Digitale Weiterbildung datenschutzkonform gestalten

Avatar für Sofie Bräutigam
von Sofie Bräutigam

Aus der Kategorie:

datenschutzkonforme Weiterbildung

Um die Arbeit mit einem LMS (Learning Management System) datenschutzkonform zu gestalten, muss man vor allem eines beachten: die personenbezogenen Daten. Immer dann, wenn auf irgendeine Art und Weise personenbezogene Daten verarbeitet werden, kommen Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder auch das Betriebsverfassungsgesetz (BetrVG) zur Anwendung. Zu den personenbezogenen Daten zählen alle Angaben über persönliche oder sachliche Verhältnisse einer Person. Bei der Nutzung eines LMS gehören hierzu z. B. Vor- und Nachname, E-Mail-Adresse, Personalnummer, Organisationseinheit oder die Sprache des Nutzers.

Ihr LMS: Eine Maschine zur Datenverarbeitung

Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten, wird ein datenschutzkonformes Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivitäten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeiter- oder Kundendatenbank. Hat Ihr Unternehmen keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verstärken. So können Sie sich so schnell wie möglich einen Überblick über Ihre Situation verschaffen.

Sobald Sie in Ihrem LMS den Namen von auch nur einem Lernenden erfassen, verarbeiten sie personenbezogene Daten. Besondere Vorschriften gelten, wenn Sie auch Daten über minderjährige Azubis in ihrem LMS führen oder falls Sie auch Spezialinformationen, wie z.B. besondere Anforderungen bei der Unterbringung für Präsenzveranstaltungen dokumentieren müssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzwürdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbestände überhaupt verarbeitet werden dürfen.

Transparenz der Datenverarbeitung: Das A und O

Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins veröffentlicht. Die Mehrheit der LMS-Lösungen für den professionellen Einsatz ist bereits so ausgelegt, dass der Nutzer bei dem ersten Login die Kenntnisnahme von einer Datenschutzerklärung bestätigen muss. Hier müssen Sie die Lernenden transparent über die Verwendung ihrer Daten für den Zweck der Trainingsorganisation informieren, sie über Ihre Rechte und die Dauer der Speicherung aufklären und ggf. einen verantwortlichen Datenschutzbeauftragten benennen. Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerklärung nicht DSGVO-konform ist, muss er ggf. angepasst und von den Lernern erneut bestätigt werden.

Um das Risiko zu vermeiden, dass andere gesetzlichen Erlaubnistatbestände eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung des Nutzenden in die Datenverarbeitung eingeholt wird. Dem Nutzenden muss jedoch die Möglichkeit offenstehen, diese Einwilligung so einfach zu widerrufen, wie sie erteilt wurde. Willigt ein Nutzer in die Datenverarbeitung nicht ein oder widerruft er die Einwilligung, sind die meisten LMS so eingestellt, dass dieser Nutzende Ihre Schulungsdienste über das LMS nicht mehr in Anspruch nehmen kann. Das stellt Sie womöglich vor einer Herausforderung, wenn es in Ihrem LMS verpflichtende Trainings gibt, die so wichtig sind, dass sie alle Mitarbeitenden ohne Ausnahme absolvieren müssen – z.B. ein Trainings zu Arbeitssicherheit oder elektronische Sicherheitsunterweisungen für bestimmte Maschinen. Hier ist noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne die Einwilligung des Nutzers über einen der Erlaubnistatbestände aus Art. 6 oder 9 EU-DSGVO gerechtfertigt werden kann.

Altbestände anonymisieren

In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format befüllt wurde, bevor es im Unternehmen eine Datenschutzerklärung für das Trainingsgeschäft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie hauptsächlich aus häufig wechselnden Externen (z.B. Anwendern, Händlern) besteht, dann ist es sicher nicht sinnvoll oder möglich, die „Karteileichen“ für die Bestätigung einer neuen Datenschutzerklärung zu kontaktieren.

Eher können Sie Altbestände (z.B. Nutzer ohne Trainingsaktivitäten in den letzten 10 Jahren) bei Bedarf anonymisieren Diese radikale Maßnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS. Ein solches System ist nämlich darauf auslegt, Informationen über Lerner und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren. Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Maßnahmen tatsächlich auch gefordert werden. Eine Pseudonymisierung kann in dem Zeitraum bis zum Erreichen der Löschfrist eine gute datenschutzkonforme und dennoch auditsichere Lösung für ältere Datenbankeinträge darstellen, z.B. durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer möglichen Zuordnung über eine eindeutige ID.

Prozesse gehen vor Technik

In der Praxis ist nicht davon auszugehen, dass LMS-Nutzende häufig von ihrem Recht Gebrauch machen werden und willkürlich ihre Einwilligungserklärung widerrufen. Dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der Fälle konkret umgehen wollen. Beantragt ein Nutzer die Löschung aller Daten, die sie über ihn gespeichert haben, haben Sie dafür in der Regel gemäß Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch.

Weitere LMS-relevante Features in Hinblick auf die DSGVO wären auch die leichtere Möglichkeit für den Nutzer, ihn betreffende Daten einzusehen und zu berichtigen und in einem gängigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen. Dadurch könnte der Lerner viel leichter als bisher seine Bildungshistorie zu seinem nächsten Arbeitgeber „mitnehmen“. Hier könnte der Begriff „lebenslanges Lernen“ auch in Kombination mit neuen Technologien wie xAPI/TinCan eine neue Dynamik bekommen. Auch die Themen „Privacy by design“ (Datenschutz durch Technik) und „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) sind nun stärker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch neue Features und eine Aktualisierung der Oberfläche wiederfinden.

Neue Anforderungen an IT-Sicherheit

Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO auch verstärkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie müssen angemessene technische und organisatorische Maßnahmen (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschlüsselung der Datenübertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbehörde und den Nutzern melden.

Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen für Sie übernehmen. Auch Anbieter mit Sitz außerhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten und müssen daher ein Schutzniveau gewährleisten, das den Anforderungen der DSGVO genügt.

Unabhängig davon, ob Ihr LMS gekauft oder gemietet ist, müssen Ihre Administratoren für einen sicheren Umgang mit personenbezogenen Daten verstärkt sensibilisiert werden. Dies fängt bei der tatsächlichen Einhaltung der Passwortrichtlinien und Best Practices beim Email-Versand, wie z.B. BCC-Feld nutzen und mit personenbezogenen Daten in Reports kritisch, sorgfältig und vertraulich umgehen. Vielleicht müssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeiter LMS-Arbeiten im Homeoffice oder auf privaten Geräten erledigen dürfen.

Falls Ihr Unternehmen auch dem Trend „Learning Analytics“ folgen möchte, muss genau geprüft werden, wie Sie ihr Vorhaben datenschutzkonform gestalten können, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erfüllt ist. Beim Social Learning sollten sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur Nutzer sich gegenseitig sehen, die dem auch zugestimmt haben. Wenn Sie sich für die neue Technologien VR/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabschätzung sinnvoll und kann Sie bei der Konformitätsdokumentation im Fall der Fälle vor hohen Strafen bewahren.

Fazit

Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich in Detail und ggf. mit der Unterstützung eines fachkundigen Datenschutzbeauftragen darüber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse datenschutzkonform gestalten können. Hier dürfen sich Unternehmen, insbesondere Mittelständler, nicht nur auf die Technik Ihres LMS verlassen.

Avatar für Sofie Bräutigam
Alle Beiträge von Sofie Bräutigam

Geschrieben von Sofie Bräutigam

Sofie unterstützt bei reteach im Marketing Team unsere Webseite und das Blog, um Kunden oder Interessenten Hilfestellung bei Auswahl oder Bedienung zu geben.

Whitepaper - Digitale Unterweisungen 1
Avatar für Sofie Bräutigam

Digitale Unterweisungen – Kosten sparen & Nerven schonen durch Software 

von Sofie Bräutigam

Mitarbeiter in HSE und Compliance haben besseres zu tun als Listen zu verwalten. Dennoch ist vor allem im Mittelstand Excel immer noch die führende Software, wenn es um die Verwaltung von Unterweisungen geht. Welcher Mitarbeiter wann eine Folgeunterweisung zu absolvieren hat, wer muss erinnert werden und wer muss über abgelaufene Zertifikate informiert werden, um alle […]

Artikel lesen

Aus der Kategorie:

28/03/2023

McKinsey Podcast reteach blog
Avatar für Sofie Bräutigam

Podcast: Zeitenwende in HR  – Wettbewerbsvorteile durch schlagkräftiges Personalmanagement 

von Sofie Bräutigam

Ergebnisse der McKinsey Studie “Performance through people”  Eine Zeitenwende in HR steht bevor. Nach einer Untersuchung von McKinsey ziehen mit 28% so viele Arbeitnehmer wie noch nie einen Wechsel des Arbeitsplatzes in Betracht. Und der Fachkräftemangel hat seinen Zenit noch nicht erreicht. Doch trotz dieser dramatischen Situation ist kein Aufrüsten der Personalabteilungen zu erkennen. Warum […]

Artikel lesen

Aus der Kategorie:

16/03/2023