Blog · Öffentliche Verwaltung · 10 Min. Lesezeit

DSGVO-konforme Mitarbeiterschulung in der öffentlichen Verwaltung

25. März 2026 · Von Elias Peters · Aktualisiert 24. Mai 2026
Besprechung in einer Verwaltung zu DSGVO-konformer Schulung

DSGVO-konforme Mitarbeiterschulung in der öffentlichen Verwaltung

Kurz zusammengefasst: Kommunen müssen bei Schulungsplattformen auf Hosting in Deutschland/EU, keine individuelle Leistungsüberwachung und einen AVV nach Art. 28 DSGVO achten. Da Phishing-Angriffe auf den öffentlichen Sektor 2024/2025 um 65 % gestiegen sind (BSI), wird sichere und datenschutzkonforme Mitarbeiterschulung immer wichtiger — ohne den Personalrat mit Einzelauswertungen zu konfrontieren.

Die öffentliche Verwaltung steht unter besonderer Beobachtung, wenn es um Datenschutz geht. Kommunen verarbeiten sensible Bürgerdaten — von Meldedaten über Sozialleistungen bis zu Steuerinformationen. Jede neue Software, jede neue Plattform muss strengen Datenschutzanforderungen genügen. Das gilt auch für Schulungsplattformen.

Wenn eine Kommune ihre Mitarbeiter in Microsoft 365 schulen möchte, stehen schnell zwei Fragen im Raum: Ist die Plattform DSGVO-konform? Und trägt der Personalrat die Lösung mit? In diesem Artikel klären wir, worauf Kommunen bei der Auswahl einer Schulungslösung achten müssen — und warum das kein Hindernis sein muss.

Warum Datenschutz bei Schulungsplattformen besonders wichtig ist

Schulungsplattformen erfassen zwangsläufig Daten: Wer hat sich angemeldet? Welche Kurse wurden aufgerufen? Wie lange wurde gelernt? Gerade weil Microsoft 365 inzwischen in über 75 % der deutschen Verwaltungen eingesetzt wird und die Schulungsnachfrage entsprechend steigt, ist diese Frage für immer mehr Kommunen relevant. In einem privatwirtschaftlichen Unternehmen mag das unproblematisch sein. In der öffentlichen Verwaltung gelten andere Regeln.

Das Problem der Leistungsüberwachung

Viele Lernplattformen bieten detaillierte Analytics: Welcher Mitarbeiter hat welchen Kurs wann begonnen, wie lange bearbeitet und wie abgeschnitten. Für Führungskräfte klingt das nach nützlichen Daten. Für den Personalrat ist es ein rotes Tuch.

In der öffentlichen Verwaltung gilt: Leistungsüberwachung einzelner Mitarbeiter über eine Lernplattform ist in den meisten Fällen mitbestimmungspflichtig — und wird vom Personalrat in der Regel abgelehnt. Das ist kein Hindernis, sondern ein berechtigtes Anliegen: Mitarbeiter sollen freiwillig und in ihrem eigenen Tempo lernen, ohne das Gefühl, überwacht zu werden.

Die DSGVO-Anforderungen im Detail

Für Schulungsplattformen in der öffentlichen Verwaltung gelten folgende DSGVO-Grundsätze:

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten erfasst werden, die für den Zweck der Schulung tatsächlich erforderlich sind
  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Erfasste Daten dürfen nicht für andere Zwecke verwendet werden — z. B. Leistungsbeurteilung
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten dürfen nicht länger gespeichert werden als notwendig
  • Integrität und Vertraulichkeit (Art. 32 DSGVO): Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten
  • Transparenz (Art. 13 DSGVO): Mitarbeiter müssen informiert werden, welche Daten erfasst werden
  • Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Die Kommune muss die Einhaltung der Grundsätze nachweisen können

Auftragsverarbeitung — was im AVV stehen muss

Wenn eine externe Schulungsplattform personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Er muss mindestens Folgendes regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art, Umfang und Zweck der Verarbeitung
  • Kategorien betroffener Personen und der Daten
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Auftragsverarbeiters: TOMs, Mitarbeiterverpflichtung auf Vertraulichkeit, Einsatz von Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten, Meldepflichten bei Datenpannen
  • Vorgaben zur Löschung oder Rückgabe der Daten nach Vertragsende

Viele Standard-AVVs sind so allgemein gehalten, dass sie konkrete Fragen offen lassen. Achten Sie auf einen AVV, der speziell auf öffentliche Auftraggeber zugeschnitten ist und konkrete Datenflüsse beschreibt.

Checkliste: Worauf Kommunen bei der Auswahl achten sollten

1. Hosting-Standort

Die Plattform sollte in Deutschland oder zumindest in der EU gehostet sein. Datenverarbeitung in Drittländern — insbesondere USA — ist für öffentliche Verwaltungen problematisch und erfordert zusätzliche Schutzmaßnahmen. Schrems II hat klargestellt: Ohne zusätzliche Garantien ist die Übertragung in die USA in vielen Fällen nicht zulässig.

Fragen Sie: Wo stehen die Server? Werden Daten in Drittländer übertragen? Welche Standardvertragsklauseln (SCC) kommen zum Einsatz, wenn doch?

2. Keine individuelle Lernfortschrittsverfolgung

Die Plattform sollte keine personenbezogenen Lernfortschritte oder Testergebnisse einzelner Mitarbeiter speichern oder an Vorgesetzte berichten. Aggregierte, anonymisierte Nutzungsstatistiken (z. B. „75 % der Mitarbeiter haben den Outlook-Kurs abgeschlossen”) können sinnvoll sein — individuelle Auswertungen nicht.

Fragen Sie: Werden individuelle Lernfortschritte gespeichert? Können Vorgesetzte sehen, welcher Mitarbeiter welchen Kurs wie weit bearbeitet hat? Werden Quizergebnisse, Bearbeitungszeiten oder Login-Häufigkeit pro Person gespeichert?

3. Keine Drittanbieter-Tracker

Viele Plattformen binden externe Analyse-Tools ein (Google Analytics, Hotjar, Facebook Pixel etc.). Jeder dieser Tracker bedeutet eine zusätzliche Datenweitergabe an Dritte — und eine zusätzliche DSGVO-Hürde, weil eine eigene Rechtsgrundlage und in vielen Fällen eine Einwilligung der Mitarbeitenden nötig würde.

Fragen Sie: Werden externe Tracking-Tools oder Analyse-Dienste eingebunden? Werden Daten an Dritte weitergegeben? Welche Cookies werden gesetzt — und sind sie technisch notwendig?

4. Minimale Registrierungsdaten

Die Registrierung sollte so datensparsam wie möglich sein. Idealerweise genügt ein Zugangslink oder eine E-Mail-Adresse — ohne weitere personenbezogene Daten. Abfragen wie „Abteilung”, „Vorgesetzter” oder „Standort” sollten nur erhoben werden, wenn sie für die Schulung wirklich notwendig sind.

Fragen Sie: Welche Daten werden bei der Registrierung erfasst? Sind alle erfassten Daten tatsächlich für die Schulung notwendig?

5. Auftragsverarbeitungsvertrag

Ein AVV nach Art. 28 DSGVO sollte selbstverständlich sein. Er sollte klar und verständlich formuliert sein — nicht 50 Seiten Juristendeutsch. Im Idealfall enthält er bereits Anlagen mit konkreten TOMs und einer Liste von Unterauftragsverarbeitern (z. B. das Hosting-Rechenzentrum).

Fragen Sie: Stellen Sie einen AVV bereit? Ist er speziell auf öffentliche Auftraggeber zugeschnitten? Liegt eine Liste der Unterauftragsverarbeiter vor?

6. BSI-IT-Grundschutz und C5

Für sicherheitskritische Verwaltungsbereiche kann es sinnvoll sein, dass die Plattform nach BSI-IT-Grundschutz oder C5 (Cloud Computing Compliance Criteria Catalogue) zertifiziert ist oder Anbieter mit entsprechender Zertifizierung als Unterauftragsverarbeiter einsetzt. Das ist keine Pflicht, aber ein Qualitätsmerkmal.

Fragen Sie: Welche Zertifizierungen liegen vor? Sind die Hosting-Partner C5- oder ISO-27001-zertifiziert?

Den Personalrat frühzeitig einbinden

Der häufigste Fehler: Die IT-Abteilung oder Personalentwicklung wählt eine Plattform aus, stellt sie vor — und der Personalrat legt sein Veto ein. Das lässt sich vermeiden, wenn der Personalrat von Anfang an eingebunden wird.

Was der Personalrat wissen will

  1. Werden individuelle Leistungsdaten erfasst? Die Antwort muss „Nein” sein.
  2. Können Vorgesetzte den Lernstand einzelner Mitarbeiter einsehen? Die Antwort muss „Nein” sein.
  3. Ist die Teilnahme freiwillig? Idealerweise ja — oder zumindest ohne Konsequenzen bei unterschiedlichem Tempo.
  4. Ist die Plattform DSGVO-konform? Nachweisbar, mit AVV und Dokumentation.
  5. Wie lange werden Daten gespeichert? Konkrete Antwort, z. B. „90 Tage nach letzter Anmeldung”.

Dienstvereinbarung

In vielen Kommunen wird für die Einführung einer Schulungsplattform eine Dienstvereinbarung zwischen Dienststelle und Personalrat abgeschlossen. Diese regelt:

  • Zweck der Plattform (Weiterbildung, kein Leistungsmonitoring)
  • Welche Daten erfasst werden (und welche nicht)
  • Wer Zugriff auf welche Daten hat
  • Dauer der Speicherung
  • Rechte der Mitarbeiter
  • Verfahren bei Datenpannen
  • Beendigung und Datenlöschung bei Vertragsende

Eine pragmatische Dienstvereinbarung ist meist 3 bis 5 Seiten lang. Wenn der Anbieter eine Mustervorlage bereitstellt, beschleunigt das den Prozess erheblich — typischerweise von mehreren Monaten auf wenige Wochen.

Häufige Stolperfallen in der Praxis

Stolperfalle 1: Standard-AVV ohne Anpassung an Verwaltungsspezifika Viele Anbieter haben einen pauschalen AVV, der für Privatunternehmen gut funktioniert, aber landesrechtliche Besonderheiten ignoriert. Achten Sie auf Klauseln zu Datenschutzbeauftragten der öffentlichen Stellen und zu landesrechtlichen Datenschutzgesetzen.

Stolperfalle 2: Microsoft-365-eigene Schulungstools ohne Mitbestimmungsverfahren Wenn die IT-Abteilung Viva Learning oder Microsoft Stream als Schulungsplattform aktiviert, ohne den Personalrat einzubinden, kann das im Nachgang Probleme geben. Auch interne Tools können mitbestimmungspflichtig sein.

Stolperfalle 3: Cookie-Banner mit Tracking-Zwang Einige Plattformen funktionieren erst nach Einwilligung in Tracking-Cookies. Für Pflichtanwendungen am Arbeitsplatz ist eine Einwilligung in der Regel keine wirksame Rechtsgrundlage — sie gilt als nicht freiwillig.

Stolperfalle 4: Nachträgliche Funktionserweiterung Was, wenn der Anbieter sechs Monate nach Einführung Lernanalyse-Funktionen ergänzt? Achten Sie auf Klauseln im AVV, die wesentliche Änderungen am Datenmodell mitteilungspflichtig machen.

Unsere Lösung: DSGVO-konform und personalratskompatibel

Unsere Microsoft 365 Schulung für Kommunen wurde genau für diese Anforderungen konzipiert:

  • Hosting in Deutschland: Alle Daten werden auf deutschen Servern gespeichert
  • Keine Leistungsüberwachung: Wir erfassen keine individuellen Lernfortschritte oder Testergebnisse einzelner Mitarbeiter
  • Keine Drittanbieter-Tracker: Keine Weitergabe personenbezogener Daten an externe Dienste
  • Datensparsame Registrierung: Minimale Datenerfassung bei der Anmeldung
  • AVV verfügbar: Auftragsverarbeitungsvertrag speziell für öffentliche Auftraggeber, mit Anlage TOMs und Liste der Unterauftragsverarbeiter
  • Muster-Dienstvereinbarung: Wir stellen eine Vorlage bereit, die Sie an Ihre lokalen Gegebenheiten anpassen können

Das bedeutet: Sie können die Plattform dem Personalrat vorstellen und die zentralen Fragen positiv beantworten. Kein langes Hin und Her, kein Veto.

Fazit: Datenschutz ist kein Hindernis — sondern ein Qualitätsmerkmal

Eine DSGVO-konforme Schulungsplattform ohne Leistungsüberwachung ist kein Kompromiss. Es ist die richtige Lösung für die öffentliche Verwaltung. Mitarbeiter lernen freiwillig, in ihrem eigenen Tempo, ohne das Gefühl, überwacht zu werden. Das führt zu besserer Motivation und besseren Lernergebnissen.

Wenn Sie auf der Suche nach einer Microsoft 365 Schulung für Ihre Kommune sind, die sowohl den Datenschutzbeauftragten als auch den Personalrat überzeugt, sprechen Sie mit uns.

Microsoft 365 Schulung für Kommunen entdecken | Kostenloses Beratungsgespräch buchen

Weitere Artikel für die Verwaltung

Häufig gestellte Fragen

Welche DSGVO-Anforderungen muss eine Schulungsplattform für Kommunen erfüllen?

Sechs Punkte sind Pflicht: Hosting in Deutschland oder EU, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Datensparsamkeit bei der Registrierung, klare Zweckbindung der Daten, technische und organisatorische Maßnahmen nach Art. 32 DSGVO sowie eine Informationspflicht gegenüber den Mitarbeitenden nach Art. 13 DSGVO.

Reicht es, wenn die Plattform DSGVO-konform ist — oder braucht der Personalrat zusätzlich eine Zustimmung?

Eine DSGVO-Konformität allein genügt nicht. Der Personalrat hat ein Mitbestimmungsrecht nach den Personalvertretungsgesetzen der Länder (in Bayern z. B. Art. 75 BayPVG, in NRW § 72 LPVG) bei der Einführung von Software, die zur Verhaltens- oder Leistungskontrolle geeignet ist. Eine Dienstvereinbarung regelt typischerweise Zweck, Datenumfang und Zugriffsrechte.

Was muss ein AVV nach Art. 28 DSGVO konkret enthalten?

Der Auftragsverarbeitungsvertrag muss mindestens regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Daten, Kategorien betroffener Personen, Pflichten des Auftragsverarbeiters (TOM, Mitarbeiterverpflichtung, Unterauftragsverarbeiter), Unterstützungspflichten beim Schutz der Betroffenenrechte und Vorgaben zur Löschung oder Rückgabe nach Vertragsende.

Sind anonymisierte Nutzungsstatistiken zulässig?

Ja — solange wirklich anonymisiert. Eine Aussage wie 'In Abteilung X haben 75 % der Beschäftigten den Outlook-Kurs abgeschlossen' ist unkritisch, solange die Gruppe groß genug ist, dass kein Rückschluss auf Einzelpersonen möglich ist. Faustregel: keine Gruppe unter fünf Personen auswerten. Sobald einzelne Mitarbeitende identifizierbar wären, ist es keine Anonymisierung mehr, sondern Pseudonymisierung — und damit zustimmungspflichtig.

Was passiert, wenn wir Microsoft Stream oder Viva Learning intern nutzen — brauchen wir trotzdem einen AVV?

Wenn die Plattform Teil des bestehenden Microsoft-365-Tenants ist, greift der bereits abgeschlossene Microsoft-AVV. Trotzdem sollten Kommunen prüfen, ob die genutzten Funktionen (z. B. individuelle Fortschrittsanzeigen in Viva Learning) eine zusätzliche Dienstvereinbarung mit dem Personalrat erfordern. Externe Plattformen wie m365-kurs.de brauchen einen eigenen, separaten AVV.

Das Team von tprime IT in Augsburg

Über die Autoren

Das Team von tprime IT

Wir betreuen seit Jahren Unternehmen und Kommunen bei Microsoft-365-Einführungen. Aus dieser Praxis sind unsere Schulungen entstanden — ursprünglich für eigene Kunden, heute auf m365-kurs.de für alle nutzbar. Mehr zu uns auf tprime.de.

Microsoft 365 Schulung für Ihr Unternehmen

Kompakte Video-Kurse zu Outlook, Teams, SharePoint, OneDrive und Copilot. Ab 2,20 €/User/Monat.

Kostenloses Beratungsgespräch Alle Kurse ansehen