Nachverfolgen, wer die Schulung absolviert hat, klingt nach Excel, ist aber unter Cbw, DORA und DSGVO 2026 ernsthafte Compliance-Pflicht. Aufsicht fragt nicht mehr nur „haben Sie Schulung“, sondern „zeigen Sie, wer was wann abgeschlossen hat\“. Wie richten Sie das nachweisbar ein, ohne Verwaltungssumpf?
Warum Administration heute mehr zählt
Eine PowerPoint und Unterschrift auf Papier reichten lange. Unter Cbw, DORA und DSGVO-Durchsetzung 2026 nicht mehr. Bei Vorfall, Audit oder Stichprobe ist binnen Tagen Beleg gefordert: wer, welches Modul, wann, mit welchem Ergebnis.
Bei persönlicher Haftung (Cbw Art. 24) zählt Dokumentation doppelt. Ohne Nachweis kann Vorstand sich nach Vorfall schwer verteidigen.
Administration ist kein Selbstzweck. Wer alles dokumentiert, aber niemanden wirklich schult, sieht gut aus auf Papier und schlecht im Verhalten. Ziel: leichte, automatische Erfassung, audit-bereit ohne Hektik.
Was Sie mindestens erfassen müssen
Praxisminimum:
- Wer: Mitarbeitende, Abteilung, Rolle. HR oder Entra ID synchronisieren.
- Was: Modulname, Thema, Version.
- Wann: Start- und Abschlussdatum, evtl. Dauer.
- Ergebnis: abgeschlossen ja/nein, Quizergebnis, akzeptierte Richtlinie.
- Verhaltensmetriken: bei Sicherheitsschulung auch Simulationsergebnisse.
Was Sie nicht tun sollten
Häufige Fallen:
Individuelles Klickverhalten an Führungskräfte teilen. Rechtlich grau, funktional fatal.
Richtlinien-Akzeptanz per Mailbox. Bei Audit kein Beleg.
Beweise auf gemeinsamem Laufwerk. Veralten schnell.
Aufbewahrungsfristen vergessen. DSGVO: Speicherbegrenzung.
Wie automatisieren ohne Mehrarbeit
Administration als Nebenprodukt des Programms.
HR- oder Entra-ID-Kopplung. Neue Personen automatisch in Schulung; ausgeschiedene inaktiv setzen.
Eine Plattform für Schulung, Simulationen, Richtlinien-Akzeptanz und Reporting.
Automatisches Management-Dashboard.
Was eine Aufsicht konkret fragen kann
Beispiele:
- Wer hat Phishing-Basisschulung im letzten Jahr abgeschlossen, welche Version?
- Welche Vorstandsmitglieder haben Cbw-Schulung abgeschlossen, mit Datum?
- Welche Abteilungen hatten rollenbasierte Vertiefung im letzten Quartal?
- Welche Meldequote in Simulationen über zwölf Monate?
- Wer hat die AUP akzeptiert?
- Welche Maßnahmen nach Abteilung mit auffällig niedrigen Werten?
Wie Sie das im Awareness-Programm verankern
Administration als integraler Teil, nicht als Endbericht.
Eine Plattform mit HR/Identity-Kopplung.
Quartalsbericht an Vorstand.
Jährliche Audit-Readiness-Prüfung.
Ausnahmen dokumentieren.
Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.
Zur NIS2-SeiteVerwandte Artikel
- Auditnachweise für Awareness
- Board-Reporting für Awareness
- Compliance-Anforderungen für Awareness
- Wie wählt man eine Awareness-Plattform?
Quellen
FAQ
Was mindestens erfassen?
Wer, was, wann, Ergebnis; bei Sicherheitsschulung auch Verhaltensmetriken. Version und Datum entscheidend.
Individuelle Klickergebnisse mit Führung teilen?
Nein. Rechtlich grau, funktional kontraproduktiv.
Wie lange Belege aufbewahren?
Innerhalb DSGVO-Personalfristen (i. d. R. 5–7 Jahre nach Austritt). Plattform automatisch aufräumen lassen.
Was mit ausgeschiedenen Mitarbeitenden?
Inaktiv setzen; Daten innerhalb Aufbewahrung verfügbar.
Wie automatisieren?
HR- oder Entra-ID-Kopplung; eine Plattform für alles.
Excel reicht noch?
Für mittlere und große Organisationen nicht mehr. Plattform rechnet sich in einem Auditzyklus.
Was fragt eine Cbw-Audit konkret?
Abschluss pro Person und Modul, Vorstandsschulung Cbw Art. 24, Verhaltensmetriken, Richtlinien-Akzeptanz, Versionshistorie.
Externe Quelle: European Commission - NIS2 Directive