So gelingt datenschutzkonforme Weiterbildung

Datenschutzkonforme Weiterbildung mit einem LMS (Learning Management System) bedeutet vor allem ein: personenbezogene Daten schützen. Immer dann, wenn auf irgendeine Art und Weise personenbezogene Daten verarbeitet werden, kommen Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder auch das Betriebsverfassungsgesetz (BetrVG) zur Anwendung.

Zu den personenbezogenen Daten zählen alle Angaben über persönliche oder sachliche Verhältnisse einer Person. Bei der Nutzung eines LMS gehören hierzu z. B. Vor- und Nachname, E-Mail-Adresse, Personalnummer, Organisationseinheit oder die Sprache des Teilnehmenden.

Datenschutzkonforme Weiterbildung: Welche Daten Ihr LMS verarbeitet

Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten, wird ein datenschutzkonformes Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivitäten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeitenden- oder Kundendatenbank.

Hat Ihr Unternehmen keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verstärken. So können Sie sich so schnell wie möglich einen Überblick über Ihre Situation verschaffen.

Sobald Sie in Ihrem LMS den Namen von auch nur einem Lernenden erfassen, verarbeiten Sie personenbezogene Daten. Diese werden in der datenschutzkonformen Weiterbildung sensitiv gehandhabt. Besondere Vorschriften gelten, wenn Sie auch Daten über minderjährige Azubis in ihrem LMS führen oder falls Sie Spezialinformationen (z.B. besondere Anforderungen bei der Unterbringung für Präsenzveranstaltungen) dokumentieren müssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzwürdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbestände überhaupt verarbeitet werden dürfen.

Das A und O: Transparenz in der Datenverarbeitung

Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins veröffentlicht. Die Mehrheit der LMS-Lösungen für den professionellen Einsatz ist bereits so ausgelegt, dass Teilnehmende beim ersten Login die Kenntnisnahme einer Datenschutzerklärung bestätigen müssen.

Hier müssen Sie die Lernenden transparent über die Verwendung ihrer Daten für den Zweck der Trainingsorganisation informieren — inklusive Aufklärung über ihre Rechte und die Dauer der Speicherung. Eventuell macht es Sinn, einen verantwortlichen Datenschutzbeauftragten zu benennen.

Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerklärung nicht DSGVO-konform ist, muss er angepasst und erneut von den Lernenden bestätigt werden. Nur so kann eine datenschutzkonforme Weiterbildung sichergestellt werden.

Um das Risiko zu vermeiden, dass andere gesetzliche Erlaubnistatbestände eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung der Nutzenden in die Datenverarbeitung eingeholt wird. Den Nutzenden muss jedoch die Möglichkeit offenstehen, diese Einwilligung so einfach zu widerrufen, wie sie erteilt wurde.

Willigt ein Nutzer nicht ein oder widerruft die Einwilligung, bedeutet das für die meisten LMS, dass diese Person Ihre Schulungsdienste nicht mehr in Anspruch nehmen kann. Das kann Sie vor eine Herausforderung stellen — zum Beispiel dann, wenn es in Ihrem LMS verpflichtende Trainings gibt, die alle Mitarbeitenden ohne Ausnahme absolvieren müssen.

Dazu gehören Trainings zur Arbeitssicherheit oder elektronische Sicherheitsunterweisungen für bestimmte Maschinen. Hier ist im Rahmen der datenschutzkonformen Weiterbildung noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne Einwilligung über einen der Erlaubnistatbestände aus Art. 6 oder 9 DSGVO gerechtfertigt werden kann.

Altbestände anonymisieren

Auch der Umgang mit alten Datenbeständen ist Teil einer datenschutzkonformen Weiterbildung. In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format befüllt wurde, bevor es im Unternehmen eine Datenschutzerklärung für das Trainingsgeschäft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie hauptsächlich aus häufig wechselnden Externen (z.B. Anwendern, Händlern) besteht, dann ist es sicher nicht sinnvoll oder möglich, die „Karteileichen“ für die Bestätigung einer neuen Datenschutzerklärung zu kontaktieren.

Eher können Sie Altbestände (z. B. Nutzende ohne Trainingsaktivitäten in den letzten 10 Jahren) bei Bedarf anonymisieren. Diese radikale Maßnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS — ein solches System ist nämlich darauf ausgelegt, Informationen über Lernende und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren.

Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Maßnahmen im Rahmen einer datenschutzkonformen Weiterbildung tatsächlich auch gefordert werden.

Eine Pseudonymisierung kann im Zeitraum bis zum Erreichen der Löschfrist eine gute datenschutzkonforme und dennoch auditsichere Lösung für ältere Datenbankeinträge darstellen — beispielsweise durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer möglichen Zuordnung über eine eindeutige ID.

Prozesse gehen vor Technik

In der Praxis ist nicht davon auszugehen, dass LMS-Nutzende häufig von ihrem Recht Gebrauch machen werden und willkürlich ihre Einwilligungserklärung widerrufen. Dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der Fälle konkret umgehen wollen. Beantragt ein Teilnehmender die Löschung aller Daten, die sie über ihn gespeichert haben, haben Sie dafür in der Regel gemäß Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch.

Weitere LMS-relevante Features in Hinblick auf die DSGVO wären auch die leichtere Möglichkeit für den Teilnehmenden, ihn/sie betreffende Daten einzusehen und zu berichtigen. Auch die eigenen Daten in einem gängigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen, ist sinnvoll. Dadurch könnte der Lernende seine Bildungshistorie viel leichter zu seinem nächsten Arbeitgeber mitnehmen. Hier könnte der Begriff lebenslanges Lernen auch in Kombination mit neuen Technologien wie xAPI/TinCan eine neue Dynamik bekommen. Auch die Themen „Privacy by design“ (Datenschutz durch Technik) und „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) sind nun stärker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch neue Features und eine Aktualisierung der Oberfläche wiederfinden.

Wie lässt sich ein LMS datensparsam und ohne lückenlose Überwachung einsetzen?

Das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, nur die personenbezogenen Daten zu verarbeiten, die für den Schulungszweck wirklich erforderlich sind. Zusammen mit Privacy by Default (Art. 25 DSGVO) lässt sich so ein datensparsames LMS betreiben, das Mitarbeitenden nicht das Gefühl einer lückenlosen Überwachung gibt. Drei Stellschrauben sind dabei entscheidend:

• Nur erforderliche Felder erheben: Für die meisten Pflichtschulungen genügen Name und E-Mail-Adresse. Personalnummer oder Abteilung sollten Sie nur erfassen, wenn sie für Nachweise oder Audits tatsächlich gebraucht werden.
• Aggregierte statt personenscharfer Reports: Viele Auswertungen — etwa Abschlussquoten pro Team oder Standort — funktionieren auf aggregierter Ebene, ohne einzelne Lernende sichtbar zu machen.
• Einsicht über ein Berechtigungskonzept begrenzen: Über klare Rollen und Rechte lässt sich steuern, dass Vorgesetzte nur die Daten sehen, die sie für ihre Aufgabe wirklich benötigen — nicht das vollständige Lernprofil.

So bleibt Ihre datenschutzkonforme Weiterbildung auditsicher und respektiert gleichzeitig die Privatsphäre der Belegschaft. Wie die Mitbestimmung des Betriebsrats bei der LMS-Einführung geregelt wird, lesen Sie im Beitrag zu LMS und Betriebsrat.

IT-Sicherheit für datenschutzkonforme Weiterbildung

Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO im Rahmen Ihrer datenschutzkonformen Weiterbildung auch verstärkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie müssen angemessene technische und organisatorische Maßnahmen (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschlüsselung der Datenübertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbehörde und den Nutzern melden.

Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen für Sie übernehmen. Auch Anbieter mit Sitz außerhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten. Sie müssen daher ein Schutzniveau gewährleisten, das den Anforderungen der DSGVO genügt.

Unabhängig davon, ob Ihr LMS gekauft oder gemietet ist, müssen Ihre Administratoren für einen sicheren Umgang mit personenbezogenen Daten verstärkt sensibilisiert werden. Dies fängt bei der tatsächlichen Einhaltung der Passwortrichtlinien und Best Practices beim E-Mail-Versand an, wie z.B. dem Nutzen des BCC-Feldes. Admins müssen mit personenbezogenen Daten in Reports kritisch, sorgfältig und vertraulich umgehen. Möglicherweise müssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeitenden das LMS im Homeoffice oder auf privaten Geräten nutzen dürfen. Wie eine DSGVO-Schulung für Mitarbeitende inhaltlich aufgebaut sein sollte und wie oft sie stattfinden muss, lesen Sie in unserem separaten Praxisleitfaden.

Vorsicht bei Trends

Falls Ihr Unternehmen auch dem Trend „Learning Analytics“ folgen möchte, muss genau geprüft werden, wie Sie ihn im Rahmen Ihrer datenschutzkonformen Weiterbildung umsetzen können, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erfüllt ist.

Beim Social Learning sollten Sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur die Teilnehmenden sich gegenseitig sehen, die dem auch zugestimmt haben. Wenn Sie sich für die neuen Technologien VR/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabschätzung sinnvoll und kann Sie bei der Konformitätsdokumentation im Fall der Fälle vor hohen Strafen bewahren.

Eine datenschutzkonforme Weiterbildung berücksichtigt diese Trends von Anfang an — und vermeidet teure Nachbesserungen.

Fazit

Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich im Detail und ggf. mit der Unterstützung eines fachkundigen Datenschutzbeauftragen darüber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse datenschutzkonform gestalten können. Hier dürfen sich Unternehmen, insbesondere Mittelständler, nicht nur auf die Technik Ihres LMS verlassen.

Sie sind neugierig geworden und möchten mehr zum Thema Lernplattformen für Unternehmen erfahren? Wir haben im verlinkten Artikel alle Formen von Lernplattformen sowie wichtige Funktionen zusammengefasst und verraten, worauf Sie beim Kauf achten sollten. Auch unser Beitrag zu LMS und DSGVO ergänzt die Perspektive — er fokussiert speziell auf die DSGVO-konforme Auswahl der Plattform.

Checkliste

DSGVO-Konformität ist nur eines der Kriterien, die ein LMS erfüllen sollte. Die Auswahl des passenden LMS kann schwierig sein, da es viele verschiedene Anbieter gibt. Wir haben deshalb eine hilfreiche Checkliste mit den 15 wichtigsten Anforderungen für Sie verfasst – kostenlos herunterladen und einfach abhaken:

Häufig gestellte Fragen