Edusign
Glossar

DSGVO: Definition, Grundprinzipien und Pflichten für Weiterbildungsorganisationen

Das Edusign-Team · 10 mars 2026 · 7 min
Kurz gesagt: Die DSGVO (Datenschutz-Grundverordnung) ist der europäische Rechtsrahmen für die Verarbeitung personenbezogener Daten. Für Leitungen von Weiterbildungsorganisationen, Schuldirektionen und Verwaltungsverantwortliche in Bildungseinrichtungen schreibt sie konkrete Pflichten für die Erhebung, Aufbewahrung und Sicherheit von Lernendendaten vor: Namen, Anwesenheitsnachweise, Bewertungen, Kontaktdaten. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Was ist die DSGVO?

Die DSGVO, oder Datenschutz-Grundverordnung (englisch GDPR, General Data Protection Regulation; französisch RGPD), ist eine europäische Verordnung, die am 25. Mai 2018 in Kraft getreten ist. Sie ersetzt die Datenschutzrichtlinie von 1995 und harmonisiert die Datenschutzgesetze aller EU-Mitgliedstaaten bei der Verarbeitung personenbezogener Daten.

Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren: Name, E-Mail-Adresse, Identifikationsnummer, biometrische Daten oder auch eine Kombination von Elementen, die zusammen eine Identifizierung ermöglichen. Das betrifft sowohl digitale Dateien als auch Papierakten.

Die DSGVO gilt für jede Organisation, unabhängig von ihrer Größe oder ihrem Sitzland, sobald sie Daten von Personen mit Wohnsitz in der EU verarbeitet. Für Weiterbildungsorganisationen, Berufsausbildungszentren, Universitäten und betriebliche Weiterbildungsabteilungen bedeutet das, dass alle Daten zu Lernenden, Teilnehmern, Mitarbeitern und Trainern dieser Verordnung unterliegen.

Grundprinzipien der DSGVO

Die DSGVO beruht auf sieben Grundsätzen, die die Verarbeitung personenbezogener Daten leiten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Daten dürfen nur auf einer Rechtsgrundlage erhoben werden (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse), und die betroffenen Personen müssen darüber informiert werden, wie ihre Daten verwendet werden.
  • Zweckbindung. Für einen bestimmten Zweck erhobene Daten dürfen nicht für unvereinbare Zwecke weiterverwendet werden.
  • Datenminimierung. Nur die für den Zweck unbedingt erforderlichen Daten dürfen erhoben werden.
  • Richtigkeit. Daten müssen aktuell gehalten und Unrichtigkeiten unverzüglich berichtigt werden.
  • Speicherbegrenzung. Daten dürfen nur so lange aufbewahrt werden, wie es für den Erhebungszweck erforderlich ist.
  • Integrität und Vertraulichkeit. Daten müssen gegen unbefugten Zugriff, Verlust und versehentliche Vernichtung geschützt werden.
  • Rechenschaftspflicht. Die Organisation muss jederzeit ihre DSGVO-Konformität nachweisen können.

Konkrete Pflichten für Weiterbildungsorganisationen

Für die Leitung einer Weiterbildungsorganisation übersetzt sich die DSGVO in konkrete operative Pflichten:

  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Jede Verarbeitung personenbezogener Daten (Einschreibungsverwaltung, Anwesenheitsverfolgung, Kommunikation, Archivierung von Bewertungen) muss in einem aktuellen Register dokumentiert werden.
  • Information der Lernenden. Bei jeder Datenerhebung müssen Lernende und Teilnehmer über Verarbeitungszweck, Aufbewahrungsdauer und ihre Rechte informiert werden.
  • Einholung einer wirksamen Einwilligung. Wenn die Verarbeitung auf Einwilligung basiert, muss diese freiwillig, spezifisch, informiert und eindeutig sein. Ein vorausgefülltes Kästchen ist keine wirksame Einwilligung im Sinne der DSGVO.
  • Datensicherung. Geeignete technische und organisatorische Maßnahmen müssen getroffen werden: Verschlüsselung, Zugriffskontrolle, regelmäßige Datensicherungen, Berechtigungsverwaltung.
  • Verwaltung von Auftragsverarbeitern. Jeder Dienstleister, der Daten im Auftrag der Organisation verarbeitet (Hosting-Anbieter, Verwaltungssoftware, digitales Anwesenheitstool), muss einen DSGVO-konformen Auftragsverarbeitungsvertrag unterzeichnet haben.
  • Meldung von Datenschutzverletzungen. Im Fall einer Verletzung oder eines unbefugten Zugriffs muss die Organisation die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen und die betroffenen Personen informieren, wenn das Risiko hoch ist.

Sanktionen und Risiken bei Nichteinhaltung

Die DSGVO ist keine rein theoretische Pflicht. Die Datenschutzaufsichtsbehörden in Europa verfügen über weitreichende Untersuchungs- und Sanktionsbefugnisse.

Zwei Bußgeldebenen sind vorgesehen:

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen grundlegende Pflichten (Verzeichnis, Datenschutzbeauftragter, Sicherheit der Verarbeitung).
  • Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei Verletzung der Grundrechte betroffener Personen (fehlende Einwilligung, Nichtbeachtung des Löschrechts, unzulässige Datentransfers außerhalb der EU).

Neben Bußgeldern können Aufsichtsbehörden Korrekturmaßnahmen auferlegen, wie die Einschränkung oder Aussetzung der Datenverarbeitung, was den Betrieb einer Weiterbildungsorganisation, deren Kernprozesse auf nicht konformen digitalen Tools beruhen, lähmen kann.

DSGVO und Lernendendaten

Lernende, Teilnehmer und Studierende sind im Hinblick auf die DSGVO die sensitivste Gruppe für Weiterbildungsorganisationen. Ihre Daten sind vielfältig: Identität, Kontaktdaten, Anwesenheitsverfolgung, Bewertungsergebnisse, Gesundheitsdaten in manchen Kontexten, Informationen zur Weiterbildungsfinanzierung.

Drei besondere Aufmerksamkeitspunkte für Weiterbildungsverantwortliche:

  • Aufbewahrungsfristen für Daten. Ausbildungsunterlagen (Anwesenheitslisten, Bewertungen, Verträge) müssen je nach ihrer Art unterschiedlich lang aufbewahrt werden. Für Fördermittelkontrollen erforderliche Dokumente werden in der Regel 5 Jahre aufbewahrt. Digitale Tool-Login-Daten überschreiten in der Regel 12 Monate nicht.
  • Daten minderjähriger Lernender. Bei Lernenden unter 16 Jahren ist für jede auf Einwilligung basierende Datenverarbeitung, die nicht unbedingt für die Durchführung der Weiterbildung erforderlich ist, die Zustimmung der Eltern oder des gesetzlichen Vormunds erforderlich.
  • Daten-Hosting. Für Organisationen, die ihre Aktivitäten in einem digitalen Tool verfolgen, wird das Hosting von Daten in Europa dringend empfohlen, um das Risiko unzulässiger Datentransfers außerhalb der EU zu begrenzen.

Wie Edusign die DSGVO-Konformität gewährleistet

Edusign wurde mit der DSGVO-Konformität als Kerndesignprinzip entwickelt, nicht als nachträgliche Ergänzung. Konkret schlägt sich das in mehreren Garantien nieder:

  • Hosting in Europa. Alle Daten werden auf ISO 27001-zertifizierten Infrastrukturen im europäischen Hoheitsgebiet gehostet, ohne Übertragung in unzureichend geschützte Drittländer.
  • Datenverschlüsselung. Daten werden bei der Übertragung (TLS) und im Ruhezustand verschlüsselt, was das Risiko eines unbefugten Zugriffs im Fall einer Verletzung begrenzt.
  • DSGVO-konformer Auftragsverarbeitungsvertrag. Edusign unterzeichnet mit jedem Kunden einen Auftragsverarbeitungsvertrag (DPA), der die durchgeführten Verarbeitungen und die gebotenen Garantien präzise beschreibt, konform mit Artikel 28 der DSGVO.
  • Digitale Anwesenheitserfassung: Elektronische Anwesenheitslisten werden zeitgestempelt und konform archiviert, mit einer Aufbewahrungsdauer, die an die regulatorischen Anforderungen jeder Organisation angepasst werden kann.
  • eIDAS-konforme elektronische Unterschrift: Ausbildungsverträge und vertragsrechtliche Dokumente, die über Edusign unterzeichnet werden, haben einen anerkannten Beweiswert, ohne dass Papierkopien aufbewahrt werden müssen.

Für Direktoren von Weiterbildungsorganisationen, Verwaltungsverantwortliche und Datenschutzbeauftragte, die ihre DSGVO-Konformität vereinfachen möchten und gleichzeitig die von ihren Förderern geforderte Nachvollziehbarkeit gewährleisten wollen, bietet Edusign eine schlüsselfertige Lösung, die das regulatorische Risiko reduziert, ohne den Arbeitsalltag der Teams zu belasten.

Häufig gestellte Fragen zur DSGVO

Vor der DSGVO hatte jeder EU-Mitgliedstaat sein eigenes nationales Datenschutzgesetz auf Basis einer Richtlinie von 1995. Diese Gesetze variierten von Land zu Land und hatten eine begrenzte extraterritoriale Reichweite. Die DSGVO, die im Mai 2018 in Kraft trat, ist eine direkt anwendbare Verordnung in allen Mitgliedstaaten und schafft einen einheitlichen harmonisierten Rahmen. Sie stärkte die Rechte der Einzelpersonen erheblich (Löschung, Portabilität, Widerspruch) und führte deutlich höhere Sanktionen bei Verstößen ein. Außerdem führte sie den Grundsatz der Rechenschaftspflicht ein: Organisationen müssen nicht nur konform sein, sondern ihre Konformität jederzeit nachweisen können.

Die Ernennung eines Datenschutzbeauftragten (DSB) ist für Organisationen obligatorisch, die im großen Umfang sensible Daten verarbeiten oder systematisch Personen im großen Maßstab überwachen. Für die meisten kleinen und mittleren Weiterbildungsorganisationen ist ein DSB nicht gesetzlich vorgeschrieben. Er ist jedoch dringend empfohlen, sobald die Organisation Daten für Hunderte von Lernenden verwaltet, digitale Tracking-Tools (LMS, digitale Anwesenheitserfassung) verwendet oder sensible Daten (Gesundheit, Behinderung) verarbeitet. Auch ohne gesetzliche Verpflichtung ist die Benennung eines internen DSGVO-Ansprechpartners eine gute Praxis, die das Vorfallmanagement erleichtert.

Die Aufbewahrungsfristen hängen von der Art der Daten und ihrem Zweck ab. Für weiterbildungsbezogene Daten gelten folgende Hauptfristen: Ausbildungsverträge und -vereinbarungen sollten 5 Jahre nach Ende der Weiterbildung aufbewahrt werden, um auf Fördermittelkontrollen reagieren zu können. Anwesenheitslisten und Anwesenheitsbescheinigungen werden in der Regel 5 Jahre aufbewahrt. Bewerbungsdaten nicht berücksichtigter Kandidaten sollten nicht länger als 2 Jahre aufbewahrt werden. Login-Daten für digitale Tools überschreiten in der Regel 12 Monate nicht. Nach Ablauf dieser Fristen müssen Daten gelöscht oder anonymisiert werden. Es wird empfohlen, diese Fristen im Verzeichnis der Verarbeitungstätigkeiten zu formalisieren.

Bei einer Datenschutzverletzung (unbefugter Zugriff, Verlust, versehentliche Vernichtung oder Offenlegung) hat die Weiterbildungsorganisation 72 Stunden Zeit, um die zuständige Aufsichtsbehörde zu benachrichtigen. Die Meldung muss die Art der Verletzung, die betroffenen Kategorien und die Anzahl der Personen, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen beschreiben. Wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, müssen diese ebenfalls unverzüglich informiert werden. Eine gute Vororganisation (Verarbeitungsregister, Notfallverfahren, identifizierte Behördenkontakte) reduziert die Reaktionszeit erheblich.

Ja, mit spezifischen Regeln. Bei Lernenden unter 16 Jahren (die Schwelle variiert leicht je nach Land) ist für jede auf Einwilligung basierende Datenverarbeitung, die nicht unbedingt für die Durchführung der Weiterbildung erforderlich ist, die Zustimmung der Eltern oder des gesetzlichen Vormunds erforderlich. Ab 16 Jahren kann der Minderjährige in den meisten Fällen selbst einwilligen. Für Weiterbildungsorganisationen, die Minderjährige aufnehmen (Berufsschulen, Berufsausbildungszentren, Zertifizierungsprogramme für Jugendliche), ist es unerlässlich, diesen Punkt in die Anmeldeformulare zu integrieren und sicherzustellen, dass die verwendeten digitalen Tools die Daten minderjähriger Lernender konform und sicher verarbeiten.

Bereit, Ihre Verwaltung zu vereinfachen?

Kostenlos testen