Themen Allgemein

Unterweisung IT-Sicherheit: DSGVO-konform & praxisnah für alle Mitarbeitenden

Rechtssicher · Barrierefrei · Mit Zertifikat

Demo buchen Kostenlos testen
UWC-Nr. 5500 17 Min Lerndauer

In kaum einem Unternehmensbereich steigt das Risiko so schnell wie in der IT: Jeder Klick, jedes Passwort und jede E-Mail kann zur Eintrittspforte für Cyber-Angriffe werden. Unterweisungen zur IT-Sicherheit sind deshalb längst keine „Nice-to-have“-Schulung mehr, sondern eine zwingende arbeits- und datenschutzrechtliche Pflicht. Sie schützen nicht nur personenbezogene Daten gemäß DSGVO, sondern sichern die gesamte digitale Infrastruktur vor Ausfällen, Erpressung und Imageschäden. Diese Seite zeigt Ihnen, welche konkreten gesetzlichen Vorgaben Arbeitgeber einhalten müssen, welche Inhalte eine wirksame Unterweisung abdeckt und wie Sie den Schulungsaufwand mit einer digitalen Lösung effizient und dokumentationssicher umsetzen.

Warum Unterweisungscenter?

Barrierefrei

WCAG 2.2 AA

Mehrsprachig

DE, EN, FR u.a.

Zertifikat

Automatisch als PDF

Ein-Klick

Keine Registrierung

KISS

Kurz und bündig

Rechtssicher

ArbSchG-konform

⚖️ Rechtliche Grundlagen

Die IT-Sicherheit von Beschäftigten ist nicht nur ein technisches Thema, sondern in mehreren Regelwerken verankert:

  • ArbSchG § 4 (Gefährdungsbeurteilung): Arbeitgeber müssen auch psychische und informationstechnische Belastungen erfassen, bewerten und geeignete Schutzmaßnahmen festlegen.
  • ArbSchG § 12 (Unterweisungspflicht): „Der Arbeitgeber hat die Beschäftigten über Gefährdungen und Schutzmaßnahmen schriftlich und leicht verständlich zu unterweisen.“ Dazu zählt ausdrücklich der richtige Umgang mit IT-Systemen und sensiblen Daten.
  • BetrSichV § 3: Betriebsmittel (u. a. Software, Netzwerkkomponenten und mobile Endgeräte) sind regelmäßig zu prüfen; die dafür erforderlichen Kenntnisse müssen durch Unterweisung vermittelt werden.
  • DGUV Vorschrift 2 (Unfallverhütungsvorschrift „Allgemeine Vorschrifgen“) § 4: „Der Unternehmer hat dafür zu sorgen, dass die Beschäftigten die erforderlichen Kenntnisse und Fertigkeiten für die sichere Ausführung der Arbeiten besitzen.“
  • DGUV Regel 100-001 (Bewegtbildschirm-Arbeitsplätze) Nr. 5.5: Die Unterweisung muss Datenschutz und Datensicherheit einschließen, soweit diese Aspekte die sichere Tätigkeit beeinflussen.
  • DSGVO Art. 32 (Technische und organisatorische Maßnahmen): „Der für die Verarbeitung Verantwortliche … trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Dazu gehört die Sensibilisierung und Schulung des Personals.

📋 Pflichten des Arbeitgebers

Die rechtlichen Pflichten lassen sich auf drei zentrale Handlungsfelder reduzieren:

  • 1. Gefährdungsbeurteilung (ArbSchG § 4): Identifizieren Sie IT-spezifische Risiken wie Phishing, Passwort-Diebstahl, unverschlüsselte Datenträger oder unsicheres WLAN. Dokumentieren Sie konkrete Schutzziele und Gegenmaßnahmen.
  • 2. Unterweisung und Nachschulung (ArbSchG § 12, DGUV Vorschrift 2 § 4): Jeder Mitarbeitende – egal ob Büro, Produktion oder Homeoffice – muss vor Aufnahme der Tätigkeit und mindestens einmal jährlich unterrichtet werden. Auch externe Dienstleister fallen unter diese Pflicht, wenn sie Zugriff auf Ihre Systeme erhalten.
  • 3. Nachweis und Dokumentation: Protokollieren Sie Datum, Inhalt, Teilnehmende und Dauer der Schulung. Die Nachweise sind mindestens drei Jahre aufzubewahren (DGUV Vorschrift 2 § 4, ArbSchG § 6a). Elektronische Signaturen oder qualifizierte Zertifikate digitaler Schulungsplattformen erfüllen diese Anforderung vollständig.

📘 Inhalte der Unterweisung

Unsere Online-Unterweisung „5500 IT Sicherheit“ gliedert sich in sechs praxisorientierte Module, die in 25–30 Minuten abgearbeitet werden können und sofort umsetzbare Handlungsanleitungen liefern:

1. Rechtsüberblick DSGVO & IT-Sicherheitsgesetz

Die Teilnehmenden erhalten eine kompakte Einführung in DSGVO Art. 5, 6, 9 und 32, das IT-Sicherheitsgesetz 2.0 sowie das Telemediengesetz (TMG). Anhand von Beispielszenarien wird erklärt, welche Datenarten besonders schützenswert sind und welche Bußgelder bei Verstößen drohen (bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes).

2. Passwort- und Zugangsmanagement

Passwortrichtlinien nach BSI-Standard (mind. 12 Zeichen, vier Zeichenklassen, regelmäßige Änderung) werden Schritt für Schritt vorgeführt. Praxis-Beispiel: Ein Mitarbeitender erhält ein phishing-ähnliches Passwort-Reset-Mail. Die Schulung zeigt, wie Multi-Faktor-Authentifizierung (MFA) und Passwort-Manager helfen, Schaden zu vermeiden.

3. Phishing, Social Engineering & Betrugserkennung

Live-Demo der häufigsten Angriffsvektoren: CEO-Fraud, Fake-Support, USB-Drop-Attacks. Die Teilnehmenden üben, verdächtige E-Mails anhand von Header-Analyse und QR-Code-Prüfung zu identifizieren und den internen IT-Security-Channel richtig zu nutzen.

4. Sichere Nutzung von Cloud & Mobile Devices

Checklisten für BYOD-Richtlinien, Verschlüsselung sensibler Daten auf USB-Sticks und Cloud-Speicher sowie sicheres Arbeiten im Homeoffice (VPN, getrennte Netze für IoT-Geräte). Ein interaktiver Rechner zeigt, wie groß der Unterschied zwischen „privat“ und „geschäftlich“ wirklich ist.

5. Datenschutz im Alltag

Von der Pseudonymisierung von Kundendaten bis zur Löschkonzept-Umsetzung: Die Kursteilnehmenden erlernen, personenbezogene Daten nach dem Prinzip „Datenvermeidung und ‑sparsamkeit“ (DSGVO Art. 5 Abs. 1 c) zu behandeln. Typische Fallstricke wie unverschlüsselte Excel-Exporte oder „Reply-to-All“ mit Kundenlisten werden aufgearbeitet.

6. Notfallmanagement & Reporting

Was tun beim Verdacht auf Datenpannen? Die Schulung erklärt die 72-Stunden-Meldepflicht an die Aufsichtsbehörde (DSGVO Art. 33) und die interne Eskalationskette. Ein kurzer Selbsttest am Ende jeder Lektion sichert den Wissenstransfer und liefert automatisch das gesetzlich geforderte Unterweisungs-Zertifikat.

⚠️ Gefährdungen & Schutzmaßnahmen

Typische IT-Gefährdungen im Betrieb

  • Phishing-E-Mails mit Schadcode (Ransomware)
  • Schwache oder wiederverwendete Passwörter
  • Unverschlüsselte mobile Datenträger (USB, externe Festplatten)
  • Offene WLAN-Netze im Homeoffice
  • Ungepatchte Software und veraltete Browser

TOP-Prinzip: Technik – Organisation – Person

  • Technik: Firewalls, E-Mail-Gateway mit Sandboxing, automatische Patch-Management-Lösungen
  • Organisation: Regelmäßige Sicherheitsaudits, klar definierte BYOD-Richtlinien, zentrales Identity-Management
  • Person: Jährliche Online-Unterweisung, simulierte Phishing-Tests, Security-Champions in jeder Abteilung

🎯 Zielgruppen & Branchen

Die Online-Schulung richtet sich an alle Beschäftigten mit IT-Zugang – unabhängig von Branche oder Funktion. Besonders relevant sind:

  • Gesundheitswesen (hoher Schutz patientenbezogener Daten)
  • Finanz- und Versicherungsdienstleister (BaFin-Anforderungen)
  • Öffentliche Verwaltung (IT-SiG 2.0, BSI-Grundschutz)
  • Logistik & Handel (viele mobile Endgeräte, Lieferketten-Attacken)

📅 Intervalle & Dokumentation

Regelmäßigkeit: Erstunterweisung vor Aufnahme der Tätigkeit, anschließend mindestens jährlich oder bei wesentlichen Änderungen (neue Software, Homeoffice-Pflicht, Security-Zwischenfälle). Für Dienstleister und Praktikanten gilt die gleiche Stichtagsregelung.

Dokumentation: Name, Datum, Schulungsinhalte, Präsenz- oder Online-Zertifikat. Digitale Lösungen erzeugen revisionssichere PDF-Zertifikate und CSV-Listen für das Betriebs- und Datenschutztagebuch. Aufbewahrungsfrist: 3 Jahre nach Beendigung des Beschäftigungsverhältnisses (ArbSchG § 6a).

🛠️ In der Praxis

Checkliste

  • ☐ Gefährdungsbeurteilung IT-Sicherheit liegt vor und wurde unterschrieben
  • ☐ Alle Beschäftigten haben vor Arbeitsaufnahme die Online-Schulung „5500 IT Sicherheit“ abgeschlossen
  • ☐ Passwortrichtlinie (BSI-Standard) ist dokumentiert und kommuniziert
  • ☐ MFA für alle Cloud- und VPN-Zugänge aktiv
  • ☐ Homeoffice-Policy inkl. Verschlüsselung und VPN-Nutzung veröffentlicht
  • ☐ Protokoll zur jährlichen Nachschulung liegt vor (mind. 30 Min.)
  • ☐ Eskalationsplan bei Verdacht auf Datenpanne hängt am Schwarzen Brett & Intranet
  • ☐ Nachweise der Unterweisung 3-jährig revisionssicher archiviert

⚠️ Häufige Fehler

1. „Unsere IT-Abteilung kümmert sich darum“

Sicherheit ist eine Aufgabe jedes Einzelnen. Ohne Schulung bleiben 90 % der Angriffsvektoren offen, weil Mitarbeitende Phishing-Mails nicht erkennen.

2. Nur einmalig bei Einstellung schulen

Attackstechniken entwickeln sich laufend. Jährliche Nachschulungen sind gesetzlich zwingend und erhöhen die Wiedererkennungsrate deutlich.

3. Schulung auf Reaktion statt Prävention fokussieren

Wenn nur erklärt wird, „was bei einem Angriff zu tun ist“, verpasst man die wichtigste Lektion: Wie man den Angriff von vornherein verhindert.

4. Papierlisten statt digitaler Nachweis

Handschriftliche Unterschriften sind oft unleserlich und gehen verloren. Digitale Zertifikate sind revisionssicher und lassen sich sekundenschnell auswerten.

5. Externe Mitarbeiter vergessen

Werden Dienstleister, Praktikanten oder Leiharbeitnehmer nicht geschult, entsteht eine Haftungslücke, die im Schadensfall teuer wird.

ℹ️ Sonderfälle

Homeoffice & mobile Mitarbeitende

Pendler, Außendienstmitarbeiter und komplett im Homeoffice tätige Personen benötigen dieselbe Schulung – lediglich der Praxisanteil wird auf BYOD-Richtlinien und sichere WLAN-Nutzung fokussiert.

Führungskräfte & Datenschutzbeauftragte

Managers erhalten eine erweiterte Version mit Modulen zu Verantwortlichkeit nach DSGVO Art. 24 und Incident-Response-Koordination.

💬 Häufige Fragen

Häufige Fragen zur IT-Sicherheits-Unterweisung

Wie lange dauert die Online-Unterweisung „5500 IT Sicherheit“?

Die durchschnittliche Bearbeitungszeit beträgt 25–30 Minuten. Das Modul ist in kurze, interaktive Lektionen unterteilt, sodass es sich flexibel in den Arbeitstag integrieren lässt.

Muss ich die Schulung wiederholen, wenn ich die Abteilung wechsle?

Eine neue Unterweisung ist nur erforderlich, wenn sich die IT-Risiken wesentlich ändern (z. B. Wechsel auf eine Cloud-first-Strategie oder Zugriff auf besonders sensible Patientendaten). Die jährliche Nachschulung bleibt bestehen.

Welche Nachweise erfüllen die Aufsichtsbehörden?

Digitale Zertifikate mit qualifizierter Signatur und verschlüsseltem QR-Code gelten in allen EU-Mitgliedsstaaten als vollwertiger Nachweis (§ 6a ArbSchG, Art. 32 DSGVO).

Können externe Dienstleister die Schulung nutzen?

Ja, Sie erhalten einen separaten Zugangslink, der nur die für sie relevanten Inhalte zeigt. Kosten und Dokumentation werden dem Auftraggeber in Rechnung gestellt.

Gibt es eine Testversion?

Sie können die komplette Unterweisung 14 Tage kostenlos testen – inklusive Auswertung und Zertifikatsdruck.

Wie wird der Schulungsstand ausgewertet?

Ein Live-Dashboard zeigt Echtzeit-Statistiken: Abschlussrate, durchschnittliche Fehlerquoten pro Frage, Abteilungsvergleiche. CSV-Export für Excel und HR-Systeme ist integriert.

Was passiert bei einer Datenpanne trotz Schulung?

Das Zertifikat belegt den Schulungsstand und mindert Organisationshaftung. Zusätzlich dokumentiert der Eskalationsplan die korrekte Reaktion (72-Stunden-Meldung, Betroffeneninformation).

Ist die Schulung barrierefrei?

Ja, alle Inhalte erfüllen die WCAG-2.1-AA-Richtlinien (Videountertitel, Barrierefrei-Modus, Screenreader-Kompatibilität).

📚 Ähnliche Unterweisungen

UWC-78028

4001M Erstunterweisung Medial

AllgemeinArbeitsschutz
UWC-76263

5010M Die Führungskraft im Arbeitsschutz Rechte | Pflichten | Haftungen

ArbeitsschutzNeu
UWC-4006

Alkohol, Rauchen, Drogen und Medikamente

AllgemeinArbeitsschutz
UWC-5003

Allgemeines Gleichbehandlungsgesetz (AGG)

AllgemeinRechtliches

Jetzt rechtssicher online unterweisen

Sparen Sie Zeit und Papier: Mit der digitalen Unterweisung „5500 IT Sicherheit“ schulen Sie alle Mitarbeitenden DSGVO-konform und automatisiert. Sofortiges Zertifikat, revisionssichere Dokumentation und 14 Tage kostenlos testen.

Kostenlos testen Beratung anfordern