LMS und DSGVO – was bei der Auswahl zu beachten ist

Bei der Auswahlentscheidung für ein LMS wird aus gutem Grund auf die Vereinbarkeit mit den Anforderungen des Datenschutzes und der DSGVO geachtet. Gerade deutsche oder europäische Unternehmen aus dem Mittelstand sind oft verunsichert, in welchem Umfang die Anforderungen der DSGVO zu beachten sind. Deutsche Unternehmen bevorzugen in der Regel einen deutschen Anbieter, weil dort der Support auf deutscher Sprache angeboten wird und auch die Anforderungen an den Datenschutz mit einem persönlichen Ansprechpartner geregelt werden können.

Auf diese Punkte sollten Sie achten, wenn sie in der Auswahlentscheidung für ein LMS stehen

Wenn sie mit dem LMS ein Schulungsangebot für Mitarbeiter, Kunden, Partner oder andere Personen betreiben, dann werden in jedem Fall persönliche Daten verarbeitet und gespeichert. Hierunter fallen vor allem die E-Mail-Adresse und weitere persönliche Daten der Teilnehmer. Insofern muss zunächst ein sog. AVV oder ADV (Vertrag über die Auftragsdatenverarbeitung) mit dem jeweiligen Anbieter beziehungsweise Betreiber des LMS abgeschlossen werden. Hier sollten Sie darauf achten, dass Ihnen dieser ADV in deutscher Sprache vorgelegt wird und sie gegebenenfalls Änderungswünsche mit einem persönlichen Ansprechpartner beim Anbieter erörtern können.

Ferner sollten Sie sich beim Anbieter informieren, wie das Datensicherungskonzept aussieht, d.h. welche Vorkehrungen technischer und organisatorischer Art der Anbieter getroffen hat, um die auf seinem Server gespeicherten Daten zu sichern. Ein Teil dieser Maßnahmen ist als sog. TOA Anlage (Technisch Organisatorische Maßnahmen) in der ADV geregelt. Für darüber hinausgehende Maßnahmen sollte Ihnen der Anbieter ein eigenes Sicherheitskonzept vorlegen können.

Wichtig ist am Ende, wo die Server stehen

Die weitere und oft in den Mittelpunkt gestellte Frage bezieht sich auf den Standort der Server, auf dem die persönlichen Daten der Kunden gespeichert werden. Moderne LMS Lösungen sind sog. Cloud Lösungen, d.h. die Daten werden nicht wie früher als sog. onpremise auf Servern des Kunden gespeichert sondern in der Cloud. In den letzten Jahren haben sich Cloud-Lösungen durchgesetzt, da diese für den Kunden preiswerter sind, eine kontinuierliche Weiterentwicklung der Software gewährleistet wird und nicht extra abgerechnet wird. Die große Mehrheit der Cloud-Lösungen hostet die Daten nun aber auf Servern von Amazon (AWS) oder Microsoft, da diese Lösung die leistungsfähigsten sind. Alle größeren US-Anbieter betreiben mittlerweile alle Serverfarmen mit Serverstandort in Europa oder Deutschland, um den Anforderungen der DSGVO entsprechen zu können.

Dennoch hat ein Urteil des Europäischen Gerichtshof für Verunsicherung gesorgt, welches auch als Schrems II bekannt geworden ist. Hier hatte der EuGH entschieden, dass personenbezogene Daten von EU Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint, worauf die Europäische Kommission in 2021 die sog. Standardvertragsklauseln erlassen hatte, die seit dem 27.9.2021 für die Datenübermittlung abzuschließen sind. Doch auch hier kam es in der Vergangenheit oft zu Fragen von Datenschutzbeauftragten, ob auch bei Abschluss der Standardvertragsklauseln ein Restrisiko bestehen kann, weil die jeweiligen Behörden in Drittländern wie den USA auf die Daten zugreifen könnten.

Urteile vom OLG Karlsruhe & EuGH geben Gewissheit

Mittlerweile hat sich allerdings auch unter Datenschutzexperten eine pragmatische Abwägung durchgesetzt, die zuletzt auch vom OLG Karlsruhe bestätigt worden ist. Das OLG hatte in einer Entscheidung vom 6.9.2022 klargestellt, dass deutsche Behörden bei öffentlichen Aufträgen sehr wohl auf Tochtergesellschaften von US-amerikanischen Cloud-Dienste-Anbietern zurückgreifen, wenn diese zusichern, die Daten in Deutschland zu verarbeiten.

Nicht nur dieses Urteil kann Unternehmen aktuell die Gewissheit geben, dass eine Speicherung von persönlichen Daten auch über ein LMS auf Servern mit Standort in Deutschland bzw. Europa zulässig ist. Denn hier wurde dies vom OLG für von der öffentlichen Hand betriebenen Krankenhäusern richterlich erlaubt. Und Patientendaten dürften weitaus sensibler sein, als im normalen Einsatzszenario eines LMS.

Server von US-Unternehmen in Deutschland & Europa DSGVO konform

Last but not least zeigt ein im Thema LMS und DSGVO genauer Blick in das Urteil des EuGH, dass sich Unternehmen im Kontext eines LMS keine Sorgen machen müssen. Denn die problematischen Normen, die das Privacy-Shield kippten, sind Section 702 FISA und Executive Order 12333 (E.O. 12333). Diese ermächtigen US-Behörden sogenannte “foreign intelligence” zu erlangen, also sämtliche Informationen, welche die USA im Rahmen ihrer geheimdienstlichen Tätigkeiten für erforderlich oder hilfreich erachten. Wer nun also mit dem LMS keine Aufträge für einen Geheimdienst bearbeitet, sollte sich von den Sorgenfalten der Datenschutzbeauftragten nicht verunsichern lassen; denn externe Datenschutzbeauftragte werden dafür bezahlt, potentielle Risiken aufzuzeigen. Die jeweiligen Lösungen müssen dann im Unternehmen gefunden werden. Und hier besteht nun Klarheit, dass von US-Unternehmen in Deutschland oder Europa betriebene Server DSGVO konform sind.

Fazit

Datenschutzkonforme Weiterbildung ist ein komplexes Thema. Wir haben deshalb noch mehr wertvolle Infos für Sie gesammelt, mit denen Sie teure Fehler im Bereich LMS und DSGVO vermeiden können.

Sie sind neugierig geworden und möchten mehr zum Thema Lernplattformen für Unternehmen erfahren? Wir haben im verlinkten Artikel alle Formen von Lernplattformen sowie wichtige Funktionen zusammengefasst und verraten, worauf Sie beim Kauf achten sollten.