Digitale Weiterbildung datenschutzkonform gestalten

Veröffentlicht am
13.12.2019
von
Tanja Wintergerst

Was ist die Basis im Datenschutz für Learning-Management-Systeme?

Um bei einem Learning-Management-System (LMS) den Schutz der Daten zu gewährleisten, muss man vor allem eines beachten: die personenbezogenen Daten. Immer dann, wenn auf irgendeine Art und Weise personenbezogene Daten verarbeitet werden, kommen Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder auch das Betriebsverfassungsgesetz (BetrVG) zur Anwendung. Zu den personenbezogenen Daten zählen alle Angaben über persönliche oder sachliche Verhältnisse einer Person. Bei der Nutzung eines LMS gehören hierzu z. B. Vor- und Nachname, E-Mail-Adresse, Personalnummer, Organisationseinheit oder die Sprache des Nutzers.

Wie gelingt die rechtskonforme Verarbeitung von Daten in der Personalentwicklung?

Da bei der Anwendung digitaler Lerntechnologien auch personenbezogene Daten verarbeitet werden, muss garantiert sein, dass dies rechtskonform geschieht. Nur wenn die Verarbeitung durch eine Rechtsgrundlage gedeckt ist, dürfen personenbezogene Daten auch tatsächlich verarbeitet werden. Dann verstößt die Verarbeitung nicht gegen das Gesetz, und Konflikte mit z. B. dem Betriebsrat werden vermieden. Die zentrale Norm ist Art. 5 DSGVO. Die darin festgelegten Grundsätze sind entscheidend dafür, ob die Datenverarbeitung im Rahmen eines Learning-Management-Systems rechtskonform ist.

Zunächst muss geklärt werden, in welchem Maße das Unternehmen, das ein LMS nutzen möchte, eine Datenverarbeitung wünscht. Erst wenn zwischen dem Anbieter eines LMS und dem Unternehmen diese notwendige Auftragsdatenverarbeitung vereinbart wurde, ist die Grundlage für die Verarbeitung der Daten geschaffen. Im Folgeschritt ist die Einwilligung der Nutzer erforderlich. Das heißt, das Unternehmen muss eine wirksame datenschutzrechtliche Einwilligung von den Nutzern einholen. Die ist gegeben, wenn die Einwilligungserklärung vor der Datenverarbeitung erfolgt, die Betroffenen wissen, in welchem Ausmaß Daten verarbeitet werden, und ihr Einverständnis hierzu freiwillig geben. Es muss zudem explizit auf das Widerrufsrecht hingewiesen werden. Für die Einwilligungserklärung gibt es kein Formerfordernis, das bedeutet, sie kann sowohl in Papierform als auch in digitaler Form erfolgen.

Für welche Zwecke dürfen Daten im digitalen Lernen verarbeitet werden?

Entscheidend ist, dass die Verarbeitung personenbezogener Daten nur für festgelegte, eindeutige und vor allem legitime Zwecke erfolgt. Nicht legitim wäre eine Datenverarbeitung, die z. B. einen diskriminierenden Zweck verfolgt oder eine unverhältnismäßige oder nicht erforderliche Bewertung von Mitarbeitern zum Ziel hat. Die Daten dürfen außerdem nur so weit verarbeitet werden, wie es zur Erreichung des vor der Erhebung festgelegten Zwecks erforderlich ist. Wenn Unternehmen eine Auftragsdatenverarbeitung vereinbaren, fordern sie oft so viele Daten wie möglich ein, um ein maximales Auswertungsspektrum abzudecken. Doch die Datenverarbeitung unterliegt engen datenschutzrechtlichen Vorgaben. Es dürfen nur die für den Zweck der Weiterbildung wirklich notwendigen Daten verarbeitet werden. Solche für die Nutzung eines LMS relevanten Daten sind z. B. Name, E-Mail-Adresse und die Sprache sowie ggfs. die abgerufenen Lerninhalte des Nutzers. Nicht dazu gehören Daten wie z. B. die Religionszugehörigkeit. Die Daten dürfen zudem nur so lange gespeichert werden, wie es unbedingt notwendig ist. Und nicht vergessen: Die Datenerhebung setzt immer das Einverständnis der Nutzer voraus.

A Test Picture

Welche Anforderungen an IT, Software und Hosting sind besonders wichtig?

Was nützt das Einhalten von Datenschutzvorgaben, wenn die Daten beispielsweise aufgrund mangelnder Software- oder IT-Sicherheit in falsche Hände geraten oder verloren gehen? Ein wesentlicher Grundsatz der DSGVO ist daher, dass die Sicherheit der personenbezogenen Daten angemessen gewährleistet sein muss. Personalentwickler sollten also auf ein Learning-Management-System zurückgreifen, das eine sichere Software-Architektur aufweist und die Daten zuverlässig speichert. Je nach Ausstattung des LMS ist dies für den Austausch von Daten oder bei der Dokumentenablage auf einem passwortgeschützten FTP-Server möglich. Entscheidet sich ein Unternehmen für eine externe Speicherung der Daten, sind grundsätzlich Server in Europa, am besten aber in Deutschland, die sicherste Wahl.

Fazit

Nur unter sorgsamer Berücksichtigung datenschutzrechtlicher Grundlagen sind Personalentwickler bei der Nutzung digitaler Lerntechnologien auf der sicheren Seite. Denn: Mit Kenntnis der rechtlichen Anforderungen wissen sie, worauf Sie, zumindest aus datenschutzrechtlicher Sicht, bei der Auswahl und Konzeption digitaler Lerntechnologie achten müssen. So gelingt auch die perfekte Abstimmung mit wichtigen internen Stakeholdern wie Datenschutzbeauftragten oder dem Betriebsrat. Dem zukunftsgerechten, digitalen Lernen steht dann rechtlich nichts mehr im Wege.

Tanja Wintergerst

Tanja Wintergerst

Tanja Wintergerst ist Learning Technology Expert mit langjähriger Erfahrung im Bereich Bildung und Weiterbildung.

Weitere Themen

Lassen Sie Sich beraten

Sie benötigen weitere Informationen oder möchten eine Demo vereinbaren? Schicken Sie uns eine kurze Nachricht, wir melden uns umgehend bei Ihnen!

Oliver Plick

Consultant
Digital Learning Solutions

*Pflichtfelder
Ein Unternehmen der