KI-Maßnahmen- und Innovationsgesetz (KI-MIG) hat das Bundeskabinett im Februar 2026 das deutsche Durchführungsgesetz zum EU AI Act beschlossen. Es regelt vor allem die nationale Marktüberwachung und konkretisiert Sanktionsmöglichkeiten. BSI als nationale Aufsichtsbehörde In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Durchsetzung des EU AI Act. Ab August 2026 ist mit aktiven Prüfungen zu rechnen – auch wenn die vollständige Hochrisiko-Aufsicht erst mit den verschobenen Stichtagen 2027/2028 anläuft. Zivilrechtliche Risiken Neben Bußgeldern drohen zivilrechtliche Haftungsrisiken: Wer durch eine fehlerhafte oder vorschriftswidrige KI geschädigt wird, kann Schadensersatz geltend machen. Seit März 2026 erfasst die EU-Produkthaftungsrichtlinie ausdrücklich auch KI-Systeme. Für die Geschäftsführung bedeutet das: Verstöße gegen den EU AI Act können als Verletzung der Sorgfaltspflichten der Geschäftsleitung zur persönlichen Haftung führen. 6. Was müssen Unternehmen jetzt tun? Auch wenn ein Großteil der Hochrisiko-Pflichten erst Ende 2027 greift: Vorbereitungen müssen jetzt starten. Eine Konformitätsbewertung dauert erfahrungsgemäß drei bis sechs Monate. Wer Mitte 2027 noch nicht begonnen hat, schafft die Frist kaum. Ein praxistauglicher Umsetzungsplan in fünf Schritten: 1) KI-Inventar erstellen Welche KI-Systeme sind im Unternehmen im Einsatz – offiziell und inoffiziell? Wer ist verantwortlich? Welche Daten werden verarbeitet? Dieses Inventar bildet die Grundlage für alle weiteren Schritte und sollte innerhalb weniger Wochen stehen. 2) Risikoklassifizierung Jedes System wird gegen Anhang III geprüft. Wichtig: Auch wenn das Ergebnis „kein Hochrisiko“ lautet, muss diese Bewertung dokumentiert werden (Art. 6 Abs. 3). 3) KI-Kompetenz aufbauen (Art. 4) Die KI-Schulungspflicht ist seit Februar 2025 verbindlich und greift für alle Unternehmen, die KI nutzen – unabhängig von Größe oder Branche. Eine ausführliche Anleitung zur Umsetzung finden Sie in unserem Artikel zur KI-Schulungspflicht. 4) Governance-Strukturen aufbauen Risikomanagementsystem, Verantwortlichkeiten, Dokumentationsrahmen: Diese Strukturen müssen für Hochrisiko-KI-Systeme bereits bis August 2026 stehen – auch wenn die Volldurchsetzung erst 2027 kommt. Wer diese Grundlagen jetzt nicht legt, wird die verschobenen Stichtage nicht ohne Compliance-Risiken erreichen. 5) Dokumentation aufsetzen Standardisierte Informationsblätter für jedes KI-System, technische Dokumentation, Schulungsnachweise: Audit-Sicherheit entsteht durch konsequente Dokumentation. Eine Lernplattform mit revisionssicherer Dokumentation deckt den Schulungs- und Nachweis-Teil zentral ab. Parallel: Weitere EU-Compliance-Anforderungen Der EU AI Act ist nicht die einzige neue Regulierung, die HR- und Compliance-Verantwortliche 2026 fordert. Parallel greifen weitere Vorgaben wie die EU-Entgelttransparenzrichtlinie und die NIS2-Schulungspflicht für IT-Sicherheit. Eine integrierte Compliance-Strategie macht die Umsetzung deutlich effizienter. 7. Wie unterstützt ein LMS bei der EU AI Act-Umsetzung? Ein Learning Management System (LMS) wie reteach unterstützt Unternehmen an mehreren Stellen der EU AI Act-Compliance: KI-Schulungspflicht nach Art. 4: Pflichtkurse für alle Mitarbeitenden, automatisierte Zuweisung nach Rolle und Abteilung Vertiefte Schulungen für Hochrisiko-Bereiche: Spezialkurse für HR, Recruiting, Compliance und Geschäftsführung Revisionssichere Dokumentation: Kursabschlüsse, Zertifikate und Wiederholungsfristen zentral und auditkonform Integrierte Compliance-Schulungen: Datenschutz, NIS2, Arbeitsschutz und KI-Pflichten in einer Plattform Automatisierte Wiederholungen: Zertifikate mit Ablaufdatum, Erinnerungen, Eskalationen So lassen sich KI-Kompetenz, digitale Compliance-Schulungen und andere Pflichtschulungen mit deutlich weniger Aufwand für HR und Compliance managen. 8. Fazit & Nächste Schritte Der EU AI Act ist die umfangreichste KI-Regulierung weltweit – und für Unternehmen in der EU keine Frage des „ob“, sondern des „wann“. Auch wenn der Digital Omnibus die Hochrisiko-Pflichten auf 2027/2028 verschoben hat: Die KI-Schulungspflicht nach Art. 4 gilt unverändert seit Februar 2025, die Transparenzpflichten greifen ab August 2026, und das BSI nimmt seine Aufsicht spätestens dann aktiv auf. Wer jetzt mit dem KI-Inventar, der Risikoklassifizierung und der Schulung seiner Mitarbeitenden beginnt, schafft die Grundlage für eine strukturierte Compliance bis zu den nächsten Stichtagen – und stärkt gleichzeitig die digitale Kompetenz im Unternehmen. Sie möchten konkret in die Umsetzung starten? Sichern Sie sich unser kostenloses Whitepaper zur KI-Schulungspflicht – mit Risikoklassen-Übersicht, Umsetzungsplan und weiterführenden Informationen. Whitepaper herunterladen Häufig gestellte Fragen Was ist der EU AI Act?Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zu Künstlicher Intelligenz. Er reguliert die Entwicklung und den Einsatz von KI-Systemen in der EU nach einem risikobasierten Ansatz – je höher das Risiko, desto strenger die Pflichten. Seit wann gilt der EU AI Act?Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die Pflichten werden stufenweise anwendbar: Verbotene Praktiken und die KI-Kompetenzpflicht seit Februar 2025, GPAI-Regeln seit August 2025, Transparenzpflichten ab August 2026 und die Hochrisiko-Anforderungen ab Dezember 2027. Wurde der EU AI Act 2026 verschoben?Teilweise. Der Digital Omnibus vom 7. Mai 2026 hat die Hochrisiko-Pflichten verschoben: für Anhang-III-Systeme auf den 2. Dezember 2027, für Anhang-I-Systeme auf den 2. August 2028. Die KI-Kompetenzpflicht (Art. 4), die Verbote (Art. 5) und die Transparenzpflichten (Art. 50) bleiben unverändert. Wer ist vom EU AI Act betroffen?Der EU AI Act betrifft alle Unternehmen, die KI-Systeme entwickeln (Anbieter) oder einsetzen (Betreiber). In der Praxis ist nahezu jedes Unternehmen Betreiber – sobald Mitarbeitende ChatGPT, Copilot oder andere KI-Tools beruflich nutzen. KMU sind nicht ausgenommen, profitieren aber von Erleichterungen. Was sind Hochrisiko-KI-Systeme nach EU AI Act?Hochrisiko-Systeme sind KI-Anwendungen in sensiblen Bereichen wie Personalwesen, Kreditvergabe, kritischer Infrastruktur, Bildung, Strafverfolgung oder Justiz. Sie unterliegen den strengsten Anforderungen: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Datenqualitätsstandards. Wie hoch sind die Bußgelder nach EU AI Act?Die Strafen sind abgestuft: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. Euro oder 3 % bei Hochrisiko-Verstößen, bis zu 7,5 Mio. Euro oder 1 % bei falschen Angaben gegenüber Behörden. Für KMU gilt jeweils der niedrigere Wert. Wer kontrolliert den EU AI Act in Deutschland?In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufsicht. Grundlage ist das im Februar 2026 beschlossene KI-Maßnahmen- und Innovationsgesetz (KI-MIG). Mit aktiven Prüfungen ist ab August 2026 zu rechnen. Müssen wir wegen ChatGPT-Nutzung KI-Schulungen durchführen?Ja. Sobald Mitarbeitende ChatGPT, Copilot oder andere KI-Tools beruflich nutzen, greift die KI-Schulungspflicht nach Art. 4 EU AI Act. Sie verlangt, dass alle damit arbeitenden Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Details und Umsetzungshilfen finden Sie in unserem Artikel zur KI-Schulungspflicht. vorheriger Artikel nächster Artikel Teilen auf: Das könnte außerdem für Sie interessant sein: Compliance LMS Vergleich 2026: 8 Plattformen für Pflichtschulungen im DACH-Check Pflichtschulungen manuell verwalten kostet Zeit – und wird im Audit zum Risiko. Dieser Compliance LMS Vergleich zeigt, welche Plattform zu Ihrem Unternehmen passt: 8 Anbieter im DACH-Check, klar eingeordnet nach Zielgruppe, Funktionstiefe und Einsatzszenario. AGG-Schulung 2026: Sofort rechtssicher umsetzen Die AGG-Schulung wird 2026 wichtiger denn je: § 12 AGG, geplante Reform und Rekordzahlen bei Diskriminierungsfällen. So setzen Sie die Pflichten smart und rechtssicher im LMS um – inklusive Reform-Update. Phishing-Schulung: Mitarbeitende für Social Engineering und CEO Fraud sensibilisieren Phishing, Social Engineering und CEO Fraud sind 2026 die wichtigsten Einfallstore für Cyberangriffe. So sensibilisieren Sie Ihre Mitarbeitenden wirksam – mit einer kontinuierlichen Phishing-Schulung im LMS. Kosten und Zeit sparen mit digitalen Unterweisungen – und trotzdem rechtssicher bleiben Unternehmen, die Zeit einsparen und Nerven schonen möchte, sollten sich mit der Automatisierung von Unterweisungen und Compliance durch Software befassen. Denn nicht nur können die zuständigen Mitarbeiter mit anderen Aufgaben als der Verwaltung von Listen betraut werden – es können bis zu 90% der Kosten für Schulungen eingespart werden.