News

Üben am echten System, ohne echtes Risiko: Datenschutz in virtuellen Schulungsräumen

Digitale Schulungsumgebungen bilden ganze IT-Landschaften nach, damit Mitarbeitende gefahrlos üben können. Doch sobald echte Daten ins Spiel kommen, beginnt ein heikles Datenschutzkapitel.

Von Anton · · 4 Min. Lesezeit

Wenn die Übung gefährlicher ist als der Ernstfall

Software-Schulungen finden längst nicht mehr nur am Whiteboard statt. Wer heute lernt, ein Warenwirtschaftssystem, eine Krankenhaus-Software oder ein Buchhaltungsprogramm zu bedienen, tut das oft an einer virtuellen Kopie des echten Systems – einer abgeschotteten Übungsumgebung, in der Teilnehmende Knöpfe drücken, Datensätze anlegen und Fehler machen können, ohne im Produktivsystem Schaden anzurichten. Das Prinzip ist bestechend: Man übt am realistischen Abbild, nicht am scharf geschalteten Original. Anbieter solcher virtuellen Schulungsrechner und Trainingsplattformen werben damit, dass sich so komplexe Programme gefahrlos vermitteln lassen. Eine Stuttgarter Firma etwa machte das Thema kürzlich mit einer Pressemitteilung zum Datenschutz in genau solchen Umgebungen erneut zum Gesprächsstoff.

Der scheinbar harmlose Trainingsraum hat allerdings einen heiklen Punkt: Sobald in der Übung echte personenbezogene Daten auftauchen – Namen von Patienten, Kundenadressen, Gehaltslisten –, gilt für die Schulungsumgebung dasselbe Recht wie für jedes andere System, das solche Daten verarbeitet.

Testdaten sind nicht gleich Echtdaten

Datenschützer raten seit Jahren dazu, Schulungs- und Testsysteme grundsätzlich mit künstlichen oder anonymisierten Daten zu befüllen. Der Grund ist einfach: In einer Lernumgebung haben oft viele Personen Zugriff, Berechtigungen sind großzügiger gesetzt, und Inhalte werden seltener gelöscht als im Produktivbetrieb. Wandern dort echte Datensätze hinein, vervielfacht sich die Angriffsfläche, ohne dass es einen sachlichen Grund dafür gibt. Die Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten nur zweckgebunden und so sparsam wie möglich verarbeitet werden – eine Schulung ist selten ein legitimer Zweck, um reale Kundendaten durch ein Dutzend Hände gehen zu lassen.

In der Praxis ist die saubere Trennung anspruchsvoller, als sie klingt. Realistische Übungen leben von realistischen Daten, und das Generieren plausibler Kunstdatensätze kostet Aufwand. Trotzdem bleibt die Anonymisierung der sicherere Weg: Werden Datensätze so verändert, dass sich kein Bezug mehr zu einer realen Person herstellen lässt, fällt die Übungsumgebung weitgehend aus dem Anwendungsbereich des Datenschutzrechts heraus.

Der externe Anbieter wird zum Auftragsverarbeiter

Komplizierter wird es, wenn die Schulungsumgebung nicht im eigenen Haus, sondern bei einem externen Dienstleister läuft – etwa in dessen Cloud oder auf dessen virtuellen Schulungsrechnern. Verarbeitet dieser Dienstleister im Auftrag des Unternehmens personenbezogene Daten, liegt nach gängiger Auslegung eine Auftragsverarbeitung im Sinne der DSGVO vor. Das zieht konkrete Pflichten nach sich: Beide Seiten müssen einen Auftragsverarbeitungsvertrag schließen, in dem unter anderem Zweck, Datenkategorien, technische und organisatorische Schutzmaßnahmen sowie etwaige Subdienstleister festgehalten werden. Der Dienstleister darf die Daten ausschließlich weisungsgebunden und nicht für eigene Zwecke nutzen.

Auch die eingesetzte Meeting- oder Fernzugriffssoftware gehört in diese Betrachtung: Wer Zugang zu den Inhalten hat, ist datenschutzrechtlich relevant. Unternehmen sind zudem ohnehin verpflichtet, Mitarbeitende, die mit personenbezogenen Daten arbeiten, regelmäßig zum Datenschutz zu schulen – die Schulung selbst datenschutzkonform zu gestalten, schließt diesen Kreis.

Worauf es am Ende ankommt

Virtuelle Schulungsumgebungen sind ein sinnvolles Werkzeug, das Lernen sicherer und praxisnäher macht. Zum Stolperstein werden sie erst dort, wo echte Daten ohne Notwendigkeit in die Übung geraten oder die Zuständigkeiten gegenüber externen Anbietern ungeklärt bleiben. Die naheliegende Faustregel lautet: erst klären, welche Daten überhaupt nötig sind, im Zweifel anonymisieren – und dann die vertraglichen Grundlagen mit allen Beteiligten schaffen.


Dies ist eine redaktionelle Einordnung eines Branchenthemas und keine Rechtsberatung. Für die datenschutzrechtliche Bewertung eines konkreten Einzelfalls sollten qualifizierte Fachleute hinzugezogen werden.

Mehr zum Thema

  • Nachweis ohne Enddatum: Warum Medizinproduktehersteller heute lebenslang Daten sammeln müssen
  • Ein Jahr Barrierefreiheitsgesetz: Wie digitale Teilhabe vom Wunsch zur Pflicht wurde
  • Das Aus für Windows 10: Was Büros und Praxen jetzt über Sicherheitsupdates wissen müssen
  • Pflicht ohne Aufschub: Was das NIS-2-Gesetz jetzt von Zehntausenden Unternehmen verlangt
  • Sicherheitsprüfung bis in die Belegschaft: Was das neue KRITIS-Dachgesetz von Betreibern verlangt
  • Barrierefrei ist Pflicht: Was das BFSG seit 2025 von Websites und Webshops verlangt