- ISO 27001 und NIS2 fordern nachweisbare Schulungen – ohne Dokumentation gilt eine Schulung im Audit als nicht durchgeführt.
- Jeder Schulungsnachweis muss mindestens Teilnehmer, Datum, Thema, Trainer/Quelle und Ergebnis enthalten.
- Drei Nachweisarten bilden die Basis: Teilnahmebestätigungen, Quiz-/Testergebnisse und Richtlinien-Attestierungen.
- Schulungen müssen mindestens jährlich wiederholt werden, die Fristüberwachung muss automatisiert und eskalierbar sein.
- Die Kenntnisnahme von Richtlinien ist ein eigenständiger Dokumentationsprozess, der nicht mit der Awareness-Schulung verwechselt werden darf.
Warum Schulungsnachweise im Audit entscheidend sind
Es gibt eine einfache Regel in der Welt der Informationssicherheits-Audits: Was nicht dokumentiert ist, hat nicht stattgefunden. Du kannst die beste Awareness-Schulung der Branche durchgeführt haben, mit einem brillanten Trainer, begeisterten Mitarbeitern und echtem Lerneffekt. Wenn du dem Auditor keinen Nachweis vorlegen kannst, zählt das alles nicht.
ISO 27001 formuliert die Anforderung in Kapitel 7.2 (Kompetenz) und Annex A.6.3 (Awareness, Ausbildung und Schulung). Mitarbeiter, die Tätigkeiten ausführen, die die Informationssicherheitsleistung beeinflussen, müssen kompetent sein, und das Unternehmen muss geeignete dokumentierte Informationen als Nachweise der Kompetenz aufbewahren. NIS2 ergänzt diese Anforderung durch die explizite Pflicht zur Cyberhygiene-Schulung und Managementschulung.
Auditoren prüfen Schulungsnachweise regelmäßig und systematisch. Sie fragen nicht nur „Führen Sie Schulungen durch?", sondern „Zeigen Sie mir die Nachweise für die letzte Schulung. Wer hat teilgenommen? Wer nicht? Was war der Inhalt? Wie wurde das Verständnis geprüft?" Wenn du auf diese Fragen keine strukturierte Antwort hast, ist das eine Feststellung, die im Auditbericht landet.
Die Dokumentation von Schulungen ist deshalb keine bürokratische Pflichtübung. Sie ist der Beweis, dass dein ISMS lebt, dass die Maßnahmen, die du definiert hast, auch tatsächlich umgesetzt werden und dass deine Mitarbeiter über das notwendige Wissen verfügen, um sicher zu arbeiten.
Was bei jedem Schulungsnachweis dokumentiert werden muss
Unabhängig vom Format der Schulung, ob Präsenz-Workshop, E-Learning oder Phishing-Simulation, gibt es einen Satz von Pflichtangaben, der in jedem Nachweis enthalten sein muss. Diese Angaben bilden das Minimum, das ein Auditor erwartet.
Die sechs Pflichtfelder
1. Teilnehmer (Name und Abteilung)
Wer wurde geschult? Nicht als anonyme Masse, sondern namentlich. Bei Präsenzschulungen klassischerweise über eine Teilnehmerliste, bei E-Learning über die Login-Daten der Plattform. Die Zuordnung zur Abteilung oder Rolle ist wichtig, weil bestimmte Schulungen zielgruppenspezifisch sind und du nachweisen musst, dass die richtige Zielgruppe geschult wurde.
2. Datum und Zeitraum
Wann fand die Schulung statt? Bei Präsenzschulungen das konkrete Datum mit Uhrzeit, bei E-Learning-Modulen der Zeitraum, in dem das Modul absolviert wurde (Start- und Endzeitpunkt). Das Datum ist essentiell für die Fristüberwachung: Wenn die Schulung jährlich wiederholt werden muss, beginnt die Frist am Datum der letzten Durchführung.
3. Thema und Inhalt
Was wurde geschult? Eine grobe Themenbezeichnung wie „IT-Sicherheit" reicht nicht aus. Der Nachweis muss erkennen lassen, welche konkreten Inhalte behandelt wurden. Entweder durch eine Beschreibung des Schulungsinhalts, eine Referenz auf ein definiertes Curriculum oder durch die Beifügung der Schulungsunterlagen.
Beispiel für eine angemessene Beschreibung: „Security Awareness Grundschulung: Phishing-Erkennung, Passwort-Sicherheit und Passwort-Manager, Social Engineering am Telefon und vor Ort, Clean-Desk-Regeln, Meldewege bei Verdachtsfällen."
4. Trainer oder Schulungsquelle
Wer hat die Schulung durchgeführt? Bei Präsenzschulungen der Name des Trainers (intern oder extern), bei E-Learning-Modulen die Angabe der Plattform und des konkreten Moduls. Bei externen Trainern ist es sinnvoll, auch deren Qualifikation zu dokumentieren, damit nachvollziehbar ist, dass die Schulung durch eine kompetente Person durchgeführt wurde.
5. Ergebnis oder Abschluss
Hat der Teilnehmer die Schulung erfolgreich abgeschlossen? Bei Schulungen mit Wissenstest: das Testergebnis und ob die Mindestpunktzahl erreicht wurde. Bei Schulungen ohne Test: die Bestätigung der Teilnahme (vollständig absolviert vs. abgebrochen). Bei Phishing-Simulationen: ob geklickt wurde oder nicht.
6. Unterschrift oder digitale Bestätigung
Bei Präsenzschulungen: die Unterschrift des Teilnehmers auf der Teilnehmerliste. Bei E-Learning: der automatisch erzeugte Abschlussnachweis der Plattform. Bei Richtlinien-Attestierungen: die digitale Bestätigung (Checkbox, elektronische Signatur). Die Bestätigung dokumentiert, dass der Teilnehmer tatsächlich anwesend war bzw. das Modul aktiv absolviert hat.
Optionale, aber empfehlenswerte Angaben
Über die Pflichtfelder hinaus gibt es Informationen, die die Dokumentation aufwerten:
- Schulungsmaterial: Anhang oder Verweis auf die verwendeten Unterlagen (Folien, Handouts, E-Learning-Modul-ID)
- Feedback der Teilnehmer: Anonyme Bewertung der Schulung (hilft bei der kontinuierlichen Verbesserung)
- Bezug zur Maßnahme: Welche ISMS-Maßnahme oder welches Risiko adressiert die Schulung? Das erleichtert die Zuordnung im Audit
- Gültigkeitsdauer: Bis wann ist der Nachweis gültig, bevor eine Wiederholung erforderlich ist?
Die drei Arten von Schulungsnachweisen
Nicht jeder Nachweis sieht gleich aus. Je nach Schulungsformat und Zielsetzung kommen unterschiedliche Nachweisarten zum Einsatz. Die meisten ISMS-Programme arbeiten mit einer Kombination aus allen drei.
Teilnahmebestätigung
Die einfachste und verbreitetste Form des Nachweises. Sie bestätigt, dass ein Mitarbeiter an einer Schulung teilgenommen hat. Bei Präsenzschulungen ist das die unterschriebene Teilnehmerliste, bei E-Learning der automatisch generierte Abschlussnachweis.
Eine Teilnahmebestätigung dokumentiert die Anwesenheit, aber nicht das Verständnis. Der Mitarbeiter war da, ob er etwas gelernt hat, lässt sich daraus nicht ableiten. Deshalb reicht die Teilnahmebestätigung allein für ein ausgereiftes ISMS nicht aus. Sie sollte durch einen Wissenstest oder eine Attestierung ergänzt werden.
Typisches Format einer Teilnahmebestätigung bei Präsenzschulungen:
| Feld | Inhalt |
|---|---|
| Schulungstitel | Security Awareness Grundschulung 2026 |
| Datum | 14.03.2026, 09:00-10:30 Uhr |
| Ort | Konferenzraum 2, Standort Hauptverwaltung |
| Trainer | Max Mustermann, ISB |
| Inhalte | Phishing, Passwörter, Social Engineering, Clean Desk, Meldewege |
| Teilnehmer | Name, Abteilung, Unterschrift (tabellarisch) |
Quiz- und Testergebnisse
Wissenstests am Ende einer Schulung dokumentieren nicht nur die Teilnahme, sondern auch das Verständnis der vermittelten Inhalte. Sie sind der stärkste Nachweis, den du einem Auditor vorlegen kannst, denn sie zeigen, dass der Mitarbeiter die Inhalte nicht nur gehört, sondern auch verstanden hat.
Definiere eine Mindestpunktzahl, die für ein Bestehen erforderlich ist. 70 bis 80 % richtige Antworten sind ein gängiger Schwellenwert. Mitarbeiter, die unter der Mindestpunktzahl liegen, müssen die Schulung wiederholen oder eine Nachschulung absolvieren.
Dokumentiere bei Quiz-Ergebnissen:
- Name des Teilnehmers und Datum des Tests
- Bezeichnung des Tests und Bezug zur Schulung
- Gesamtergebnis (z. B. 18 von 20 Fragen richtig, 90 %)
- Bestanden/Nicht bestanden basierend auf der definierten Mindestpunktzahl
- Detailergebnisse pro Frage (optional, aber hilfreich für die Analyse von Wissenslücken)
Bei E-Learning-Plattformen werden Quiz-Ergebnisse in der Regel automatisch dokumentiert und gespeichert. Bei Präsenzschulungen mit schriftlichen Tests musst du die Ergebnisse manuell erfassen und ablegen.
Ein Hinweis zur Aufbewahrung: Quiz-Ergebnisse enthalten personenbezogene Leistungsdaten. Kläre mit deinem Datenschutzbeauftragten, wie lange diese Daten aufbewahrt werden dürfen und ob der Betriebsrat eingebunden werden muss.
Richtlinien-Attestierung
Die dritte Nachweisart unterscheidet sich von den beiden anderen, denn sie bezieht sich nicht auf eine Schulung im klassischen Sinn, sondern auf die Kenntnisnahme und Akzeptanz von Richtlinien. Dazu mehr im eigenen Abschnitt weiter unten.
Fristüberwachung: Wann Schulungen wiederholt werden müssen
Einmal geschult bedeutet nicht für immer geschult. ISO 27001 fordert, dass Kompetenzen aufrechterhalten werden, und das impliziert regelmäßige Wiederholung. Auch NIS2 verlangt fortlaufende Schulungsmaßnahmen, nicht nur einmalige Aktionen.
Typische Wiederholungsfristen
| Schulungsart | Frist | Begründung |
|---|---|---|
| Security Awareness Grundschulung | Jährlich | Audit-Mindestanforderung, aktuelle Bedrohungen einbeziehen |
| Phishing-Simulation | Quartalsweise | Verhaltensänderung braucht Wiederholung |
| Richtlinien-Attestierung | Bei jeder Änderung der Richtlinie, mindestens jährlich | Sicherstellung der Kenntnis aktueller Regeln |
| Managementschulung (NIS2) | Jährlich | NIS2-Pflicht, Haftungsrelevanz |
| Fachspezifische Schulungen (IT-Admin, Entwickler) | Jährlich bis halbjährlich | Sich schnell ändernde Bedrohungslage |
| Onboarding-Schulung | Einmalig bei Eintritt | Vor Zugang zu produktiven Systemen |
| Datenschutz-Schulung | Jährlich | DSGVO-Anforderung |
Fristüberwachung in der Praxis
Die größte Herausforderung ist nicht, Fristen festzulegen, sondern sie auch tatsächlich zu überwachen. In einem Unternehmen mit 100 Mitarbeitern, die jeweils drei bis fünf verschiedene Schulungsanforderungen haben, entsteht schnell eine Matrix aus Hunderten von Fälligkeitsdaten. Das manuell zu verwalten, etwa per Excel-Tabelle, funktioniert bis zu einer gewissen Größe, wird aber fehleranfällig und aufwändig.
Ein dediziertes Tool wie ISMS Lite nimmt dir diese Verwaltungsarbeit 500 Euro pro Jahr ab und eskaliert automatisch bei überfälligen Schulungen, ohne Benutzerlimits. Automatisierte Fristüberwachung sollte folgende Funktionen bieten:
- Fälligkeitsberechnung: Automatische Berechnung der nächsten Fälligkeit basierend auf dem Datum der letzten Schulung und dem definierten Wiederholungsintervall
- Vorlauferinnerung: Benachrichtigung an den Mitarbeiter (und optional an den Vorgesetzten) 30 Tage vor Fälligkeit
- Überfälligkeitswarnung: Eskalation, wenn die Frist verstrichen ist, ohne dass die Schulung absolviert wurde
- Dashboard-Übersicht: Gesamtübersicht über den Schulungsstatus aller Mitarbeiter, filterbar nach Abteilung, Schulungsart und Status
Umgang mit Sonderfällen
Nicht jeder Mitarbeiter lässt sich in das Standard-Schema pressen. Es gibt Sonderfälle, die in der Fristüberwachung berücksichtigt werden müssen:
Langzeitabwesenheit (Elternzeit, Krankheit): Mitarbeiter, die längere Zeit abwesend sind, können die Schulung nicht fristgerecht absolvieren. Definiere, wie mit Rückkehrern umgegangen wird: Müssen sie die versäumte Schulung innerhalb von 30 Tagen nach Rückkehr nachholen?
Teilzeitkräfte und Aushilfen: Auch Teilzeitkräfte müssen geschult werden. Die Schulungspflicht gilt unabhängig vom Beschäftigungsumfang. Bei Aushilfen mit sehr kurzer Beschäftigungsdauer kann eine vereinfachte Kurzschulung sinnvoll sein.
Externe Mitarbeiter und Dienstleister: Wenn externe Mitarbeiter auf deine Systeme zugreifen, müssen auch sie geschult oder zumindest über die geltenden Sicherheitsregeln informiert werden. Dokumentiere auch diese Nachweise.
Eskalation bei Nicht-Teilnahme
Was passiert, wenn ein Mitarbeiter seine Pflichtschulung nicht absolviert? Ohne einen definierten Eskalationsprozess passiert in der Regel gar nichts, die Frist verstreicht, niemand reagiert, und im nächsten Audit steht eine Feststellung im Bericht.
Ein wirksamer Eskalationsprozess hat mehrere Stufen:
Stufe 1: Erinnerung (Fälligkeit erreicht)
Der Mitarbeiter erhält eine automatische Erinnerung, dass die Schulung fällig ist. Gleichzeitig wird der direkte Vorgesetzte informiert. Die Erinnerung enthält einen Link zur Schulung (bei E-Learning) oder den Hinweis auf den nächsten Schulungstermin (bei Präsenzschulungen).
Stufe 2: Mahnung (2 Wochen überfällig)
Wenn die Schulung zwei Wochen nach Fälligkeit nicht absolviert wurde, erfolgt eine Mahnung an den Mitarbeiter mit Kopie an den Vorgesetzten. Die Mahnung weist auf die Pflicht zur Teilnahme hin und setzt eine Nachfrist von weiteren zwei Wochen.
Stufe 3: Eskalation an Management (4 Wochen überfällig)
Wenn auch die Nachfrist verstrichen ist, wird der Fall an die nächsthöhere Führungsebene oder den ISB eskaliert. An diesem Punkt muss geklärt werden, ob es organisatorische Gründe für die Nicht-Teilnahme gibt (fehlende Freistellung, technische Probleme) oder ob es sich um eine bewusste Verweigerung handelt.
Stufe 4: Konsequenzen (6+ Wochen überfällig)
Bei fortgesetzter Nicht-Teilnahme ohne triftigen Grund müssen arbeitsrechtliche Maßnahmen in Betracht gezogen werden. Das kann eine formelle Ermahnung sein, im Wiederholungsfall auch eine Abmahnung. Gleichzeitig muss geprüft werden, ob der Mitarbeiter weiterhin Zugang zu Systemen haben sollte, für die die Schulung Voraussetzung ist.
Dokumentiere jede Eskalationsstufe. Der Auditor will nicht nur sehen, dass du Schulungen durchführst, sondern auch, dass du einen Prozess hast, um mit Nicht-Teilnahme umzugehen.
Eskalation als Prozess, nicht als Willkür
Wichtig ist, dass der Eskalationsprozess vorab definiert, kommuniziert und gleichmäßig angewendet wird. Wenn bei einem Mitarbeiter eskaliert wird und bei einem anderen nicht, entsteht der Eindruck von Willkür. Der Prozess muss transparent sein und für alle gelten, vom Auszubildenden bis zum Abteilungsleiter. Binde den Betriebsrat in die Definition des Eskalationsprozesses ein, besonders wenn arbeitsrechtliche Konsequenzen vorgesehen sind.
Richtlinien-Kenntnisnahme als eigener Prozess
Die Attestierung von Richtlinien wird oft mit der Awareness-Schulung vermischt, ist aber ein eigenständiger Prozess mit eigener Logik und eigenen Nachweisanforderungen.
Was ist eine Richtlinien-Attestierung?
Bei einer Richtlinien-Attestierung bestätigt der Mitarbeiter, dass er eine bestimmte Richtlinie gelesen und verstanden hat und sich verpflichtet, sie einzuhalten. Das betrifft typischerweise:
- Informationssicherheitsleitlinie
- Passwort-Richtlinie
- Richtlinie für mobile Geräte und Homeoffice
- Richtlinie zur akzeptablen Nutzung von IT-Ressourcen
- Datenschutzrichtlinie
- Vertraulichkeitsvereinbarung
Unterschied zur Schulung
Eine Schulung vermittelt Wissen und trainiert Verhalten. Eine Richtlinien-Attestierung stellt sicher, dass der Mitarbeiter die geltenden Regeln kennt und ihre Einhaltung zusichert. Beides ist notwendig, aber es sind unterschiedliche Dinge.
Du kannst eine Richtlinien-Attestierung in die Awareness-Schulung integrieren (am Ende der Schulung werden die relevanten Richtlinien vorgestellt und attestiert), aber die Nachweise müssen separat geführt werden. Der Auditor will sehen können, welche Mitarbeiter welche Richtlinien attestiert haben, und zwar unabhängig davon, ob sie an der letzten Schulung teilgenommen haben.
Trigger für eine erneute Attestierung
Eine Richtlinien-Attestierung wird nicht nur jährlich wiederholt, sondern auch anlassbezogen ausgelöst:
- Richtlinie wurde aktualisiert: Wenn sich der Inhalt einer Richtlinie ändert, müssen alle betroffenen Mitarbeiter die neue Version attestieren. Dabei reicht es nicht, nur die Änderungen zu kommunizieren, der Mitarbeiter muss die gesamte aktualisierte Richtlinie bestätigen.
- Neuer Mitarbeiter: Im Onboarding werden alle relevanten Richtlinien attestiert.
- Rollenwechsel: Wenn ein Mitarbeiter in eine neue Rolle wechselt, die zusätzliche oder andere Richtlinien erfordert (z. B. Wechsel in die IT-Administration), müssen die entsprechenden Richtlinien attestiert werden.
Dokumentation der Attestierung
Jede Attestierung muss folgende Informationen enthalten:
| Feld | Inhalt |
|---|---|
| Richtlinie | Bezeichnung und Versionsnummer |
| Mitarbeiter | Name, Abteilung, Rolle |
| Datum der Attestierung | Wann die Bestätigung erfolgte |
| Art der Bestätigung | Unterschrift, digitale Checkbox, E-Signatur |
| Gültig bis | Fälligkeitsdatum der nächsten Attestierung |
Bewahre sowohl die attestierte Version der Richtlinie als auch die Attestierung selbst auf. Wenn sich die Richtlinie ändert und ein Mitarbeiter noch die alte Version attestiert hat, muss nachvollziehbar sein, welche Version er bestätigt hat.
Digitale vs. papierbasierte Dokumentation
Die Frage, ob Schulungsnachweise digital oder auf Papier geführt werden, ist keine philosophische, sondern eine praktische. Beide Ansätze sind aus Audit-Sicht akzeptabel, solange die Nachweise vollständig, auffindbar und integer sind. In der Praxis zeigen sich aber deutliche Unterschiede in Aufwand und Zuverlässigkeit.
Papierbasierte Dokumentation
Papiernachweise funktionieren. Unterschriebene Teilnehmerlisten, ausgedruckte Quiz-Ergebnisse, handschriftlich bestätigte Richtlinien. Für ein kleines Unternehmen mit 20 Mitarbeitern und zwei Schulungen pro Jahr kann das ausreichen.
Die Nachteile werden mit wachsender Größe spürbar:
- Suche und Zugriff: Wer im Ordner nach dem Schulungsnachweis eines bestimmten Mitarbeiters sucht, braucht Zeit. Im Audit, wenn der Prüfer „zeigen Sie mir den Nachweis für Mitarbeiter X" sagt, kann das peinlich langsam werden.
- Fristüberwachung: Auf Papier lässt sich keine automatische Fristüberwachung aufbauen. Du brauchst eine separate Tabelle oder Kalendereinträge.
- Auswertung: Aggregierte Auswertungen (wie hoch ist die Schulungsabdeckung, welche Abteilung liegt zurück) sind aufwändig bis unmöglich.
- Sicherheit: Papier kann verloren gehen, beschädigt werden oder in falsche Hände geraten. Ohne Backup sind die Nachweise unwiderruflich weg.
- Verteilte Standorte: Wenn Mitarbeiter an verschiedenen Standorten arbeiten, wird die zentrale Ablage von Papiernachweisen logistisch anspruchsvoll.
Digitale Dokumentation
Digitale Schulungsnachweise lösen die meisten Probleme der Papierdokumentation, bringen aber eigene Anforderungen mit:
- Integrität: Die Nachweise müssen vor Manipulation geschützt sein. Digitale Bestätigungen sollten nicht nachträglich änderbar sein (Audit-Trail, Zeitstempel).
- Verfügbarkeit: Die Nachweise müssen jederzeit abrufbar sein, auch nach einem Systemwechsel. Proprietäre Formate, die nur mit einem bestimmten Tool lesbar sind, sind ein Risiko.
- Datenschutz: Digitale Schulungsunterlagen enthalten personenbezogene Daten (Name, Testergebnis, Abteilung). Zugriffsrechte müssen so konfiguriert sein, dass nur berechtigte Personen (ISB, HR, direkter Vorgesetzter) Zugriff haben.
- Backup: Wie alle digitalen Daten müssen Schulungsnachweise regelmäßig gesichert werden.
Welcher Ansatz passt?
Für die meisten Unternehmen ab 30 bis 50 Mitarbeitern ist die digitale Dokumentation der klar bessere Weg. Die Zeitersparnis bei Suche, Auswertung und Fristüberwachung rechtfertigt den Aufwand für die Einrichtung eines digitalen Systems. Für sehr kleine Unternehmen kann ein sauberer Papier-Prozess ausreichen, solange er konsequent durchgehalten wird.
Eine hybride Variante, die in der Praxis häufig vorkommt: Präsenzschulungen werden mit Papier-Teilnehmerlisten dokumentiert, die anschließend eingescannt und digital archiviert werden. E-Learning-Nachweise werden automatisch digital erzeugt. Richtlinien-Attestierungen erfolgen über ein digitales Tool. Das funktioniert, erfordert aber Disziplin bei der Zusammenführung der verschiedenen Quellen.
Was der Auditor wirklich sehen will
Nach vielen Abschnitten über Pflichtfelder, Nachweisarten und Fristen lohnt sich ein Blick auf die Audit-Realität. Was fragt der Auditor tatsächlich, und wie bereitest du dich darauf vor?
Typische Audit-Fragen zu Schulungsnachweisen
„Zeigen Sie mir Ihren Schulungsplan." Der Auditor will sehen, dass Schulungen geplant und nicht ad hoc durchgeführt werden. Ein Jahresplan mit definierten Schulungsthemen, Zielgruppen, Formaten und Terminen beantwortet diese Frage.
„Welche Schulungen wurden im letzten Jahr durchgeführt?" Hier brauchst du eine Übersicht aller durchgeführten Schulungen mit Datum, Thema und Teilnehmerzahl. Idealerweise auf einen Blick, nicht erst nach zehn Minuten Suche in verschiedenen Ordnern.
„Zeigen Sie mir die Nachweise für Mitarbeiter X." Der Auditor wählt stichprobenartig Mitarbeiter aus und will deren Schulungsnachweise sehen. Du musst schnell die relevanten Nachweise finden können: Wann wurde die letzte Awareness-Schulung absolviert? Welche Richtlinien hat der Mitarbeiter attestiert? Wie war das Quiz-Ergebnis?
„Wie gehen Sie mit Mitarbeitern um, die nicht an Schulungen teilnehmen?" Hier geht es um den Eskalationsprozess. Der Auditor will sehen, dass es einen definierten Umgang mit Nicht-Teilnahme gibt und dass dieser auch angewendet wird.
„Hat die Geschäftsführung an Schulungen teilgenommen?" Speziell unter NIS2 relevant. Die Geschäftsleitung muss nachweislich an Cybersicherheitsschulungen teilgenommen haben. Halte den Nachweis für die Geschäftsführung separat und griffbereit.
„Wie stellen Sie sicher, dass neue Mitarbeiter geschult werden?" Der Auditor will den Onboarding-Prozess sehen und Nachweise dafür, dass er tatsächlich gelebt wird. Ziehe Nachweise für die letzten drei bis fünf Neueinstellungen als Beleg heran.
Die goldene Regel für das Audit
Bereite eine Schulungsakte pro Mitarbeiter vor, physisch oder digital, die alle Nachweise enthält: Teilnahmebestätigungen, Quiz-Ergebnisse, Richtlinien-Attestierungen, Onboarding-Nachweis. Wenn du dem Auditor innerhalb von zwei Minuten die komplette Schulungshistorie eines beliebigen Mitarbeiters zeigen kannst, hast du diesen Prüfpunkt bestanden.
Aufbewahrungsfristen und Archivierung
Schulungsnachweise müssen über einen definierten Zeitraum aufbewahrt werden. Die exakte Frist hängt von verschiedenen Faktoren ab:
Regulatorische Anforderungen: ISO 27001 definiert keine feste Aufbewahrungsfrist, verlangt aber, dass dokumentierte Informationen aufbewahrt werden, solange sie relevant sind. In der Praxis bedeutet das: mindestens über den gesamten Zertifizierungszyklus (drei Jahre) plus einen Puffer.
Arbeitsrechtliche Anforderungen: Wenn Schulungsnachweise als Grundlage für arbeitsrechtliche Maßnahmen dienen (Eskalation bei Nicht-Teilnahme), gelten die arbeitsrechtlichen Aufbewahrungsfristen.
Datenschutzrechtliche Grenzen: Schulungsnachweise enthalten personenbezogene Daten und dürfen nicht unbegrenzt aufbewahrt werden. Nach Ausscheiden eines Mitarbeiters sollten die Nachweise nach einer definierten Frist (typischerweise zwei bis drei Jahre) gelöscht werden, sofern keine andere Rechtsgrundlage die weitere Aufbewahrung erfordert.
Empfehlung: Bewahre Schulungsnachweise mindestens fünf Jahre auf, längstens bis drei Jahre nach Ausscheiden des Mitarbeiters. Definiere die Fristen in einer Aufbewahrungsrichtlinie und setze sie konsequent um.
Eine Schulungsnachweis-Struktur aufbauen
Zum Abschluss ein konkreter Vorschlag, wie du die Schulungsdokumentation in deinem ISMS strukturieren kannst. Diese Struktur lässt sich sowohl digital als auch (mit Einschränkungen) papierbasiert umsetzen.
Ebene 1: Schulungsplan
Ein Dokument, das den Jahresüberblick gibt:
| Schulung | Zielgruppe | Format | Frequenz | Verantwortlich | Q1 | Q2 | Q3 | Q4 |
|---|---|---|---|---|---|---|---|---|
| Awareness Grundschulung | Alle Mitarbeiter | E-Learning + Workshop | Jährlich | ISB | X | |||
| Phishing-Simulation | Alle Mitarbeiter | Simulation | Quartalsweise | ISB | X | X | X | X |
| Management-Schulung NIS2 | Geschäftsführung | Workshop | Jährlich | ISB | X | |||
| IT-Admin Vertiefung | IT-Abteilung | Workshop | Halbjährlich | IT-Leitung | X | X | ||
| Datenschutz-Schulung | Alle Mitarbeiter | E-Learning | Jährlich | DSB | X |
Ebene 2: Schulungsnachweise pro Veranstaltung
Für jede durchgeführte Schulung ein Nachweis-Dokument mit den sechs Pflichtfeldern (Teilnehmer, Datum, Thema, Trainer, Ergebnis, Bestätigung).
Ebene 3: Mitarbeiter-Schulungsakte
Pro Mitarbeiter eine Übersicht mit allen absolvierten Schulungen, Attestierungen und offenen Fälligkeiten. Das ist die Akte, die du im Audit innerhalb von zwei Minuten vorlegen können musst.
Ebene 4: Reporting und KPIs
Aggregierte Auswertungen über den Schulungsstatus: Schulungsabdeckung nach Abteilung, überfällige Schulungen, Quiz-Ergebnisse im Trend, Phishing-Klickraten. Diese Ebene fließt in das Management-Review ein.
Schulungsnachweise sind kein Selbstzweck
Die Dokumentation von Schulungen kann sich wie bürokratischer Overhead anfühlen. Formulare ausfüllen, Listen führen, Fristen überwachen. Aber diese Nachweise erfüllen einen doppelten Zweck: Sie beweisen dem Auditor, dass dein ISMS funktioniert, und sie geben dir selbst die Transparenz, die du brauchst, um dein Schulungsprogramm zu steuern.
Ohne Nachweise weißt du nicht, ob alle Mitarbeiter geschult sind. Du weißt nicht, welche Abteilung Defizite hat. Du weißt nicht, ob das Quiz-Ergebnis der letzten Schulung besser oder schlechter war als das der vorherigen. Du fliegst blind.
Mit sauberen Nachweisen hingegen hast du die Grundlage, um dein Programm kontinuierlich zu verbessern: Wo sind die Wissenslücken? Welche Formate kommen gut an? Welche Zielgruppen brauchen mehr Aufmerksamkeit? Das macht den Unterschied zwischen einem Schulungsprogramm, das Compliance erfüllt, und einem, das tatsächlich wirkt.
Weiterführende Artikel
- Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- Internes ISMS-Audit durchführen: Planung, Checkliste und Bericht
- Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung
- Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?
Fang mit den Basics an: Schulungsplan erstellen, Pflichtfelder für jeden Nachweis definieren, Fristen festlegen, Eskalationsprozess aufsetzen. Den Rest baust du iterativ auf, Quartal für Quartal, Schulung für Schulung. Die perfekte Dokumentation gibt es nicht am ersten Tag. Aber ein konsistenter, nachvollziehbarer Prozess, der von Anfang an läuft, ist im Audit mehr wert als ein theoretisch perfektes System, das in der Praxis Lücken hat.