Zum Inhalt springen
Qualifizierungschancengesetz
Qualifizierungschancengesetz beantragen: der komplette Antragsweg QCG-GrundlagenAntragsprozessBranchen-CasesUmschulen statt entlassenRechtlichesUmsetzung im Unternehmen Blog Termin buchen
Rechtliches

Datenschutz bei Qualifizierung: Was die DSGVO verlangt

· 9 Min. Lesezeit · Dr. Jens Aichinger
Aktenordner mit Datenschutz-Aufdruck neben Laptop und abschließbarer Aktenlade

Qualifizierungsmaßnahmen verarbeiten personenbezogene Daten der teilnehmenden Mitarbeiter. Namen, Geburtsdaten, Qualifikationsstand, Leistungen in Prüfungen, Zertifikate, Anwesenheitszeiten. Die DSGVO verlangt für jede Verarbeitung eine klare Rechtsgrundlage, eine transparente Information der Betroffenen und ein definiertes Löschkonzept. Wer eine Qualifizierungsmaßnahme plant, muss diese Anforderungen von Anfang an mitdenken.

Aus meiner Beratungspraxis weiß ich, dass Datenschutz bei Qualifizierung oft stiefmütterlich behandelt wird. HR und Linienmanager konzentrieren sich auf Inhalte, Kosten und Förderung, der Datenschutz bleibt Nebensache. Bei Datenschutz-Prüfungen durch die Aufsichtsbehörden wird das später zum Problem. Dieser Artikel zeigt die Kernanforderungen und wie Sie sie rechtssicher umsetzen.

Welche Daten verarbeitet werden

Bei einer QCG-geförderten Qualifizierung fallen typischerweise folgende Datenkategorien an:

Personenstammdaten: Name, Vorname, Geburtsdatum, Adresse, Staatsangehörigkeit, Sozialversicherungsnummer. Diese Daten werden für Vertragsgestaltung, QCG-Antrag und Abrechnung benötigt.

Beschäftigungsdaten: Arbeitgeber, Position, Eintrittsdatum, Arbeitszeit, Gehaltsgruppe. Diese Daten fließen in den QCG-Antrag ein und dienen der Freistellungsplanung.

Qualifikationsdaten: Bestehender Berufsabschluss, Vorbildung, bisherige Weiterbildungen, Leistungen in der Qualifizierung, Prüfungsergebnisse, Zertifikate. Diese Daten werden vom Bildungsträger geführt und dem Arbeitgeber weitergeleitet.

Freistellungsdaten: Anwesenheitszeiten, Freistellungsstunden, Teilzeitanpassungen. Diese Daten werden für die Abrechnung mit der Agentur für Arbeit benötigt.

Förderdaten: Förderantrag, Bewilligungsbescheid, Abrechnungsunterlagen, Nachweise. Diese Daten fließen zur Agentur für Arbeit.

Nicht alle Datenkategorien sind gleich sensibel. Leistungsbewertungen und Prüfungsergebnisse sind sensibler als reine Teilnahmelisten. Die DSGVO verlangt, dass die Verarbeitung jeder Kategorie gerechtfertigt und dokumentiert wird.

Rechtsgrundlagen nach Art. 6 DSGVO

Für die Verarbeitung personenbezogener Daten braucht es eine Rechtsgrundlage. Bei Qualifizierungsmaßnahmen kommen drei Grundlagen aus Art. 6 DSGVO in Betracht.

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Wenn die Datenverarbeitung zur Erfüllung des Arbeitsvertrags oder einer Qualifizierungsvereinbarung notwendig ist. Das ist bei Stammdaten, Freistellungsdaten und Abrechnungsdaten in der Regel der Fall. Die Rechtsgrundlage ist einfach anzuwenden, keine Interessenabwägung nötig.

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Wenn die Verarbeitung aufgrund gesetzlicher Pflichten erforderlich ist. Das betrifft Nachweise gegenüber der Agentur für Arbeit, Dokumentationspflichten aus dem SGB III, Aufbewahrungspflichten aus dem HGB.

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Wenn die Verarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers notwendig ist. Das betrifft die Dokumentation des Qualifizierungserfolgs, Nachweise für Revisionen, interne Personalentwicklungs-Statistiken.

Die Wahl der Rechtsgrundlage ist nicht beliebig. Jede Verarbeitung braucht die passende Grundlage. Wer alles auf berechtigtes Interesse stützt, handelt unsauber. Der BDSG und die DSGVO verlangen die präzise Zuordnung.

Die Einwilligung als letzte Option

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) scheint auf den ersten Blick die einfachste Rechtsgrundlage. In der Praxis ist sie oft problematisch.

Problem 1: Freiwilligkeit. Im Beschäftigungsverhältnis ist die Freiwilligkeit einer Einwilligung zweifelhaft. Der Mitarbeiter steht in einem Abhängigkeitsverhältnis und kann sich einer angeforderten Einwilligung schwer entziehen.

Problem 2: Widerrufbarkeit. Die Einwilligung kann jederzeit widerrufen werden. Das macht langfristige Datenverarbeitung unsicher.

Problem 3: Informationspflicht. Die Einwilligung muss nachweisbar, klar und spezifisch sein. Der Dokumentationsaufwand ist hoch.

Einwilligung ist sinnvoll nur dort, wo keine andere Rechtsgrundlage greift. Typischer Fall: Nutzung von Fotos des Teilnehmers für Marketingmaterial des Bildungsträgers. Für die Kern-Qualifizierungsprozesse reichen die anderen Rechtsgrundlagen aus.

Datensparsamkeit als Pflicht

Art. 5 Abs. 1 lit. c DSGVO verlangt Datensparsamkeit. Es dürfen nur solche Daten verarbeitet werden, die für den jeweiligen Zweck notwendig sind.

In der Praxis bedeutet das: Das vollständige Abiturzeugnis oder der Lebenslauf des Mitarbeiters sind für eine QCG-Qualifizierung in der Regel nicht relevant. Es reicht der aktuelle Berufsabschluss. Private Telefonnummern oder E-Mail-Adressen sind nicht nötig, wenn die Qualifizierung über den Arbeitgeber kommuniziert wird.

Ein Prüfkriterium: Würde die Datenverarbeitung ohne diese konkrete Information funktionieren? Wenn ja, ist die Information nicht notwendig und darf nicht erhoben werden. Das klingt trivial, ist in der Praxis aber häufig verletzt. Standardformulare sammeln oft mehr Daten, als wirklich benötigt werden.

Informationspflichten gegenüber dem Mitarbeiter

Art. 13 DSGVO verpflichtet den Arbeitgeber, den Mitarbeiter über die Datenverarbeitung zu informieren. Die Information muss vor Beginn der Verarbeitung erfolgen und umfasst:

Die Identität des Verantwortlichen (in der Regel der Arbeitgeber), die Zwecke der Verarbeitung, die Rechtsgrundlage, die Empfänger der Daten (Bildungsträger, Agentur für Arbeit, interne Stellen), die Speicherdauer, die Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Widerspruch).

In der Praxis wird die Informationspflicht über ein Datenschutzmerkblatt oder eine Datenschutzklausel im Qualifizierungsvertrag erfüllt. Das Merkblatt sollte zwei bis drei DIN-A4-Seiten umfassen und in verständlicher Sprache formuliert sein.

Eine pauschale Information reicht nicht. Der Mitarbeiter muss die konkreten Abläufe seiner Qualifizierungsmaßnahme verstehen können. Wer pauschal auf eine „Datenschutzerklärung des Unternehmens” verweist, ohne den konkreten Fall zu erläutern, verletzt die Pflicht.

Die Rolle des Bildungsträgers

Bildungsträger wie SkillSprinters sind bei QCG-geförderten Maßnahmen als Auftragsverarbeiter tätig. Die Rechtsbeziehung wird über einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt.

Der AVV regelt: Welche Daten werden übergeben? Für welche Zwecke darf der Bildungsträger die Daten verwenden? Welche Sicherheitsmaßnahmen gelten? Wie werden die Daten nach Kursende gelöscht oder zurückgegeben?

In der Praxis stellt der Bildungsträger einen Standard-AVV zur Verfügung. Der Arbeitgeber sollte den Vertrag prüfen und gegebenenfalls Anpassungen verlangen. Ohne AVV ist die Datenweitergabe an den Bildungsträger rechtswidrig.

Übermittlung an die Agentur für Arbeit

Die Übermittlung personenbezogener Daten an die Agentur für Arbeit im Rahmen des QCG-Antrags ist durch Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) gerechtfertigt. Die Pflicht zur Datenübermittlung ergibt sich aus dem SGB III und den fachlichen Weisungen der Bundesagentur.

Die Agentur erhält üblicherweise: Stammdaten des Mitarbeiters, Beschäftigungsdaten, Qualifizierungsmaßnahme, Kosten, Abrechnungsunterlagen, ggf. Leistungsnachweise. Die Agentur nutzt die Daten für Bewilligung, Kontrolle und Abrechnung.

Der Mitarbeiter muss über diese Übermittlung informiert werden. Ein Widerspruch gegen die Übermittlung ist grundsätzlich nicht möglich, weil die Rechtsgrundlage eine gesetzliche Pflicht ist.

Speicherdauer und Löschkonzept

Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck notwendig sind. Nach Zweckerreichung sind sie zu löschen, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.

Typische Aufbewahrungspflichten bei QCG-Qualifizierungen:

  • Arbeitsrechtliche Dokumente: in der Regel bis zum Ausscheiden plus angemessene Nachfrist
  • QCG-Förderunterlagen: sechs Jahre nach Maßnahmenende (handelsrechtlich)
  • Steuerliche Unterlagen: zehn Jahre
  • Zertifikate des Mitarbeiters: bis zum Ausscheiden plus Nachfrist

Ein Löschkonzept legt fest, welche Daten wann gelöscht werden. Die Löschung soll proaktiv erfolgen, nicht auf Antrag des Mitarbeiters. In der Praxis wird das Löschkonzept oft als Tabelle geführt, die pro Datenkategorie die Speicherdauer und den Löschtermin nennt.

Rechte des Mitarbeiters

Der Mitarbeiter hat umfangreiche Rechte nach Art. 12 bis 23 DSGVO.

Auskunftsrecht (Art. 15): Der Mitarbeiter kann jederzeit erfahren, welche seiner Daten verarbeitet werden und zu welchen Zwecken. Der Arbeitgeber muss binnen eines Monats antworten.

Berichtigungsrecht (Art. 16): Falsche Daten müssen korrigiert werden.

Löschungsrecht (Art. 17): Daten, die nicht mehr benötigt werden, sind zu löschen. Es gibt Ausnahmen bei rechtlichen Aufbewahrungspflichten.

Einschränkungsrecht (Art. 18): Der Mitarbeiter kann die Verarbeitung einschränken lassen, wenn er sie für unrechtmäßig hält.

Datenübertragbarkeit (Art. 20): Der Mitarbeiter kann seine Daten in einem gängigen Format ausgehändigt bekommen, um sie an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht (Art. 21): Gegen Verarbeitungen auf Grundlage berechtigter Interessen kann widersprochen werden.

In der Praxis werden diese Rechte selten geltend gemacht. Die Ausnahme: Nach dem Ausscheiden aus dem Unternehmen fordern Mitarbeiter oft die Auskunft über ihre Daten und die anschließende Löschung.

Datenschutz-Folgenabschätzung

Nach Art. 35 DSGVO ist bei risikobehafteten Verarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Bei normalen Qualifizierungsmaßnahmen ist eine DSFA in der Regel nicht erforderlich. Die Risiken sind überschaubar, die Datenmenge begrenzt.

Eine DSFA kann erforderlich sein bei:

  • Automatisierten Bewertungsverfahren, die weitreichende Konsequenzen haben (Beförderungsentscheidung auf Basis der Qualifizierungsleistung)
  • Verarbeitung besonderer Datenkategorien (Gesundheitsdaten bei gesundheitsbezogenen Qualifizierungen)
  • Umfassender Überwachung von Teilnehmern (etwa durch Online-Proctoring bei Prüfungen)

Im Zweifel hilft die Rücksprache mit dem Datenschutzbeauftragten des Unternehmens.

Der betriebliche Datenschutzbeauftragte

Unternehmen ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten (DSB) bestellen. Der DSB ist bei Qualifizierungsmaßnahmen frühzeitig einzubinden.

Aufgaben des DSB im Qualifizierungskontext: Beratung bei der Auswahl der Rechtsgrundlage, Prüfung der Informationspflichten, Kontrolle des Auftragsverarbeitungsvertrags mit dem Bildungsträger, Unterstützung bei Anfragen der Mitarbeiter.

Der DSB hat ein direktes Berichtsrecht an die Geschäftsführung. Wenn er Bedenken äußert, sollten diese ernst genommen werden. Ein Ignorieren kann im Haftungsfall teuer werden.

Technische und organisatorische Maßnahmen

Nach Art. 32 DSGVO müssen geeignete technische und organisatorische Maßnahmen (TOM) getroffen werden, um die Datensicherheit zu gewährleisten.

Typische TOM bei Qualifizierungsmaßnahmen:

  • Verschlüsselte Übertragung personenbezogener Daten
  • Zugriffsbeschränkungen auf HR und zuständige Führungskräfte
  • Passwortschutz und Zwei-Faktor-Authentisierung bei elektronischen Systemen
  • Abschließbare Aktenschränke für Papier-Dokumente
  • Protokollierung von Zugriffen bei sensiblen Daten
  • Regelmäßige Schulung der Mitarbeiter

Die TOM werden in einem TOM-Konzept dokumentiert. Der Datenschutzbeauftragte prüft die Angemessenheit regelmäßig.

Datenschutz in der Betriebsvereinbarung

Die Betriebsvereinbarung zur Weiterbildung sollte einen Datenschutz-Abschnitt enthalten. Dieser regelt:

  • Welche Daten verarbeitet werden
  • Welche Rechtsgrundlagen gelten
  • Wer Zugriff auf die Daten hat
  • Wie lange die Daten gespeichert werden
  • Wie die Löschung erfolgt

Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung technischer Systeme, die zur Überwachung des Verhaltens der Arbeitnehmer geeignet sind (§87 Abs. 1 Nr. 6 BetrVG). Das betrifft auch elektronische Systeme zur Qualifizierungsdokumentation.

Rechtsgrundlage und weiterführende Quellen

Die zentrale Rechtsgrundlage ist die Datenschutz-Grundverordnung{target=“_blank” rel=“noopener”}. Das Bundesdatenschutzgesetz{target=“_blank” rel=“noopener”} ergänzt die DSGVO um nationale Regelungen.

Informationen zur Anwendung bei Beschäftigungsdaten gibt das BfDI (Bundesbeauftragter für Datenschutz){target=“_blank” rel=“noopener”}. Die Landesdatenschutzbehörden veröffentlichen Handreichungen für die Praxis.

Für die betriebliche Umsetzung sind weitere Regelungen relevant. Die Betriebsvereinbarung zur Weiterbildung integriert Datenschutz in den Gesamtrahmen. Der Artikel zur Revisionssicherheit von QCG-Anträgen zeigt, wie Dokumentation und Datenschutz zusammenwirken.

Häufig gestellte Fragen zum Datenschutz bei Qualifizierung

Brauche ich eine Einwilligung für die Qualifizierungsmaßnahme? In der Regel nicht. Die Verarbeitung stützt sich meist auf Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c). Einwilligung kann bei Zusatzzwecken wie Marketingfotos nötig sein, aber nicht für die Grundverarbeitung.
Kann der Mitarbeiter die Datenweitergabe an die Agentur verweigern? Nein, die Weitergabe erfolgt aufgrund gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO). Ein Widerspruch ist nicht möglich. Der Mitarbeiter muss über die Weitergabe informiert werden, kann sie aber nicht blockieren.
Wie lange müssen QCG-Unterlagen aufbewahrt werden? Sechs Jahre nach Ende der Maßnahme aus handelsrechtlichen Gründen, zehn Jahre bei steuerlich relevanten Unterlagen. Persönliche Daten des Mitarbeiters sind meist an die Beschäftigungsdauer gekoppelt: bis Ausscheiden plus Nachfrist für eventuelle Ansprüche.
Was passiert mit den Daten, wenn der Mitarbeiter geht? Nicht benötigte Daten sind zu löschen. Daten, die für Nachweise gegenüber der Agentur oder für steuerliche Zwecke benötigt werden, bleiben bis zum Ende der Aufbewahrungsfrist. Der Mitarbeiter kann nach dem Ausscheiden eine Auskunft und ggf. Löschung verlangen.
Brauche ich einen Auftragsverarbeitungsvertrag mit dem Bildungsträger? Ja, wenn der Bildungsträger personenbezogene Daten der Mitarbeiter verarbeitet. Das ist bei allen Qualifizierungsmaßnahmen der Fall. Ohne AVV ist die Datenweitergabe rechtswidrig. Seriöse Bildungsträger stellen einen Standard-AVV zur Verfügung.

Zuletzt geprüft am 21.04.2026 von Dr. Jens Aichinger.

QCG-Rechner: Ihre Förderung in 3 Minuten Rechnen Sie Förderquote, Zuschuss und Eigenanteil für Ihre konkrete Situation aus. Zum QCG-Rechner

Bei konkretem Bedarf: 20-Minuten-Erstgespräch vereinbaren

Hinweis: Dieser Artikel ersetzt keine individuelle Rechtsberatung. Bei konkreten Datenschutzfragen oder Prüfungen durch die Aufsichtsbehörden sollten Sie einen spezialisierten Datenschutzbeauftragten oder Rechtsanwalt konsultieren.

Weiterlesen