LMS und DSGVO – was bei der Auswahl zu beachten ist

Das Thema LMS und DSGVO treibt jedes Unternehmen um, das sich für eine Lernplattform entscheidet — denn mit der Auswahl der Software ist auch immer die Frage des Datenschutzes verbunden. Gerade deutsche und europäische Unternehmen aus dem Mittelstand sind oft verunsichert, in welchem Umfang die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten sind. Viele bevorzugen einen deutschen Anbieter, weil Support auf Deutsch angeboten wird und Datenschutzfragen mit einem persönlichen Ansprechpartner geklärt werden können. Doch worauf kommt es bei der DSGVO-konformen LMS-Auswahl wirklich an?

LMS und DSGVO: Worauf bei der Auswahl achten?

Wenn Sie mit dem LMS Ihre Mitarbeiterschulungen oder Schulungen für Kunden, Partner oder andere Personen betreiben, dann werden in jedem Fall persönliche Daten verarbeitet und gespeichert. Hierunter fallen vor allem die E-Mail-Adresse und weitere persönliche Daten der Teilnehmenden. Insofern muss zunächst ein sog. AVV oder ADV (Vertrag über die Auftragsdatenverarbeitung) mit dem jeweiligen Anbieter beziehungsweise Betreiber des LMS abgeschlossen werden. Hier sollten Sie darauf achten, dass Ihnen dieser ADV in deutscher Sprache vorgelegt wird und Sie gegebenenfalls Änderungswünsche mit einem persönlichen Ansprechpartner beim Anbieter erörtern können.

Ferner sollten Sie sich beim Anbieter informieren, wie das Datensicherungskonzept aussieht. Dazu gehören Vorkehrungen technischer und organisatorischer Art, die der Anbieter getroffen hat, um die auf seinem Server gespeicherten Daten zu sichern. Ein Teil dieser Maßnahmen ist als sog. TOA Anlage (Technisch Organisatorische Maßnahmen) in der ADV geregelt. Für darüber hinausgehende Maßnahmen sollte Ihnen der Anbieter ein eigenes Sicherheitskonzept vorlegen können.

Wichtig ist am Ende, wo die Server stehen

Die weitere und oft in den Mittelpunkt gestellte Frage bezieht sich auf den Standort der Server, auf denen die personenbezogenen Daten der Kunden gespeichert werden.

Moderne LMS-Lösungen sind sogenannte Cloud-Lösungen — die Daten werden also nicht wie früher on-premise auf Servern des Kunden gespeichert, sondern in der Cloud. In den letzten Jahren haben sich Cloud-Lösungen durchgesetzt, weil sie für den Kunden preiswerter sind und eine kontinuierliche Weiterentwicklung der Software ohne Zusatzkosten gewährleisten.

Die große Mehrheit der Cloud-Lösungen hostet die Daten allerdings auf Servern von Amazon (AWS) oder Microsoft Azure, da diese die leistungsfähigsten sind. Alle größeren US-Anbieter betreiben mittlerweile Serverfarmen mit Standort in Europa oder Deutschland, um den Anforderungen der DSGVO zu entsprechen.

Urteile vom OLG Karlsruhe & EuGH geben Gewissheit

Mittlerweile hat sich allerdings auch unter Datenschutzexperten eine pragmatische Abwägung durchgesetzt, die zuletzt vom OLG Karlsruhe bestätigt worden ist. Das OLG hatte in einer Entscheidung vom 6.9.2022 klargestellt, dass deutsche Behörden bei öffentlichen Aufträgen sehr wohl auf Tochtergesellschaften von US-amerikanischen Cloud-Dienste-Anbietern zurückgreifen. Die Voraussetzung dafür ist, dass diese zusichern, die Daten in Deutschland zu verarbeiten.

Nicht nur dieses Urteil kann Unternehmen aktuell die Gewissheit geben, dass eine Speicherung von persönlichen Daten auch über ein LMS auf Servern mit Standort in Deutschland bzw. Europa zulässig ist. Denn hier wurde dies vom OLG für von der öffentlichen Hand betriebenen Krankenhäusern richterlich erlaubt. Und Patientendaten dürften weitaus sensibler sein als im normalen Einsatzszenario eines LMS.

Update 2026: EU-US Data Privacy Framework schafft zusätzliche Sicherheit

Seit Juli 2023 gilt das EU-US Data Privacy Framework als Nachfolgeabkommen zum gescheiterten Privacy Shield. Es ergänzt die Standardvertragsklauseln und schafft für zertifizierte US-Unternehmen eine eigenständige Rechtsgrundlage für den Datentransfer aus der EU. Für die Praxis bedeutet das: Wenn der LMS-Anbieter über einen US-Mutterkonzern verfügt, der unter dem Data Privacy Framework zertifiziert ist, ist der Datentransfer auch dann grundsätzlich rechtssicher, wenn die Server in den USA liegen.

Wer auf Nummer sicher gehen will, wählt aber weiterhin Anbieter mit Serverstandort in Deutschland oder der EU — das ist nach wie vor der einfachste Weg zur DSGVO-Konformität bei LMS und DSGVO.

LMS und DSGVO: Sind US-Anbieter mit EU-Servern zulässig?

Last but not least zeigt ein genauer Blick auf das Urteil des EuGH, dass sich Unternehmen im Kontext eines LMS keine Sorgen machen müssen. Die problematischen Normen, die das Privacy Shield kippten, sind Section 702 FISA und die Executive Order 12333 (E.O. 12333).

Diese ermächtigen US-Behörden, sogenannte „foreign intelligence“ zu erlangen — also sämtliche Informationen, die die USA im Rahmen ihrer geheimdienstlichen Tätigkeiten für erforderlich oder hilfreich erachten. Wer mit seinem LMS keine Aufträge für einen Geheimdienst bearbeitet, sollte sich davon nicht verunsichern lassen.

Externe Datenschutzbeauftragte werden zwar dafür bezahlt, potenzielle Risiken aufzuzeigen — die Lösungen müssen aber im Unternehmen gefunden werden. Somit besteht heute Klarheit: Von US-Unternehmen in Deutschland oder Europa betriebene Server sind DSGVO-konform nutzbar.

Remote Work & DSGVO

Remote Work wirft wichtige Fragen im Zusammenhang mit der DSGVO auf. Der Zugriff auf Unternehmensdaten außerhalb des geschützten Netzwerks kann Datenschutzrisiken mit sich bringen. Unternehmen müssen sicherstellen, dass Mitarbeitende, die remote arbeiten, im Bereich Datenschutz angemessen geschult sind. Wie eine DSGVO-Schulung inhaltlich aufgebaut sein sollte, wie oft sie stattfinden muss und welche Pflichten Unternehmen 2026 erfüllen müssen, lesen Sie in unserem Praxisleitfaden.

Es gibt im remote work jedoch nicht nur Datenschutz zu beachten. Weitere wichtige Compliance-Themen sind Sozialversicherungen, Steuern, Wirksamkeit & Sorgfaltspflicht usw. Wie behalten Sie da am besten den Überblick, vor allem wenn Ihre Mitarbeitenden auch noch in verschiedenen Ländern arbeiten?

Mit rhome bringen Sie remote work auf eine neue Stufe, indem Sie Ihre Mitarbeitenden auf der ganzen Welt tracken können und gleichzeitig alle wichtigen Compliance-Anforderungen einhalten. Seien Sie ein moderner und attraktiver Arbeitgeber und bieten Sie Ihrem Team volle örtliche Flexibilität.  

Fazit

Datenschutzkonforme Weiterbildung ist ein komplexes Thema. Wir haben deshalb noch mehr wertvolle Infos für Sie gesammelt, mit denen Sie teure Fehler im Bereich LMS und DSGVO vermeiden können.

Wichtig ist außerdem: Die technische DSGVO-Konformität des LMS reicht allein nicht aus. Erst zusammen mit regelmäßig geschulten Mitarbeitenden entsteht ein vollständig DSGVO-konformer Schulungsbetrieb. Mehr dazu in unserem Beitrag zur DSGVO-Schulung.

Sie sind neugierig geworden und möchten mehr zum Thema Lernplattformen für Unternehmen erfahren? Wir haben im verlinkten Artikel alle Formen von Lernplattformen sowie wichtige Funktionen zusammengefasst und verraten, worauf Sie beim Kauf achten sollten.

Checkliste

DSGVO-Konformität ist nur eines der Kriterien, die ein LMS erfüllen sollte. Die Auswahl des passenden LMS kann schwierig sein, da es viele verschiedene Anbieter gibt. Wir haben deshalb eine hilfreiche Checkliste mit den 15 wichtigsten Anforderungen für Sie verfasst – kostenlos herunterladen und einfach abhaken:

Häufig gestellte Fragen