Compliance-Schulung 2026: Welche sind Pflicht?

Q: Welche Compliance-Schulungen sind 2026 Pflicht?

Für viele Unternehmen sind 2026 mindestens vier Schulungsstränge relevant: KI-Kompetenz nach Art. 4 AI Act, Cybersecurity-Schulung und Managementschulung nach NIS2 beziehungsweise § 38 BSIG, Datenschutz-Awareness im Rahmen von Art. 39 DSGVO sowie lieferkettenbezogene Schulungen nach § 6 LkSG. Welche davon wirklich verpflichtend sind, hängt von Branche, Unternehmensgröße, Rolle und den eingesetzten Systemen ab.

Q: Was kostet Compliance für den Mittelstand?

Für mittelständische Unternehmen liegen separate Einzelprogramme für Management, Datenschutz, KI und Lieferkette oft im mittleren vierstelligen bis niedrigen fünfstelligen Bereich pro Jahr. Ein integriertes Schulungsmodell ist meist deutlich günstiger, weil Basismodule, Dokumentation und Nachweise gemeinsam genutzt werden können.

Q: Wie oft müssen Compliance-Schulungen wiederholt werden?

Das Gesetz nennt nicht immer starre Intervalle. In der Praxis sind jährliche Auffrischungen oder anlassbezogene Updates sinnvoll, etwa bei neuen KI-Systemen, neuen Risiken, Vorfällen, Rollenwechseln oder geänderten Rechtsanforderungen. Besonders bei NIS2, Datenschutz und Lieferkette sollte die Wiederholung dokumentiert und risikobasiert geplant werden.

Q: Kann ich mehrere Pflichtschulungen kombinieren?

Ja. Eine gemeinsame Basisschulung für Management, Mitarbeitende und Schlüsselrollen ist oft der effizienteste Weg, solange sie die jeweils einschlägigen Pflichten präzise abdeckt und durch rollenspezifische Vertiefungen ergänzt wird. Entscheidend ist nicht die Zahl der Kurse, sondern die Nachweisbarkeit der relevanten Inhalte.

Q: Gibt es Fördermittel für Compliance-Schulungen?

Je nach Unternehmenssitz und Maßnahme kommen Förderwege wie INQA-Coaching, BAFA-Beratung oder arbeitsmarktbezogene Programme in Betracht. Die Förderfähigkeit hängt vom Format, vom Anbieter und von der konkreten Zielsetzung ab; reine Pflichtunterweisungen sind nicht automatisch förderfähig.

Compliance Schulung 2026 Pflicht: Welche Schulungen sind Pflicht?

Ab 2026 sind Compliance-Schulungen zu AI Act, NIS2 und DSGVO für viele Unternehmen gesetzlich verpflichtend, und für größere Lieferkettenorganisationen kommt das LkSG als vierter Schulungsstrang hinzu. Wer KI einsetzt, kritische oder wichtige Dienste erbringt, personenbezogene Daten verarbeitet oder menschenrechtliche Risiken in Einkauf und Lieferantenmanagement steuern muss, braucht deshalb kein loses Kursportfolio, sondern einen belastbaren Schulungsplan mit klaren Rollen, Fristen und Nachweisen.

Die kurze Antwort lautet: Nicht jedes Unternehmen braucht alle vier Pflichtschulungen, aber sehr viele Unternehmen brauchen mindestens zwei oder drei gleichzeitig. Seit dem 2. Februar 2025 verlangt Art. 4 EU-VO 2024/1689 ein ausreichendes Maß an KI-Kompetenz. Nach NIS2 und in Deutschland inzwischen nach § 38 BSIG müssen Geschäftsleitungen betroffener Einrichtungen Cybersecurity-Risikomanagement überwachen und Schulungen absolvieren. Art. 39 Abs. 1 lit. b DSGVO nennt ausdrücklich Awareness und Schulung des an Verarbeitungsvorgängen beteiligten Personals. Das LkSG verlangt zwar keine Generalschulung für alle, aber über § 6 LkSG sehr wohl Schulungen in relevanten Geschäftsbereichen und gegenüber unmittelbaren Zulieferern.

Wenn Sie die Überschneidungen zuerst im Dreiklang lesen möchten, starten Sie mit AI Act, NIS2 und DSGVO im Vergleich, DSGVO-Schulung vs. KI-Schulung, KI-Schulung Fristen 2026 und KI-Kompetenz im Team. Für die KI-Basis ist außerdem die EU AI Act Schulung der direkteste Einstieg. Wer die Governance-Perspektive ergänzen will, sollte zusätzlich ISO 42001 im Überblick und den ISO-42001-Leitfaden einbeziehen.

Pflichtschulungen 2026 im Schnellüberblick

2026 treffen die meisten Unternehmen nicht deshalb mehrere Pflichten gleichzeitig, weil überall dieselbe Norm steht, sondern weil dieselben Personen mehrere regulatorische Funktionen erfüllen. Die Geschäftsführung muss Cyber-Risiken verstehen, der Datenschutz muss Awareness und Nachweise organisieren, Fachbereiche nutzen KI produktiv, und Einkauf oder Supplier Management müssen menschenrechtliche Risiken steuern.

Die folgende Tabelle zeigt, welche Schulungspflichten 2026 typischerweise relevant werden:

Regulierung	Rechtsgrundlage	Wer ist betroffen?	Was ist zu schulen?	Frist / Stand 2026
AI Act	Art. 4 EU-VO 2024/1689	Alle Anbieter und Betreiber von KI-Systemen	KI-Kompetenz, sichere Nutzung, Grenzen, Risiken, Rollen	Seit 2. Februar 2025
NIS2 / BSIG	Art. 20, 21 NIS2; § 38 BSIG	Besonders wichtige und wichtige Einrichtungen	Managementschulung, Cyberhygiene, Risiko- und Vorfallkompetenz	2026 operativ relevant
DSGVO	Art. 39 Abs. 1 lit. b DSGVO	Organisationen mit DSB und personenbezogener Datenverarbeitung	Awareness, Rollen, Datenschutzregeln, Meldewege	Laufende Pflicht
LkSG	§ 4, § 6 LkSG	Große Unternehmen mit LkSG-Scope	Einkauf, Lieferantenmanagement, Risikomanagement	Seit 2023/2024 laufend
CSDDD	EU 2024/1760, geändert durch EU 2025/794	Sehr große Unternehmen stufenweise	Vorbereitung auf europäische Due-Diligence-Prozesse	Anwendung stufenweise ab 26. Juli 2028

AI Act Schulungspflicht: Art. 4 KI-Kompetenz seit dem 2. Februar 2025

Die AI-Act-Schulungspflicht ist die breiteste Pflicht, weil sie praktisch jedes Unternehmen trifft, das KI beruflich einsetzt. Art. 4 AI Act verpflichtet Anbieter und Betreiber von KI-Systemen, nach bestem Vermögen ein ausreichendes Maß an KI-Kompetenz bei den eigenen Beschäftigten und bei anderen Personen sicherzustellen, die das System im Auftrag des Unternehmens nutzen oder betreiben.

Wichtig ist die Reichweite: Die Pflicht gilt nicht nur für Unternehmen mit eigener KI-Entwicklung. Sie gilt auch für Arbeitgeber, die Standardtools wie Copilot, ChatGPT, HR-Software mit KI-Funktion, Support-Automatisierung, Wissenssysteme oder Analysewerkzeuge einsetzen. Wer KI im Unternehmen zulässt, muss die Nutzer in den für ihren Einsatz relevanten Risiken, Grenzen und Regeln schulen. Genau das vertiefen wir im Beitrag KI-Schulungspflicht nach Artikel 4.

Für die Praxis heißt das:

Geschäftsführung und Bereichsleitung brauchen Einordnung zu Pflichten, Haftungsrisiken und Governance.
Fachanwender brauchen Regeln zu erlaubter Nutzung, Prompting, Output-Prüfung, Freigaben und Dokumentation.
HR, Einkauf, Compliance und IT brauchen vertiefte Rollenmodule.
Hochrisiko-nahe Teams brauchen deutlich mehr als eine allgemeine Awareness-Folie.

Art. 4 enthält kein eigenes isoliertes Bußgeldschema wie Art. 99 für verbotene KI-Praktiken. Trotzdem ist die Pflicht rechtlich ernst zu nehmen, weil fehlende KI-Kompetenz andere AI-Act-Verstöße, Haftungsrisiken, Organisationsverschulden und Aufsichtsprobleme wahrscheinlicher macht. Unternehmen sollten die Schulung daher nicht als freiwillige Weiterbildung behandeln, sondern als dokumentierte Kontrollmaßnahme. Einen operativen Aufbau beschreibt auch KI-Kompetenz im Team.

NIS2 Schulungspflicht: Art. 20 NIS2 und § 38 BSIG

Die NIS2-Schulungspflicht ist enger im Scope, aber deutlich schärfer in der Organverantwortung. Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 verpflichtet die Mitgliedstaaten sicherzustellen, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen Schulungen absolvieren. Zusätzlich verlangt Art. 21 Abs. 2 lit. g NIS2 Cyberhygiene und Cybersecurity-Training als Teil der Risikomanagementmaßnahmen.

Für Deutschland ist diese Pflicht 2026 nicht mehr nur europäische Richtlinienlogik, sondern in § 38 BSIG ausdrücklich als Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitungen geregelt. Wer als besonders wichtige oder wichtige Einrichtung erfasst ist, muss Management, Aufsicht und organisatorische Steuerung ernsthaft aufbauen. Das betrifft typischerweise Unternehmen in Sektoren wie Energie, Gesundheit, Verkehr, digitale Infrastruktur, bestimmte Industrie- und Entsorgungsbereiche sowie weitere NIS2-relevante Dienste.

Die Kernfrage lautet nicht nur, ob das Management geschult wird, sondern wofür. Pflichtrelevante Inhalte sind vor allem:

Rollen und Verantwortung der Geschäftsleitung im Cyber-Risikomanagement
Genehmigung und Überwachung der Sicherheitsmaßnahmen
Verständnis erheblicher Cyber-Risiken und Meldepflichten
Incident Response, Krisenorganisation und Lieferkettensteuerung
Cyberhygiene, Awareness und Anforderungen an Mitarbeitende

Die Sanktionsseite ist hier real. Die NIS2-Richtlinie nennt für wesentliche Einrichtungen Mindestobergrenzen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent. Hinzu kommen in Deutschland zivilrechtliche Haftungsfragen für Geschäftsleitungen. Deshalb ist eine Geschäftsleiterschulung nach NIS2 kein Delegationsthema an die IT, sondern ein Governance-Thema auf Organebene.

DSGVO Schulungspflicht: Art. 39 Abs. 1 lit. b DSGVO

Die DSGVO enthält keine einzelne Generalklausel mit dem Wort "Pflichtschulung für alle Mitarbeitenden", aber die Schulungs- und Awareness-Pflicht ist in der Praxis eindeutig. Art. 39 Abs. 1 lit. b DSGVO nennt als Aufgabe des Datenschutzbeauftragten die Überwachung der Einhaltung der Datenschutzvorschriften einschließlich Awareness-Raising und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeitenden. Zusammen mit Art. 5, Art. 24 und Art. 32 DSGVO ergibt sich daraus ein klarer Organisations- und Dokumentationsauftrag.

Für Unternehmen bedeutet das: Datenschutz-Awareness ist kein netter Zusatzkurs, sondern Teil der Rechenschaftspflicht. Geschult werden müssen insbesondere Personen, die regelmäßig mit Beschäftigtendaten, Kundendaten, Gesundheitsdaten, Bewerberdaten oder anderen sensiblen Datensätzen arbeiten. Wer KI nutzt, braucht zusätzlich die Verzahnung von Datenschutz und KI-Regeln, weil ein formal erlaubter KI-Einsatz datenschutzrechtlich trotzdem fehlerhaft sein kann.

Die typischen Mindestinhalte sind:

Rechtsgrundlagen und Datenminimierung
Zugriffsrechte, Vertraulichkeit und sichere Verarbeitung
Meldewege bei Datenschutzverletzungen
Drittlandtransfers und Tool-Freigaben
besondere Regeln für HR, Vertrieb, Support und Marketing

Genau an dieser Schnittstelle scheitern viele Mittelständler: Sie schulen Datenschutz und KI getrennt, obwohl dieselben Mitarbeitenden dieselben Tools verwenden. Wer wissen will, wann eine kombinierte Lösung ausreicht, sollte DSGVO und AI Act: Brauche ich zwei Schulungen? und DSGVO-Schulung vs. KI-Schulung parallel lesen.

LkSG und CSDDD: Schulung in Einkauf und Lieferantenmanagement

Das LkSG ist 2026 vor allem für größere Unternehmen relevant, aber dort sehr konkret. § 4 LkSG verlangt ein angemessenes Risikomanagement. § 6 LkSG geht weiter und nennt im eigenen Geschäftsbereich Schulungen in relevanten Geschäftsbereichen sowie gegenüber unmittelbaren Zulieferern Schulungen und Weiterbildungen zur Durchsetzung vertraglicher Zusicherungen. Praktisch sind damit vor allem Einkauf, Beschaffung, Supplier Management, Compliance, Nachhaltigkeit und teilweise Qualitätsmanagement adressiert.

Entscheidend ist die richtige Einordnung: Das LkSG verlangt keine flächendeckende Pflichtunterweisung für jede Person im Unternehmen. Pflichtig sind die Bereiche, in denen menschenrechtliche und umweltbezogene Risiken tatsächlich gesteuert werden. Gerade deshalb ist die Schulungspflicht funktional und nicht nur formal. Wenn Ihr Einkauf Risikowarnsignale, Vertragsklauseln oder Eskalationspfade nicht versteht, ist das Risikomanagement auf dem Papier wertlos.

Für die europäische Nachfolgeebene gilt: Die CSDDD ist bereits beschlossen, ihre Anwendung wurde durch die Richtlinie (EU) 2025/794 aber zeitlich verschoben. Die ersten Anwendungspflichten greifen stufenweise ab dem 26. Juli 2028, nicht flächendeckend schon 2026. Für 2026 ist deshalb die richtige Aussage: LkSG-Schulung kann bereits Pflicht sein, CSDDD-Schulung ist meist noch Vorbereitung.

Branchenspezifische Zusatzpflichten: Finanzsektor, Gesundheit, KRITIS

Branchenspezifische Pflichten kommen zu den allgemeinen Schulungspflichten hinzu, sie ersetzen diese aber nicht. Im Finanzsektor verlangen die MaRisk qualifiziertes Personal, angemessene Ressourcen und belastbare Risikomanagementprozesse. Das ist keine wortgleiche Generalschulung wie Art. 4 AI Act, wirkt in der Praxis aber genauso: Institute müssen Personal mit ausreichender Fachkunde einsetzen und relevante Änderungen in Prozessen, IT und Kontrollen organisatorisch begleiten.

Im Gesundheitswesen ist die Lage 2026 sogar konkreter. Die ältere Krankenhaus-IT-Sicherheitsdiskussion wird oft noch mit § 75c SGB V zitiert; im aktuellen Gesetzesstand ist die einschlägige Norm für Krankenhäuser jedoch § 391 SGB V. Dort sind verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern ausdrücklich genannt. Diese Aktualisierung ist eine Schlussfolgerung aus dem aktuellen Gesetzesstand und wichtig, wenn Sie ältere Präsentationen oder Policies fortschreiben.

Für KRITIS-nahe Organisationen und NIS2-Einrichtungen steigt der Schulungsdruck nochmals, weil Verfügbarkeits-, Integritäts- und Melderisiken unmittelbarer sind. In der Praxis brauchen diese Unternehmen meist:

Managementschulung für Leitungsorgane
regelmäßige Awareness für alle relevanten Mitarbeitenden
vertiefte Übungen für Incident Response, Notfallmanagement und Lieferkette
saubere Dokumentation der Teilnahme und Auffrischungen

Wer muss welche Schulung? Entscheidungsmatrix nach Rolle und Unternehmensgröße

Die wichtigste Führungsfrage lautet 2026 nicht "Welche Schulung verkaufen wir intern?", sondern "Welche Rolle braucht welchen Mindeststandard?". Die folgende Matrix ist der schnellste Entscheidungsrahmen:

Rolle	Kleines Unternehmen mit KI-Einsatz	Mittelstand mit KI + personenbezogenen Daten	NIS2-/KRITIS-relevantes Unternehmen	LkSG-relevantes Großunternehmen
Geschäftsführung	AI Act Basis	AI Act + DSGVO Governance	AI Act + NIS2/§ 38 BSIG + DSGVO	zusätzlich LkSG-Steuerung
Fachanwender	AI Act Nutzungsschulung	AI Act + Datenschutz-Awareness	plus Cyberhygiene	rollenspezifisch je Bereich
IT / Security	AI Act Baseline	AI Act + DSGVO technisch	NIS2 vertieft	bei Lieferkettenbezug ergänzen
Datenschutz / Compliance	DSGVO vertieft	DSGVO + AI Act	plus Incident- und Governance-Schnittstellen	plus LkSG-Prozesse
Einkauf / Supplier Management	meist optional	bei KI-Beschaffung relevant	NIS2-Lieferkette relevant	LkSG Pflichtbereich

Eine Faustregel hilft: Wenn Ihr Unternehmen KI nutzt, brauchen fast immer alle relevanten Nutzer eine AI-Act-Basis. Wenn personenbezogene Daten verarbeitet werden, brauchen dieselben Teams zusätzlich Datenschutz-Awareness. Wenn Sie unter NIS2 oder § 38 BSIG fallen, kommt ein Management- und Cybersecurity-Track hinzu. Und wenn das LkSG gilt, wird Einkauf zum Pflichtadressaten.

So setzen Unternehmen Pflichtschulungen 2026 ohne Doppelarbeit um

Der schnellste Weg zu belastbarer Compliance ist kein Einkauf von Einzelkursen nach Abteilungswunsch, sondern ein vierstufiges Vorgehen. Zuerst braucht es ein Scope-Mapping: Welche KI-Systeme werden genutzt, welche Daten verarbeitet, welche Gesellschaften oder Standorte sind NIS2-relevant und welche Einkaufsfunktionen fallen unter das LkSG? Ohne diese Bestandsaufnahme bleibt jede Schulungsentscheidung zufällig.

Im zweiten Schritt folgt die Rollenmatrix. Hier wird festgelegt, welche Mindestinhalte für Geschäftsführung, Fachanwender, IT, Datenschutz, Einkauf und Compliance gelten. Genau an diesem Punkt entstehen die größten Einsparungen, weil Basismodule gemeinsam genutzt und nur die Spezialthemen getrennt vertieft werden. Für viele Mittelständler reicht etwa ein gemeinsames Fundament aus KI-Nutzung, Datenschutz, Cyberhygiene und Meldewegen plus Zusatzmodule für Management und Einkauf.

Der dritte Schritt ist die Nachweisarchitektur. Wer Pflichtschulungen ernsthaft steuern will, dokumentiert nicht nur Teilnahme, sondern auch Rollenzuordnung, Datum, Version der Inhalte, Auffrischungsintervall und Verantwortlichkeit. Diese Nachweise sind wichtig, weil Aufsicht, interne Revision, Versicherer oder Geschäftsleitung später nicht nur wissen wollen, dass "irgendwann geschult" wurde, sondern ob die richtige Person zum richtigen Zeitpunkt die richtigen Inhalte erhalten hat.

Der vierte Schritt ist die Auffrischungslogik. 2026 ist kein einmaliges Projektjahr. Neue KI-Tools, neue Lieferanten, Vorfälle, Aufsichtsentscheidungen und nationale Umsetzungen verändern den Inhalt laufend. Unternehmen brauchen deshalb einen festen Review-Zyklus, idealerweise jährlich plus anlassbezogene Updates. Wer diese Logik früh einzieht, spart sich hektische Sonderrollouts vor Audits oder nach Sicherheitsvorfällen.

Die häufigsten Fehler bei Compliance-Schulungen

Der häufigste Fehler ist ein falscher Zuschnitt der Zielgruppen. Viele Unternehmen buchen eine allgemeine Awareness-Schulung für alle und übersehen, dass Geschäftsführung, Einkauf, Datenschutz und IT deutlich unterschiedliche Pflichten tragen. Das Ergebnis ist meist zugleich zu oberflächlich für Schlüsselrollen und zu abstrakt für Fachanwender.

Der zweite Fehler ist die Trennung der Themen in vier Silos. Dann erklärt ein Datenschutzkurs andere Tool-Regeln als die KI-Schulung, und die Cybersecurity-Schulung kennt die KI-Prozesse nicht. In der Praxis entstehen daraus Medienbrüche, widersprüchliche Freigaberegeln und schlechte Akzeptanz. Ein integriertes Modell reduziert genau dieses Risiko.

Der dritte Fehler ist fehlende Dokumentation. Wer weder Teilnahme noch Rollenbezug, Aktualität und Wiederholung nachweisen kann, hat aus Sicht von Governance und Aufsicht nur unvollständige Compliance. Gerade bei Art. 4 AI Act und § 38 BSIG reicht das nicht.

Der vierte Fehler ist die Unterschätzung branchenspezifischer Zusatzpflichten. Banken, Krankenhäuser, KRITIS-nahe Unternehmen oder lieferkettenintensive Großunternehmen brauchen mehr als eine allgemeine Basisschulung. Sobald branchenspezifische Aufsicht, Incident-Pflichten oder Lieferantenkontrollen hinzukommen, müssen Schulungspläne nachgeschärft werden.

Warum integrierte Compliance-Schulung effizienter ist

Ein integriertes Schulungsmodell ist 2026 fast immer effizienter als vier getrennte Pflichtprogramme, weil sich Inhalte, Rollen und Nachweise stark überschneiden. Management braucht nicht viermal dieselbe Einführung zu Verantwortlichkeiten. Fachanwender brauchen keine widersprüchlichen Regeln für KI, Datenschutz und Cyberhygiene. Einkauf muss Lieferkette, Tool-Beschaffung und Vertragsanforderungen gemeinsam verstehen.

Das wirtschaftliche Argument aus dem Research ist klar: Bundling spart oft einen erheblichen Teil des Einzelaufwands und verbessert zugleich die Nachweisqualität. Gerade im Mittelstand ist das entscheidend, weil dieselben Personen mehrere Hüte tragen. Eine gute integrierte Schulung besteht aus drei Ebenen:

Basismodul für alle relevanten Mitarbeitenden: KI-Nutzung, Datenschutz, Cyberhygiene, Meldewege.
Rollenmodule: Management, IT/Security, HR, Einkauf, Compliance.
Auffrischung und Nachweis: jährliche Updates, anlassbezogene Ergänzungen, dokumentierte Teilnahme.

Wer diese Logik umsetzen will, sollte die einzelnen Themen nicht in Silos beschaffen. Sinnvoll ist zuerst ein gemeinsamer Scope-Workshop, danach eine Kompetenzmatrix und erst dann die Kursauswahl. Genau dafür sind KI-Schulung Fristen 2026, KI-Kompetenz im Team und AI Act, NIS2 und DSGVO im Vergleich gute Anschlussartikel.

Fazit: 2026 zählt keine Schulungsmenge, sondern Passgenauigkeit

2026 sind Compliance-Schulungen nicht pauschal für alle in gleicher Tiefe Pflicht, aber für viele Unternehmen in mehreren Regulierungssträngen gleichzeitig. AI Act betrifft nahezu jeden beruflichen KI-Einsatz. NIS2 und § 38 BSIG treffen Management und Security-relevante Organisationen besonders hart. DSGVO verlangt Awareness und dokumentierte Datenschutzkompetenz. LkSG zieht Einkauf und Lieferkettensteuerung in die Pflicht. Wer das sauber ordnet, braucht keine vier separaten Lerninseln, sondern eine integrierte Compliance-Architektur mit klaren Rollen.

Wenn Sie 2026 belastbar starten wollen, beginnen Sie mit einer Bestandsaufnahme Ihrer KI-Tools, Datenflüsse, NIS2-Betroffenheit und Lieferkettenrollen. Danach lässt sich sehr schnell entscheiden, welche Basisschulung für alle reicht und welche Vertiefungen Management, Datenschutz, Einkauf oder IT zusätzlich brauchen. Für die KI-Kompetenz als Pflichtbaustein ist die EU AI Act Schulung der pragmatischste Start; ergänzend helfen KI-Schulungspflicht nach Artikel 4, AI Act, NIS2 und DSGVO im Vergleich und ISO 42001 im Überblick, um daraus ein integriertes Programm zu machen.

Häufige Fragen zu Compliance-Schulungen 2026

Welche Compliance-Schulungen sind 2026 Pflicht?

Pflichtig sein können 2026 AI-Act-Schulungen nach Art. 4, NIS2- beziehungsweise BSIG-Schulungen für Management und Cyberhygiene, Datenschutz-Awareness nach Art. 39 DSGVO und LkSG-bezogene Schulungen in Einkauf und Lieferantenmanagement. Welche Kombination gilt, hängt von Branche, Unternehmensgröße und Rollen ab.

Was kostet Compliance für den Mittelstand?

Die Kosten hängen von Unternehmensgröße, Rollenmix und Wiederholungsintervallen ab. In der Praxis sind gebündelte Programme meist deutlich günstiger als getrennte Einzelkurse, weil Basismodule, LMS-Rollout, Dokumentation und Auffrischungen gemeinsam genutzt werden.

Wie oft müssen Compliance-Schulungen wiederholt werden?

Ein starres Einheitsintervall steht nicht in jeder Norm. In der Praxis sollten Unternehmen mindestens jährlich prüfen, ob Auffrischungen nötig sind, und zusätzlich bei neuen Tools, Vorfällen, Rollenwechseln oder Rechtsänderungen aktualisieren.

Kann ich mehrere Pflichtschulungen kombinieren?

Ja, und häufig ist das der beste Weg. Entscheidend ist, dass die Inhalte die einschlägigen Normen tatsächlich abdecken und nicht nur oberflächlich zusammengelegt werden. Gemeinsame Basis plus Rollenvertiefung ist meist die belastbarste Struktur.

Gibt es Fördermittel für Compliance-Schulungen?

Teilweise ja. Fördermöglichkeiten hängen davon ab, ob es sich um Beratung, Transformation, Qualifizierung oder eine formal förderfähige Maßnahme handelt. Förderprogramme sollten daher vor der Beauftragung geprüft werden und nicht erst nach dem Rollout.

Compliance-Schulung 2026 — Welche Schulungen sind Pflicht?