Digitale Weiterbildung datenschutzkonform gestalten

Aus der Kategorie:

Buchstabenblöcke mit Wort DSGVO für Datenschutzverordnung bei digitalen Unterweisungen im e-Learning
Quelle: Shutterstock

Um die Arbeit mit einem LMS datenschutzkonform zu gestalten, muss man vor allem eines beachten: die personenbezogenen Daten. Immer dann, wenn auf irgendeine Art und Weise personenbezogene Daten verarbeitet werden, kommen Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder auch das Betriebsverfassungsgesetz (BetrVG) zur Anwendung. Zu den personenbezogenen Daten zählen alle Angaben über persönliche oder sachliche Verhältnisse einer Person. Bei der Nutzung eines LMS gehören hierzu z. B. Vor- und Nachname, E-Mail-Adresse, Personalnummer, Organisationseinheit oder die Sprache des Nutzers.

Ihr LMS: Eine Maschine zur Datenverarbeitung

Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten, wird ein Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivitäten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeiter- oder Kundendatenbank. Hat Ihr Unternehmen keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verstärken, um sich so schnell wie möglich einen Überblick über Ihre Situation zu verschaffen.

Sobald Sie in Ihrem LMS den Namen von auch nur einem Lerner erfassen, verarbeiten sie personenbezogene Daten. Besondere Vorschriften gelten, wenn Sie auch Daten über minderjährige Azubis in ihrem LMS führen oder falls Sie auch Spezialinformationen, wie z.B. besondere Anforderungen bei der Unterbringung für Präsenzveranstaltungen dokumentieren müssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzwürdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbestände überhaupt verarbeitet werden dürfen.

Transparenz der Datenverarbeitung: Das A und O

Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins veröffentlicht. Die Mehrheit der LMS-Lösungen für den professionellen Einsatz ist bereits so ausgelegt, dass der Nutzer bei dem ersten Login die Kenntnisnahme von einer Datenschutzerklärung bestätigen muss. Hier müssen Sie die Lerner transparent über die Verwendung ihrer Daten für den Zweck der Trainingsorganisation informieren, sie über Ihre Rechte und die Dauer der Speicherung aufklären und ggf. einen verantwortlichen Datenschutzbeauftragten benennen. Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerklärung nicht DSGVO-konform ist, muss er ggf. angepasst und von den Lernern erneut bestätigt werden.

Um das Risiko zu vermeiden, dass andere gesetzlichen Erlaubnistatbestände eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung des Nutzers in die Datenverarbeitung eingeholt wird, wobei dem Nutzer jedoch die Möglichkeit offenstehen muss, diese Einwilligung auch genauso einfach zu widerrufen, wie sie erteilt wurde. Willigt ein Nutzer in die Datenverarbeitung nicht ein oder widerruft er die Einwilligung, sind die meisten LMS so eingestellt, dass dieser Nutzer Ihre Schulungsdienste über das LMS nicht mehr in Anspruch nehmen kann. Das stellt Sie womöglich vor einer Herausforderung, wenn es in Ihrem LMS verpflichtende Trainings gibt, die so wichtig sind, dass sie alle Mitarbeiter ohne Ausnahme absolvieren müssen – z.B. ein Trainings zu Arbeitssicherheit oder elektronische Sicherheitsunterweisungen für bestimmte Maschinen. Hier ist noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne die Einwilligung des Nutzers über einen der Erlaubnistatbestände aus Art. 6 oder 9 EU-DSGVO gerechtfertigt werden kann.

Altbestände anonymisieren

In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format befüllt wurde, bevor es im Unternehmen eine Datenschutzerklärung für das Trainingsgeschäft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie hauptsächlich aus häufig wechselnden Externen (z.B. Anwendern, Händlern) besteht, dann ist es sicher nicht sinnvoll oder möglich, die „Karteileichen“ für die Bestätigung einer neuen Datenschutzerklärung zu kontaktieren.

Eher können Sie Altbestände (z.B. Nutzer ohne Trainingsaktivitäten in den letzten 10 Jahren) bei Bedarf anonymisieren. Diese radikale Maßnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS. Ein solches System ist nämlich darauf auslegt, Informationen über Lerner und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren. Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Maßnahmen tatsächlich auch gefordert werden. Eine Pseudonymisierung kann in dem Zeitraum bis zum Erreichen der Löschfrist eine gute datenschutzkonforme und dennoch auditsichere Lösung für ältere Datenbankeinträge darstellen, z.B. durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer möglichen Zuordnung über eine eindeutige ID.

Prozesse gehen vor Technik

In der Praxis ist nicht davon auszugehen, dass LMS-Nutzer häufig von ihrem Recht Gebrauch machen werden und willkürlich ihre Einwilligungserklärung widerrufen. Dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der Fälle konkret umgehen wollen. Beantragt ein Nutzer die Löschung aller Daten, die sie über ihn gespeichert haben, haben Sie dafür in der Regel gemäß Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch.

Weitere LMS-relevante Features in Hinblick auf die DSGVO wären auch die leichtere Möglichkeit für den Nutzer, ihn betreffende Daten einzusehen und zu berichtigen und in einem gängigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen. Dadurch könnte der Lerner viel leichter als bisher seine Bildungshistorie zu seinem nächsten Arbeitgeber „mitnehmen“. Hier könnte der Begriff „lebenslanges Lernen“ auch in Kombination mit neuen Technologien wie xAPI/TinCan eine neue Dynamik bekommen. Auch die Themen „Privacy by design“ (Datenschutz durch Technik) und „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) sind nun stärker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch neue Features und eine Aktualisierung der Oberfläche wiederfinden.

Neue Anforderungen an IT-Sicherheit

Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO auch verstärkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie müssen angemessene technische und organisatorische Maßnahmen (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschlüsselung der Datenübertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbehörde und den Nutzern melden.

Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen für Sie übernehmen. Auch Anbieter mit Sitz außerhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten und müssen daher ein Schutzniveau gewährleisten, das den Anforderungen der DSGVO genügt.

Unabhängig davon, ob Ihr LMS gekauft oder gemietet ist, müssen Ihre Administratoren für einen sicheren Umgang mit personenbezogenen Daten verstärkt sensibilisiert werden. Dies fängt bei der tatsächlichen Einhaltung der Passwortrichtlinien und Best Practices beim Email-Versand, wie z.B. BCC-Feld nutzen und mit personenbezogenen Daten in Reports kritisch, sorgfältig und vertraulich umgehen. Vielleicht müssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeiter LMS-Arbeiten im Homeoffice oder auf privaten Geräten erledigen dürfen.

Falls Ihr Unternehmen auch dem Trend „Learning Analytics“ folgen möchte, muss genau geprüft werden, wie Sie ihr Vorhaben datenschutzkonform gestalten können, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erfüllt ist. Beim Social Learning sollten sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur Nutzer sich gegenseitig sehen, die dem auch zugestimmt haben. Wenn Sie sich für die neue Technologien VR/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabschätzung sinnvoll und kann Sie bei der Konformitätsdokumentation im Fall der Fälle vor hohen Strafen bewahren.

Fazit

Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich in Detail und ggf. mit der Unterstützung eines fachkundigen Datenschutzbeauftragen darüber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse datenschutzkonform gestalten können. Hier dürfen sich Unternehmen, insbesondere Mittelständler, nicht nur auf die Technik Ihres LMS verlassen.

Geschrieben von Peter

Peter arbeitet bei reteach im Customer Success Team und unterstützt Kunden beim Einstieg in das Digitale Lernen.

LMS und DSGVO – was zu beachten ist

von Andreas Bersch

Bei der Auswahlentscheidung für ein LMS wird aus gutem Grund auf die Vereinbarkeit mit den Anforderungen des Datenschutzes und der DSGVO geachtet. Gerade deutsche oder europäische Unternehmen aus dem Mittelstand sind oft verunsichert, in welchem Umfang die Anforderungen der DSGVO zu beachten sind. Deutsche Unternehmen bevorzugen in der Regel einen deutschen Anbieter, weil dort der […]

Artikel lesen

Aus der Kategorie:

08/09/2022

Was ist Customer Education?

von Peter

Customer Education (dt. Kundenweiterbildung bzw. Produktschulungen) ist der Prozess der Entwicklung einer formalisierten Schulungsinitiative, die den Kunden hilft, schnell Erfolge mit einem Produkt zu haben und den wahren Wert eines Produkts oder einer Dienstleistung zu erkennen. Sie ist die Kunst, Kunden mit Weiterbildung zu überzeugen. Viele Software Unternehmen setzen bereits auf eine Customer Education Strategie […]

Artikel lesen

Aus der Kategorie:

17/01/2022