Eine ausdrückliche gesetzliche Regelung zur Durchführung von Schulungen für Mitarbeitende ist in den Datenschutzgesetzen nicht vorgesehen. Die Durchführung von Schulungen ist also keine Pflicht im rechtlichen Sinne.
Dennoch kann sie aber eine Obliegenheit sein, also ein Handeln, das nicht erzwungen werden kann, aber zur Vermeidung von Rechtsnachteilen im Interesse des Verantwortlichen geboten ist. So besteht nach § 7 Abs. 2 KDG (Art. 5 Abs. 2 DS-GVO) für den Verantwortlichen eine Rechenschaftspflicht, in der er nachweisen können muss, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Die Verarbeitung findet aber regelmäßig durch die Mitarbeiter*innen statt. Diese müssen also über die Grundsätze informiert sein. Weiterhin ist der Verantwortliche gem. § 26 KDG (Art. 32 DS-GVO) verpflichtet, organisatorische Maßnahmen zu treffen, um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenen Schutz zu gewährleisten und einen Nachweis darüber führen zu können. Im Rahmen dieser Maßnahmen wird der Arbeitgeber, der Verantwortliche, nicht umhinkommen, seine Mitarbeiter*innen Vorgehens- und Verhaltensweisen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu erläutern.
Schließlich legt § 38 lit. c) KDG als Aufgabe für betriebliche Datenschutzbeauftragte fest, die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des KDG sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (Art 39 Abs. 1 lit a) DS-GVO).
Der Verantwortliche ist also durch die genannten Vorschriften gehalten, seine Mitarbeiter*innen zu unterrichten, zu informieren oder zu beraten.
Die Geister scheiden sich häufig an dem Begriff „Schulung“, weil darunter eine Versammlung aller oder großer Teile der Belegschaft verstanden wird, der hohen organisatorischen Aufwand mit sich bringt. Versteht man Schulung als eine Wissen vermittelnde Tätigkeit, kann dies auch praxisgerechter gestaltet werden. Präsenzschulungen werden regelmäßig nur in größeren Abständen veranstaltet werden können. In der Zwischenzeit können sich aber Gesetze, Vorschriften oder auch die Unternehmerpraxis verändert haben. Hier ist es sinnvoll, kurzfristig reagieren zu können. „Geeignete Maßnahmen“ i. S. d. § 38 KDG sind deshalb z. B. auch Newsletter oder Datenschutzblogs.
Der Verantwortliche ist also nicht zur Durchführung von Präsenzveranstaltungen in regelmäßigen Abständen verpflichtet, sondern dazu, seine Mitarbeiter*innen über datenschutzrechtliche Regelungen und Verpflichtungen auf dem Laufenden zu halten. Kommt es zur Meldung eines Datenschutzverstoßes, wird die Aufsicht prüfen, ob der Verantwortliche diese Verpflichtungen umgesetzt hat.