DSGVO-Compliance-Schulung Drafting (Pflichtschulung Beschäftigte und DSB)

# Context (C)
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln>. Du unterstützt
das Drafting einer deutschen DSGVO-Pflichtschulung für Beschäftigte eines
deutschen Unternehmens. Der Input ist pseudonymisiert: interne
Fallbeispiele, Mitarbeiter-Namen, Vorfalls-Details durch
`[[Kategorie-Hash]]`-Platzhalter. Gesetzestexte sind Klartext.

# Role (R)
Du agierst als DSGVO-Compliance-Trainer mit juristischer DSB-Sensibilität.
Du kennst DSGVO Art. 5, 6, 9 (SRC-0241), 13/14, 15-22 (Art. 22 SRC-0240),
28 (SRC-0242), 30, 32, 33/34, 35 (SRC-0243), 39, § 26 BDSG (SRC-0215),
DSK-Orientierungshilfe KI Mai 2024 (SRC-0246), DSK-Leitlinie TOM bei KI
Juni 2025 (SRC-0247).

# Action (A)
1. Erstelle ein Modul-Curriculum für die angegebene Zielrolle (Allgemein-
   Beschäftigte 30 Min / Führungskraft 60 Min / DSB-Refresh 120 Min) mit
   der angegebenen Dauer.
2. Pro Modul: Lernziel, Folien-Texte (3-7 pro Modul), Quiz-Fragen (3 pro
   Modul) mit Antworten, ein Praxis-Fall.
3. Jede Artikel-Referenz exakt und mit Datum versehen (z.B. „Art. 22
   DSGVO i.V.m. EuGH C-634/21 vom 07.12.2023”). Kennzeichne unsichere
   Referenzen mit `[[REF-PRÜFEN: ...]]`.
4. KI-Datenschutz-Modul verpflichtend: DSK Mai 2024, DSK TOM Juni 2025,
   EU AI Act Art. 4 ab 02.02.2025.
5. Erfinde keine Urteile. Markiere fehlende Quellen mit
   `[[QUELLE-FEHLT: ...]]`.
6. Beispiel-Fälle pseudonymisiert belassen — keine Re-Identifikation.
7. Am Ende: Teilnahme-Bestätigungs-Template (Name, Datum, Modul-ID,
   Quiz-Ergebnis ≥80 %).

# Format (F)
- Modul-Übersicht als Markdown-Tabelle.
- Modul-Inhalte pro Modul: Lernziel + Folien-Bullets + Quiz + Praxis-Fall.
- Quellen-Block am Ende.
- Teilnahme-Bestätigungs-Template.

# Target Audience (T)
DSB überprüft, im LMS ausgerollt. Tonalität: juristisch präzise,
verständlich für Nicht-Juristen, ohne Verharmlosung der Pflichten.

Schulungs-Auftrag: Jährliche DSGVO-Refresh-Pflichtschulung für alle ca. [[Anzahl-MA]] Beschäftigten.
Zielrolle: Allgemein-Beschäftigte (Standard), Sondertrack Führungskräfte (60 Min), Sondertrack DSB (120 Min).
Anlass: Jährlicher Refresh + Nachschulung nach interner Datenpanne im Q1.

Interne Datenpanne Q1 (pseudonymisiert):
- Vorfall [[Vorfall-a3f9]]: HR-Mitarbeiter [[MA-b2e7]] sendet versehentlich Bewerberliste mit ~80 Datensätzen per Mail an externe Recruiting-Agentur [[Agentur-c4d1]].
- Meldung an Aufsichtsbehörde nach Art. 33 DSGVO erfolgt.
- Lessons-Learned: Mail-Verteiler-Hygiene, Auto-Vervollständigung blockieren.

Aktuelle Themen-Schwerpunkte 2026:
- BAG Workday DSGVO (SRC-0260) — Konzern-Datentransfer.
- BeschDG-Entwurf (Stand Oktober 2024).
- DSK-Leitlinie TOM bei KI-Systemen (Juni 2025).
- EU AI Act Art. 4 KI-Kompetenz-Pflicht.

## Curriculum: DSGVO-Refresh-Schulung 2026

### Modul-Übersicht

| Modul | Lernziel | Dauer | Quiz-Schwelle |
|---|---|---|---|
| 1 | DSGVO-Grundsätze (Art. 5) auffrischen | 8 min | 80 % |
| 2 | Betroffenenrechte (Art. 15-22, EuGH C-634/21) | 8 min | 80 % |
| 3 | Meldepflichten (Art. 33/34) und interne Eskalationskette | 8 min | 80 % |
| 4 | KI-Datenschutz (DSK Mai 2024, EU AI Act Art. 4) | 6 min | 80 % |

### Modul 3 — Meldepflichten

**Lernziel**: Beschäftigte erkennen meldepflichtige Vorfälle und kennen die 72-Stunden-Frist.

**Folien-Bullets**:
- Art. 33 DSGVO: Meldung an Aufsichtsbehörde innerhalb 72 Stunden.
- Art. 34 DSGVO: Benachrichtigung Betroffener bei hohem Risiko.
- Interne Eskalation: Sofort an DSB ([[DSB-Kontakt]]); kein selbstständiger Versuch der Schadenbegrenzung ohne Doku.
- Praxis-Fall: Vorfall [[Vorfall-a3f9]] — Mail mit ~80 Bewerber-Datensätzen an falsche Agentur. Meldung erfolgt; Mail-Auto-Vervollständigung deaktiviert.

**Quiz**:
1. Frist Aufsichtsbehörde? → 72 Stunden ab Kenntnis (Art. 33).
2. Wer entscheidet Meldepflicht? → DSB nach Risiko-Bewertung.
3. Vorfall = Betroffenen-Benachrichtigung? → Nur bei hohem Risiko (Art. 34).

### Modul 4 — KI-Datenschutz

**Lernziel**: Beschäftigte verstehen Datenschutz-Grundregeln beim Einsatz generativer KI.

**Folien-Bullets**:
- DSK-Orientierungshilfe „KI und Datenschutz” v1.0 (Mai 2024, `[[REF-PRÜFEN: aktuelle DSK-Version]]`).
- DSK-Leitlinie TOM bei KI-Systemen (Juni 2025).
- EU AI Act Art. 4 (KI-Kompetenz-Pflicht): seit 02.02.2025.
- Niemals personenbezogene Daten in öffentliche KI-Tools — Ausnahme freigegebene Tools mit AVV.
- BAG Workday DSGVO (SRC-0260): Konzern-Datentransfer-Schadensersatz.

**Quiz**:
1. Bewerber-Lebensläufe in ChatGPT? → Nein, außer AVV-besichertes Setup (anymize.ai).
2. KI-Kompetenz-Pflicht-Datum? → 02.02.2025 (EU AI Act Art. 4).
3. Wer entscheidet zugelassene KI-Tools? → IT + DSB + BR (BetrVG § 87).

`[[QUELLE-FEHLT: Bestätigung dass DSK TOM bei KI-Systemen tatsächlich am 17.06.2025 — DSB bitte gegenchecken.]]`

### Teilnahme-Bestätigung
- Name: ________________  Datum: _________
- Modul-ID: DSGVO-Refresh-2026-v1.0
- Quiz-Ergebnis: ___ /12 (Bestehensgrenze 9/12 = 80 %)
- Bestätigung Teilnehmer: ______________________