Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →

Kostenloser Schulungspflicht Rechner Compliance

Schulungspflicht Rechner Compliance: Jetzt Pflichten ermitteln

Der Schulungs-Pflichtrechner ermittelt in 3 Minuten, welche Compliance-Schulungen für Ihr Unternehmen gesetzlich vorgeschrieben sind. Sie prüfen AI Act, DSGVO, NIS2, DORA und HinSchG in einem Ablauf und sehen sofort, welche Rollen, Fristen und Schulungskosten Sie einplanen sollten.

Letzte Aktualisierung: 24. März 2026Rechtsgrundlagen: AI Act Art. 4, DSGVO Art. 39, NIS2 Art. 20, DORA Art. 13, HinSchG

Der Rechner ist auf typische Compliance-Fälle im Mittelstand ausgelegt. Er priorisiert Pflichtschulungen, wenn beruflicher KI-Einsatz, sensible Branchen, eine interne Meldestelle oder erhöhte Cyber-Anforderungen zusammenkommen. Für die Einordnung von KI-Kompetenz verweist die Seite auf Art. 4 EU-VO 2024/1689, für Datenschutz auf DSGVO Art. 39 und für Finanzunternehmen auf DORA Art. 13.

Interaktives Tool

Pflichtschulungen in wenigen Eingaben einordnen

Der Rechner liefert eine belastbare Erstorientierung für AI Act, DSGVO, NIS2, DORA und HinSchG. Die Ausgabe ersetzt keine Einzelfallprüfung, zeigt aber sofort, welche Schulungsblöcke Sie im Jahresplan priorisieren sollten.

Beratung, Agenturen, Kanzleien, allgemeine Büroarbeit

Die Mitarbeiterzahl steuert insbesondere HinSchG- und NIS2-nahe Organisationspflichten sowie die Kostenschätzung.

KI-Einsatz

Sobald ein beruflicher KI-Einsatz vorliegt, wird Art. 4 EU-VO 2024/1689 für die betroffenen Rollen relevant.

Datenschutzbeauftragter vorhanden?
IT-Sicherheitsbeauftragter vorhanden?
KRITIS-Betreiber?

Schulungspflichten nach Regulierung und Rolle

Die Tabelle priorisiert Pflichtfelder, Zielgruppen und Umsetzungsfristen. Nicht aktivierte Zeilen bleiben sichtbar, damit Sie Grenzfälle intern schnell nachprüfen können.

SchulungspflichtRechtsgrundlageWer muss geschult werdenFrist
KI-Kompetenz-SchulungDerzeit nicht aktiv

Ohne beruflichen KI-Einsatz wird Art. 4 im Tool nicht als aktive Pflicht ausgelöst.

Art. 4 EU-VO 2024/1689Mitarbeitende und Führungskräfte, die KI-Systeme beruflich einsetzen, steuern oder freigebenSeit 2. Februar 2025 vor produktivem Einsatz und bei Tool- oder Prozessänderungen
Datenschutz-SchulungAktiv

Datenschutz-Schulungen bleiben erforderlich; ohne Datenschutzbeauftragten muss die Organisation intern klar zugewiesen werden.

Art. 39 DSGVOAlle Mitarbeitenden mit Datenbezug; mangels Datenschutzbeauftragtem organisiert durch Geschäftsführung oder DatenschutzkoordinationBei Eintritt, Rollenwechsel und regelmäßig im Jahresplan
Cybersecurity-SchulungDerzeit nicht aktiv

Im Tool wird NIS2 nur bei KRITIS-Nähe oder bei größerer Organisation in relevanten Branchen aktiviert.

Art. 20 NIS2Leitungsorgan, IT-Verantwortliche und benannte Sicherheitsansprechpartner; fehlende IT-Sicherheitsrolle erhöht den UmsetzungsbedarfVor Übernahme kritischer Rollen und anschließend regelmäßig dokumentiert
IKT-SchulungDerzeit nicht aktiv

DORA wird nur für Unternehmen des Finanzsektors als aktive Pflicht berücksichtigt.

Art. 13 DORABeschäftigte und Leitung im Finanzsektor mit Bezug zu IKT, Resilienz und AuslagerungssteuerungFortlaufend als Pflichtmodul im Schulungsprogramm des Finanzunternehmens
Meldestellen-SchulungDerzeit nicht aktiv

Unterhalb von 50 Mitarbeitenden löst das Tool keine reguläre Meldestellen-Schulungspflicht aus.

HinSchGInterne Meldestelle, HR, Compliance, Führungskräfte und Personen mit FallbearbeitungVor Start der internen Meldestelle und bei Verfahrensänderungen

Welche Schulungen sind gesetzlich Pflicht?

Pflichtschulungen entstehen aus mehreren Regelwerken gleichzeitig. Sobald Mitarbeitende beruflich mit KI arbeiten, verlangt Art. 4 des AI Act ein angemessenes Niveau an KI-Kompetenz. Unabhängig davon bleibt Datenschutz-Schulung ein Dauerpflichtfeld, weil Unternehmen bei Verarbeitung personenbezogener Daten nachweisen müssen, dass Zuständigkeiten, Verhaltensregeln und Meldewege verstanden wurden.

Der Schulungsbedarf steigt deutlich, wenn KI nicht nur für Texte oder Recherche, sondern für Recruiting, Bewertung, Produktion oder Geschäftsentscheidungen eingesetzt wird. Dann reicht eine lose Tool-Freigabe nicht mehr aus. Sie brauchen Rollen, dokumentierte Vorgaben und einen Schulungsplan, der Fachbereiche, Führungskräfte und neue Mitarbeitende einschließt.

Für größere Organisationen, KRITIS-nahe Bereiche und digitale Wertschöpfung kommt Cybersecurity hinzu. Der Rechner markiert NIS2 daher bewusst früh, wenn Größe und Branche zusammenpassen. Für Banken, Versicherungen und andere Finanzunternehmen ist außerdem eine getrennte IKT-Perspektive nötig, weil DORA-Schulungen Beschäftigte und Leitung ausdrücklich in das Resilienzprogramm einbeziehen.

Schulungspflichten nach Regulierung und Rolle

RegulierungTypische RollenSchulungsintervall
AI Act Art. 4Alle Mitarbeitenden mit KI-Einsatz, Führungskräfte, FreigabeverantwortlicheVor Einsatz und bei neuen Tools oder Prozessen
DSGVO Art. 39Alle Rollen mit Personenbezug, Fachbereiche, HR, Vertrieb, SupportBei Eintritt, Rollenwechsel und im Jahresplan
NIS2 Art. 20Leitungsorgan, IT, Informationssicherheit, kritische ProzessverantwortlicheRegelmäßig und nach wesentlichen Sicherheitsänderungen
DORA Art. 13Beschäftigte und Leitung im Finanzsektor mit IKT-BezugFortlaufend als Pflichtmodul
HinSchGMeldestelle, HR, Compliance, FührungskräfteVor Inbetriebnahme und bei Verfahrensänderungen

Für Budgetfragen hilft meist keine abstrakte Compliance-Diskussion, sondern eine klare Gegenüberstellung aus betroffenen Rollen, Pflichtfeldern und Stückkosten. Genau dafür rechnet das Tool den Vollrollout und eine rollenbasierte Richtgröße getrennt aus. Wenn Sie die Wirtschaftlichkeit intern begründen müssen, hilft auch der Beitrag Wer bezahlt KI-Schulung? sowie die Einordnung, warum Schulungsaufwand oft als Betriebsausgabe behandelt werden kann, im Artikel KI-Schulung steuerlich absetzbar.

Wie oft müssen Schulungen wiederholt werden?

Wiederholung ist keine Formsache, sondern Teil einer tragfähigen Organisationsstruktur. Neue Mitarbeitende, neue Tools, geänderte Prozesse, Datenschutzvorfälle, KI-Rollouts oder Cyber-Ereignisse sind typische Auslöser für ein Update. Deshalb arbeitet der Rechner nicht mit einem starren Kalenderwert, sondern mit Fristtexten, die den jeweiligen Rechtsrahmen widerspiegeln.

In der Praxis sollten Unternehmen Pflichtschulungen in den Jahresplan integrieren, Verantwortlichkeiten dokumentieren und Nachweise an einem Ort bündeln. Das gilt besonders dann, wenn Datenschutz, KI, Informationssicherheit und Hinweisgeberschutz mehrere Fachbereiche gleichzeitig betreffen. Ein zentraler Kurs reduziert an dieser Stelle Reibungsverluste, weil dieselben Mitarbeitenden nicht für jede Einzelpflicht separat disponiert werden müssen.

Warum ein gemeinsamer Kurs oft sinnvoller ist

Viele Unternehmen organisieren Pflichtschulungen historisch getrennt nach Datenschutz, IT und HR. Das ist selten effizient, wenn dieselbe Zielgruppe parallel KI-Tools nutzt, personenbezogene Daten verarbeitet und bei Vorfällen definierte Eskalationswege kennen muss. Ein integriertes Format schafft klare Nachweise, weniger Abstimmungsaufwand und einen einheitlichen Sprachstand für Führung, Fachbereiche und operative Teams.

Genau hier setzt die CTA des Rechners an. Wenn mehrere Pflichtfelder aktiv sind, sparen Sie in der Regel mehr Zeit mit einer abgestimmten Schulung als mit mehreren Einzelmodulen. Das betrifft insbesondere Unternehmen ab 50 Mitarbeitenden, die Datenschutz, Hinweisgeberschutz und KI-Kompetenz zugleich organisieren müssen.

Gilt die Pflicht für alle Mitarbeiter?

Die Pflicht gilt selten pauschal für jede Person in gleicher Tiefe. Entscheidend ist, wer tatsächlich mit dem jeweiligen Regelwerk arbeitet, Entscheidungen vorbereitet oder Freigaben erteilt. Deshalb trennt der Rechner zwischen Vollrollout und rollenbasierter Richtgröße. Ein Vollrollout ist oft sinnvoll, wenn fast alle Mitarbeitenden KI-Tools, personenbezogene Daten oder standardisierte Meldewege im Alltag berühren. Rollenbasierte Schulungen sind dagegen typischer, wenn einzelne Funktionen wie Meldestelle, Leitung oder Informationssicherheit stärker betroffen sind als die übrige Belegschaft.

Für AI Act und Datenschutz ist die Zielgruppe in vielen Unternehmen breit. Sobald generative KI produktiv genutzt wird, brauchen nicht nur Power-User, sondern auch Führungskräfte und Freigabeverantwortliche ein gemeinsames Grundverständnis zu Risiken, Grenzen, Dokumentation und zulässiger Nutzung. Bei Recruiting-KI oder KI in Produktion steigt der Schulungsbedarf zusätzlich bei Fachbereichen, die Ergebnisse prüfen, Prozesse überwachen oder Korrekturentscheidungen treffen. Ein isoliertes Training der IT reicht dann nicht aus.

Anders verhält es sich bei NIS2, DORA und HinSchG. Dort sind häufig Leitung, Kontrollfunktionen, spezialisierte Teams und benannte Ansprechpartner stärker im Fokus als die gesamte Belegschaft. Trotzdem brauchen operative Teams meist ein kompaktes Basisniveau, damit Eskalationswege, Vorfallsmanagement und Rollenabgrenzung in der Praxis funktionieren. Genau deshalb zeigt das Tool nicht nur an, dass eine Pflicht existiert, sondern benennt direkt die typischen Zielgruppen für jede Schulung.

Was passiert ohne Schulungsnachweis?

Ohne Schulungsnachweis fehlt Unternehmen ein zentraler Organisationsbeleg. Das Problem zeigt sich selten zuerst im Kurs selbst, sondern in Audits, Beschwerden, Sicherheitsvorfällen, internen Untersuchungen oder bei Fragen der Geschäftsleitung, warum ein kritischer Prozess ohne klare Einweisung lief. Wer dann keine belastbare Dokumentation zu Zielgruppen, Terminen, Inhalten und Wiederholungen vorlegen kann, gerät schnell in eine schwache Verteidigungsposition.

Beim AI Act ist genau das praktisch relevant. Art. 4 verlangt angemessene KI-Kompetenz, ohne ein einzelnes starres Schulungsformat vorzuschreiben. Das heißt für Unternehmen: Sie müssen selbst zeigen können, dass Mitarbeitende, Führungskräfte und fachlich betroffene Rollen angemessen vorbereitet wurden. Für Datenschutz, Informationssicherheit und Hinweisgeberschutz gilt dieselbe organisatorische Logik. Nicht die schönste Policy ist ausschlaggebend, sondern ob die betroffenen Personen Prozesse, Risiken und Meldewege nachweisbar kennen.

Ein sauberer Nachweis braucht daher mehr als eine Teilnahmeliste. Sinnvoll sind klare Zielgruppen, standardisierte Inhalte, ein definierter Rhythmus, dokumentierte Aktualisierungen und im Idealfall ein Abschluss mit Schulungszertifikat. Wenn Sie dafür eine belastbare Ausgangslinie suchen, ist auch der Beitrag Schulungsnachweis EU AI Act relevant. Er hilft besonders dann, wenn Sie das Ergebnis des Rechners intern in Beschlussvorlagen, Audit-Unterlagen oder Governance-Prozesse überführen müssen.

So setzen Sie das Ergebnis des Rechners in einen Schulungsplan um

Nutzen Sie das Ergebnis zuerst als Priorisierung, nicht als isolierte Rechtsmeinung. Wenn der Rechner mehrere aktive Pflichtfelder ausweist, sollten Sie die betroffenen Rollen bündeln und mit einem gemeinsamen Schulungsplan arbeiten. Dadurch vermeiden Sie doppelte Terminierung, widersprüchliche Vorgaben und unnötige Abstimmung zwischen HR, Datenschutz, IT und Fachbereichen. Gerade in Unternehmen ab 50 Mitarbeitenden ist diese Bündelung meist der schnellste Weg zu einer belastbaren Grundstruktur.

Schritt eins ist immer die Rollenliste. Prüfen Sie, welche Teams tatsächlich KI nutzen, personenbezogene Daten verarbeiten, sicherheitskritische Systeme betreuen oder in eine interne Meldestelle eingebunden sind. Schritt zwei ist die Schulungsmatrix: Welche Pflicht betrifft welche Rolle, in welcher Tiefe und mit welchem Wiederholungsintervall? Schritt drei ist der Nachweisprozess. Legen Sie fest, wo Teilnahme, Inhalte, Versionen und Schulungszertifikate dokumentiert werden. Erst dann wird aus einer gesetzlichen Anforderung ein umsetzbarer Compliance-Prozess.

Für kleinere Unternehmen reicht oft ein kompakter Rollout mit klaren Pflichtmodulen und festen Wiederholungspunkten. Für größere Organisationen empfiehlt sich eine Staffelung in Basiswissen für alle, vertiefte Module für spezialisierte Rollen und separate Governance-Bausteine für Führungskräfte. Das gilt besonders, wenn AI Act, Datenschutz und Cybersecurity gleichzeitig auf denselben Prozess wirken, etwa im Recruiting, in Servicecentern, in der Qualitätsprüfung oder in digitalisierten Produktionsumgebungen.

Wenn Sie die Kosten intern bewerten, sollten Sie nicht nur den Stückpreis pro Schulung vergleichen. Relevant ist auch, wie viel Abstimmungsaufwand, Doppelarbeit und Freigabezeit durch getrennte Einzeltrainings entsteht. Genau deshalb zeigt der Rechner eine Vollrollout-Schätzung und eine rollenbasierte Richtgröße. Beide Werte helfen in unterschiedlichen Situationen: der Vollrollout für Budgetrahmen und Management-Entscheidung, die Rollenlogik für operative Planung und Priorisierung.

Grenzen des Rechners und typische Grenzfälle

Der Rechner ist bewusst als Orientierungshilfe gebaut. Er ersetzt weder eine sektorbezogene NIS2-Prüfung noch die Detailanalyse einzelner KI-Anwendungen, Auslagerungen oder Betriebsvereinbarungen. Gerade Grenzfälle entstehen dort, wo Unternehmen mehrere Rollen zugleich abdecken, etwa wenn HR-Systeme mit KI-Komponenten betrieben werden, ein Finanzunternehmen externe IKT-Dienstleister steuert oder Produktionsdaten mit Personenbezug kombiniert werden.

In solchen Fällen ist die richtige Frage nicht nur, ob eine Pflicht formal existiert, sondern wie breit sie ausgerollt werden muss. Manchmal genügt ein Basismodul plus Rollentraining. In anderen Fällen ist ein durchgehender Pflichtkurs sinnvoll, weil dieselben Mitarbeitenden mehrere Risikoquellen gleichzeitig berühren. Der Schulungs-Pflichtrechner macht diese Konstellationen sichtbar, indem er Pflichtfelder kumuliert und fehlende Governance-Rollen ausdrücklich markiert. Genau das hilft bei der Entscheidung, ob Sie mit einem kompakten Jahresplan arbeiten können oder ein strukturierteres Rollout-Modell brauchen.

Für die operative Umsetzung ist das meist der Unterschied zwischen punktueller Nachbesserung und einem wirklich auditfesten Schulungssystem.

FAQ zum Schulungs-Pflichtrechner

Welche Schulungen sind gesetzlich Pflicht?

Pflichtschulungen ergeben sich nicht aus einem einzigen Gesetz. Typische Pflichtfelder sind KI-Kompetenz nach Art. 4 EU-VO 2024/1689, Datenschutz-Schulung im DSGVO-Umfeld, Cybersecurity-Trainings nach NIS2, IKT-Schulungen im Finanzsektor nach DORA und Meldestellen-Schulungen nach dem Hinweisgeberschutzgesetz.

Wie oft müssen Schulungen wiederholt werden?

Ein starres Einheitsintervall gibt es selten. In der Praxis sollten Unternehmen Schulungen bei Eintritt, Rollenwechsel, neuen Tools, relevanten Vorfällen und mindestens im regelmäßigen Jahresplan aktualisieren und dokumentieren.

Gilt die Pflicht für alle Mitarbeiter?

Nicht jede Pflicht betrifft automatisch die gesamte Belegschaft. Datenschutz und KI-Kompetenz werden oft breit ausgerollt, während NIS2-, DORA- oder Meldestellen-Schulungen vor allem Leitung, Fachfunktionen und benannte Rollen betreffen.

Was passiert ohne Schulungsnachweis?

Ohne belastbaren Nachweis steigen Audit-, Organisations- und Haftungsrisiken. Unternehmen können dann schlechter belegen, dass Verantwortliche und Mitarbeitende angemessen vorbereitet, unterwiesen und gesteuert wurden.

Schulungs-Pflichtrechner: Was muss geschult werden? | EU AI Act Training