LMS So gelingt datenschutzkonforme Weiterbildung Sofie Bräutigam Datenschutzkonforme Weiterbildung mit einem LMS (Learning Management System) bedeutet vor allem ein: personenbezogene Daten schützen. Immer dann, wenn auf irgendeine Art und Weise personenbezogene Daten verarbeitet werden, kommen Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder auch das Betriebsverfassungsgesetz (BetrVG) zur Anwendung. Zu den personenbezogenen Daten zählen alle Angaben über persönliche oder sachliche Verhältnisse einer Person. Bei der Nutzung eines LMS gehören hierzu z. B. Vor- und Nachname, E-Mail-Adresse, Personalnummer, Organisationseinheit oder die Sprache des Nutzers. Ihr LMS: Eine Maschine zur Datenverarbeitung Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten, wird ein datenschutzkonformes Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivitäten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeiter- oder Kundendatenbank. Hat Ihr Unternehmen keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verstärken. So können Sie sich so schnell wie möglich einen Überblick über Ihre Situation verschaffen. Sobald Sie in Ihrem LMS den Namen von auch nur einem Lernenden erfassen, verarbeiten sie personenbezogene Daten. Diese werden in der datenschutzkonformen Weiterbildung sensitiv gehandhabt. Besondere Vorschriften gelten, wenn Sie auch Daten über minderjährige Azubis in ihrem LMS führen oder falls Sie auch Spezialinformationen, wie z.B. besondere Anforderungen bei der Unterbringung für Präsenzveranstaltungen dokumentieren müssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzwürdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbestände überhaupt verarbeitet werden dürfen. Transparenz der Datenverarbeitung: Das A und O Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins veröffentlicht. Die Mehrheit der LMS-Lösungen für den professionellen Einsatz ist bereits so ausgelegt, dass der Nutzer beim ersten Login die Kenntnisnahme von einer Datenschutzerklärung bestätigen muss. Hier müssen Sie die Lernenden transparent über die Verwendung ihrer Daten für den Zweck der Trainingsorganisation informieren. Dazu gehört auch die Aufklärung über ihre Rechte und die Dauer der Speicherung. Eventuell macht es Sinn, einen verantwortlichen Datenschutzbeauftragten zu benennen. Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerklärung nicht DSGVO-konform ist, muss er angepasst und von den Lernern erneut bestätigt werden. Nur so kann datenschutzkonforme Weiterbildung sichergestellt werden. Um das Risiko zu vermeiden, dass andere gesetzliche Erlaubnistatbestände eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung des Nutzenden in die Datenverarbeitung eingeholt wird. Dem Nutzenden muss jedoch die Möglichkeit offenstehen, diese Einwilligung so einfach zu widerrufen, wie sie erteilt wurde. Willigt ein Nutzer in die Datenverarbeitung nicht ein oder widerruft sie, bedeutet das für die meisten LMS, dass dieser Nutzende Ihre Schulungsdienste nicht mehr in Anspruch nehmen kann. Das stellt Sie womöglich vor eine Herausforderung, wenn es in Ihrem LMS verpflichtende Trainings gibt, die so wichtig sind, dass sie alle Mitarbeitenden ohne Ausnahme absolvieren müssen. Zum Beispiel Trainings zu Arbeitssicherheit oder elektronische Sicherheitsunterweisungen für bestimmte Maschinen. Hier ist noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne die Einwilligung des Nutzers über einen der Erlaubnistatbestände aus Art. 6 oder 9 EU-DSGVO gerechtfertigt werden kann. Altbestände anonymisieren In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format befüllt wurde, bevor es im Unternehmen eine Datenschutzerklärung für das Trainingsgeschäft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie hauptsächlich aus häufig wechselnden Externen (z.B. Anwendern, Händlern) besteht, dann ist es sicher nicht sinnvoll oder möglich, die „Karteileichen“ für die Bestätigung einer neuen Datenschutzerklärung zu kontaktieren. Eher können Sie Altbestände (z.B. Nutzer ohne Trainingsaktivitäten in den letzten 10 Jahren) bei Bedarf anonymisieren. Diese radikale Maßnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS. Ein solches System ist nämlich darauf auslegt, Informationen über Lerner und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren. Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Maßnahmen tatsächlich auch gefordert werden. Eine Pseudonymisierung kann im Zeitraum bis zum Erreichen der Löschfrist eine gute datenschutzkonforme und dennoch auditsichere Lösung für ältere Datenbankeinträge darstellen. Beispielsweise durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer möglichen Zuordnung über eine eindeutige ID. Prozesse gehen vor Technik In der Praxis ist nicht davon auszugehen, dass LMS-Nutzende häufig von ihrem Recht Gebrauch machen werden und willkürlich ihre Einwilligungserklärung widerrufen. Dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der Fälle konkret umgehen wollen. Beantragt ein Nutzer die Löschung aller Daten, die sie über ihn gespeichert haben, haben Sie dafür in der Regel gemäß Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch. Weitere LMS-relevante Features in Hinblick auf die DSGVO wären auch die leichtere Möglichkeit für den Nutzer, ihn betreffende Daten einzusehen und zu berichtigen und in einem gängigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen. Dadurch könnte der Lerner viel leichter als bisher seine Bildungshistorie zu seinem nächsten Arbeitgeber „mitnehmen“. Hier könnte der Begriff „lebenslanges Lernen“ auch in Kombination mit neuen Technologien wie xAPI/TinCan eine neue Dynamik bekommen. Auch die Themen „Privacy by design“ (Datenschutz durch Technik) und „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) sind nun stärker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch neue Features und eine Aktualisierung der Oberfläche wiederfinden. Neue Anforderungen an IT-Sicherheit Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO und datenschutzkonformer Weiterbildung auch verstärkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie müssen angemessene technische und organisatorische Maßnahmen (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschlüsselung der Datenübertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbehörde und den Nutzern melden. Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen für Sie übernehmen. Auch Anbieter mit Sitz außerhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten und müssen daher ein Schutzniveau gewährleisten, das den Anforderungen der DSGVO genügt. Unabhängig davon, ob Ihr LMS gekauft oder gemietet ist, müssen Ihre Administratoren für einen sicheren Umgang mit personenbezogenen Daten verstärkt sensibilisiert werden. Dies fängt bei der tatsächlichen Einhaltung der Passwortrichtlinien und Best Practices beim Email-Versand, wie z.B. BCC-Feld nutzen und mit personenbezogenen Daten in Reports kritisch, sorgfältig und vertraulich umgehen. Vielleicht müssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeiter LMS-Arbeiten im Homeoffice oder auf privaten Geräten erledigen dürfen. Vorsicht bei Trends Falls Ihr Unternehmen auch dem Trend „Learning Analytics“ folgen möchte, muss genau geprüft werden, wie Sie ihr Vorhaben datenschutzkonform gestalten können, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erfüllt ist. Beim Social Learning sollten sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur Nutzer sich gegenseitig sehen, die dem auch zugestimmt haben. Wenn Sie sich für die neue Technologien VR/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabschätzung sinnvoll und kann Sie bei der Konformitätsdokumentation im Fall der Fälle vor hohen Strafen bewahren. Fazit: datenschutzkonforme Weiterbildung Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich in Detail und ggf. mit der Unterstützung eines fachkundigen Datenschutzbeauftragen darüber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse datenschutzkonform gestalten können. Hier dürfen sich Unternehmen, insbesondere Mittelständler, nicht nur auf die Technik Ihres LMS verlassen. Das Thema LMS und DSGVO ist sehr komplex. Noch mehr Infos und Hilfestellung gibt es im verlinkten Beitrag. Zurück zum Blog