LMS und DSGVO – was bei der Auswahl zu beachten ist

Bei der Auswahlentscheidung für ein LMS wird aus gutem Grund auf die Vereinbarkeit mit den Anforderungen des Datenschutzes und der DSGVO geachtet. Gerade deutsche oder europäische Unternehmen aus dem Mittelstand sind oft verunsichert, in welchem Umfang die Anforderungen der DSGVO zu beachten sind. Deutsche Unternehmen bevorzugen in der Regel einen deutschen Anbieter, weil dort der Support auf deutscher Sprache angeboten wird und auch die Anforderungen an den Datenschutz mit einem persönlichen Ansprechpartner geregelt werden können.

Wichtige Punkte in der Auswahlentscheidung für ein LMS

Wenn Sie mit dem LMS Ihre Mitarbeiterschulungen oder Schulungen für Kunden, Partner oder andere Personen betreiben, dann werden in jedem Fall persönliche Daten verarbeitet und gespeichert. Hierunter fallen vor allem die E-Mail-Adresse und weitere persönliche Daten der Teilnehmenden. Insofern muss zunächst ein sog. AVV oder ADV (Vertrag über die Auftragsdatenverarbeitung) mit dem jeweiligen Anbieter beziehungsweise Betreiber des LMS abgeschlossen werden. Hier sollten Sie darauf achten, dass Ihnen dieser ADV in deutscher Sprache vorgelegt wird und Sie gegebenenfalls Änderungswünsche mit einem persönlichen Ansprechpartner beim Anbieter erörtern können.

Ferner sollten Sie sich beim Anbieter informieren, wie das Datensicherungskonzept aussieht. Dazu gehören Vorkehrungen technischer und organisatorischer Art, die der Anbieter getroffen hat, um die auf seinem Server gespeicherten Daten zu sichern. Ein Teil dieser Maßnahmen ist als sog. TOA Anlage (Technisch Organisatorische Maßnahmen) in der ADV geregelt. Für darüber hinausgehende Maßnahmen sollte Ihnen der Anbieter ein eigenes Sicherheitskonzept vorlegen können.

Wichtig ist am Ende, wo die Server stehen

Die weitere und oft in den Mittelpunkt gestellte Frage bezieht sich auf den Standort der Server, auf dem die persönlichen Daten der Kunden gespeichert werden. Moderne LMS-Lösungen sind sog. Cloud-Lösungen. Das bedeutet, die Daten werden nicht wie früher als sog. on-premise auf Servern des Kunden gespeichert, sondern in der Cloud. In den letzten Jahren haben sich Cloud-Lösungen durchgesetzt, da diese für den Kunden preiswerter sind, eine kontinuierliche Weiterentwicklung der Software gewährleistet wird und nicht extra abgerechnet wird. Die große Mehrheit der Cloud-Lösungen hostet die Daten nun aber auf Servern von Amazon (AWS) oder Microsoft, da diese Lösung die leistungsfähigsten sind. Alle größeren US-Anbieter betreiben mittlerweile alle Serverfarmen mit Serverstandort in Europa oder Deutschland, um den Anforderungen der DSGVO entsprechen zu können.

Dennoch hat ein Urteil des Europäischen Gerichtshof für Verunsicherung gesorgt, das auch als Schrems II bekannt geworden ist. Hier hatte der EuGH entschieden, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint, worauf die Europäische Kommission in 2021 die sog. Standardvertragsklauseln erlassen hatte, die seit dem 27.9.2021 für die Datenübermittlung abzuschließen sind. Doch auch hier kam es in der Vergangenheit oft zu Fragen von Datenschutzbeauftragten, ob auch bei Abschluss der Standardvertragsklauseln ein Restrisiko bestehen kann, weil die jeweiligen Behörden in Drittländern wie den USA auf die Daten zugreifen könnten.

Urteile vom OLG Karlsruhe & EuGH geben Gewissheit

Mittlerweile hat sich allerdings auch unter Datenschutzexperten eine pragmatische Abwägung durchgesetzt, die zuletzt vom OLG Karlsruhe bestätigt worden ist. Das OLG hatte in einer Entscheidung vom 6.9.2022 klargestellt, dass deutsche Behörden bei öffentlichen Aufträgen sehr wohl auf Tochtergesellschaften von US-amerikanischen Cloud-Dienste-Anbietern zurückgreifen. Die Voraussetzung dafür ist, dass diese zusichern, die Daten in Deutschland zu verarbeiten.

Nicht nur dieses Urteil kann Unternehmen aktuell die Gewissheit geben, dass eine Speicherung von persönlichen Daten auch über ein LMS auf Servern mit Standort in Deutschland bzw. Europa zulässig ist. Denn hier wurde dies vom OLG für von der öffentlichen Hand betriebenen Krankenhäusern richterlich erlaubt. Und Patientendaten dürften weitaus sensibler sein als im normalen Einsatzszenario eines LMS.

Server von US-Unternehmen in Deutschland & Europa

Last but not least zeigt ein genauer Blick auf das Urteil des EuGH, dass sich Unternehmen im Kontext eines LMS keine Sorgen machen müssen. Denn die problematischen Normen, die das Privacy-Shield kippten, sind Section 702 FISA und Executive Order 12333 (E.O. 12333). Diese ermächtigen US-Behörden, sogenannte “foreign intelligence” zu erlangen. Darunter versteht man sämtliche Informationen, die die USA im Rahmen ihrer geheimdienstlichen Tätigkeiten für erforderlich oder hilfreich erachten. Wer nun also mit dem LMS keine Aufträge für einen Geheimdienst bearbeitet, sollte sich von den Sorgenfalten der Datenschutzbeauftragten nicht verunsichern lassen. Immerhin werden externe Datenschutzbeauftragte dafür bezahlt, potentielle Risiken aufzuzeigen. Die jeweiligen Lösungen müssen dann im Unternehmen gefunden werden. Somit besteht nun Klarheit, dass von US-Unternehmen in Deutschland oder Europa betriebene Server DSGVO konform sind.

Remote Work & DSGVO

Remote Work wirft wichtige Fragen im Zusammenhang mit der DSGVO auf. Der Zugriff auf Unternehmensdaten außerhalb des geschützten Netzwerks kann Datenschutzrisiken mit sich bringen. Unternehmen müssen sicherstellen, dass Mitarbeitende, die remote arbeiten, im Bereich Datenschutz angemessen geschult sind. Außerdem müssen sie geeignete Sicherheitsvorkehrungen treffen, um die Einhaltung der DSGVO zu gewährleisten. Dazu gehört, sichere Netzwerke und Geräte zu verwenden, Datenübertragungen zu verschlüsseln und Zugriffskontrollen zu implementieren.

Es gibt im remote work jedoch nicht nur Datenschutz zu beachten. Weitere wichtige Compliance-Themen sind Sozialversicherungen, Steuern, Wirksamkeit & Sorgfaltspflicht usw. Wie behalten Sie da am besten den Überblick, vor allem wenn Ihre Mitarbeitenden auch noch in verschiedenen Ländern arbeiten?

Mit rhome bringen Sie remote work auf eine neue Stufe, indem Sie Ihre Mitarbeitenden auf der ganzen Welt tracken können und gleichzeitig alle wichtigen Compliance-Anforderungen einhalten. Seien Sie ein moderner und attraktiver Arbeitgeber und bieten Sie Ihrem Team volle örtliche Flexibilität.  

Fazit

Datenschutzkonforme Weiterbildung ist ein komplexes Thema. Wir haben deshalb noch mehr wertvolle Infos für Sie gesammelt, mit denen Sie teure Fehler im Bereich LMS und DSGVO vermeiden können.

Sie sind neugierig geworden und möchten mehr zum Thema Lernplattformen für Unternehmen erfahren? Wir haben im verlinkten Artikel alle Formen von Lernplattformen sowie wichtige Funktionen zusammengefasst und verraten, worauf Sie beim Kauf achten sollten.

Checkliste

DSGVO-Konformität ist nur eines der Kriterien, die ein LMS erfüllen sollte. Die Auswahl des passenden LMS kann schwierig sein, da es viele verschiedene Anbieter gibt. Wir haben deshalb eine hilfreiche Checkliste mit den 15 wichtigsten Anforderungen für Sie verfasst – kostenlos herunterladen und einfach abhaken: