Endspurt für die DSGVO: Bin ich dank der neuen LMS-Features sicher?

Am Freitag findet die EU-Datenschutzgrundverordnung ausnahmslos Anwendung. Besonders viele personenbezogene Daten verarbeitet Ihr Unternehmen, wenn es ein Learning Management System (LMS) betreibt. Das „DSGVO-Update“ Ihres LMS-Anbieters haben Sie bereits eingespielt. Sind Sie nun auf der sicheren Seite?

Die Antwort vorab: Nein. Als wichtigste Neuerung gilt, dass Sie als Unternehmen künftig unabhängig von der Beschäftigtenzahl in der Pflicht sind, einen DSGVO-konformen Umgang mit personenbezogenen Daten jederzeit auch durch ein schriftliches Verzeichnis von Verarbeitungstätigkeiten nachweisen zu können. Obwohl viele inhaltliche Anforderungen der DSGVO bereits im Bundesdatenschutzgesetz enthalten waren, mischt diese sogenannte „Rechenschaftspflicht“ die Karten beim Thema Datenschutz neu.

 

Ihr LMS: Eine Maschine zur Datenverarbeitung

Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten, wird ein Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivitäten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeiter- oder Kundendatenbank. Ist Ihr Unternehmen aus dem Mittelstand und hat keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verstärken, um sich so schnell wie möglich einen Überblick über Ihre Situation zu verschaffen.

Sobald Sie in ihrem LMS den Namen von auch nur einem Lerner erfassen, verarbeiten sie personenbezogene Daten. Besondere Vorschriften gelten, wenn Sie auch Daten über minderjährige Azubis in ihrem LMS führen oder falls Sie auch Spezialinformationen, wie z.B. besondere Anforderungen bei der Unterbringung für Präsenzveranstaltungen dokumentieren müssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzwürdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbestände überhaupt verarbeitet werden dürfen.

 

https://pixabay.com/en/regulation-gdpr-data-protection-3246979/

 

Transparenz der Datenverarbeitung: Das A und O

Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins veröffentlicht, etwa Totara oder Moodle. Die Mehrheit der LMS-Lösungen für den professionellen Einsatz ist bereits so ausgelegt, dass der Nutzer bei dem ersten Login die Kenntnisnahme von einer Datenschutzerklärung bestätigen muss. Hier müssen Sie die Lerner transparent über die Verwendung ihrer Daten für den Zweck der Trainingsorganisation informieren, sie über Ihre Rechte und die Dauer der Speicherung aufklären und ggf. einen verantwortlichen Datenschutzbeauftragten benennen. Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerklärung nicht DSGVO-konform ist, muss er ggf. angepasst und von den Lernern erneut bestätigt werden.

Um das Risiko zu vermeiden, dass andere gesetzlichen Erlaubnistatbestände eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung des Nutzers in die Datenverarbeitung eingeholt wird, wobei dem Nutzer jedoch die Möglichkeit offen stehen muss, diese Einwilligung auch genau so einfach zu widerrufen, wie sie erteilt wurde. Willigt ein Nutzer in die Datenverarbeitung nicht ein oder widerruft er die Einwilligung, sind die meisten LMS so eingestellt, dass dieser Nutzer Ihre Schulungsdienste über das LMS nicht mehr in Anspruch nehmen kann. Das stellt Sie womöglich vor einer Herausforderung, wenn es in Ihrem LMS verpflichtende Trainings gibt, die einem höheren Zweck dienen und die alle Mitarbeiter ohne Ausnahme absolvieren müssen – z.B. ein WBT Arbeitssicherheit oder elektronische Sicherheitsunterweisungen für bestimmte Maschinen. Hier ist noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne die Einwilligung des Nutzers über einen der Erlaubnistatbestände aus Art. 6 oder 9 EU-DSGVO gerechtfertigt werden kann.

 

Altbestände anonymisieren

In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format befüllt wurde, bevor es im Unternehmen eine Datenschutzerklärung für das Trainingsgeschäft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie hauptsächlich aus häufig wechselnden Externen (z.B. Anwendern, Händlern) besteht, dann ist es sicher nicht sinnvoll oder möglich, die „Karteileichen“ für die Bestätigung einer neuen Datenschutzerklärung zu kontaktieren.

Eher können Sie Altbestände (z.B. Nutzer ohne Trainingsaktivitäten in den letzten 10 Jahren) bei Bedarf anonymisieren. Diese radikale Maßnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS. Ein solches System ist nämlich darauf auslegt, Informationen über Lerner und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren. Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Maßnahmen tatsächlich auch gefordert werden. Eine Pseudonymisierung kann in dem Zeitraum bis zum Erreichen der Löschfrist eine gute datenschutzkonforme und dennoch auditsichere Lösung für ältere Datenbankeinträge darstellen, z.B. durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer möglichen Zuordnung über eine eindeutige ID.

 

Schlüßel
https://pixabay.com/en/key-castle-security-metal-3348307/

 

Das neu verankerte „Recht auf Vergessenwerden“ laut DSGVO könnte Akademien von Unternehmen ebenfalls vor größere Herausforderungen stellen. Ein Nutzerprofil kann in den LMS zwar oft noch über die Oberfläche gelöscht werden. Dies beinhaltet in der Regel aber nicht die endgültige Löschung aller relevanten Datenbank-Einträge. Hier steht dem Recht der Nutzer aber auch das berechtigte Interesse des Unternehmens entgegen, auch Jahre später nachweisen zu müssen, welche Compliance-Schulungen oder Sicherheitstrainings ein Lerner erhalten hat, z.B. bei FDA- oder TÜV-Audits. Definitive Löschfristen mit einem großen Zeitraum (z.B. 25 Jahren) schaffen hier Abhilfe.

 

Prozesse gehen vor Technik

In der Praxis ist nicht davon auszugehen, dass LMS-Nutzer häufig von ihrem Recht auf Vergessenwerden Gebrauch machen werden oder willkürlich ihre Einwilliungserklärung widerrufen. Dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der Fälle konkret umgehen wollen. Beantragt ein Nutzer die Löschung aller Daten, die sie über ihn gespeichert haben, haben Sie dafür in der Regel gemäß Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch.

Weitere LMS-relevante Features in Hinblick auf die DSGVO wären auch die leichtere Möglichkeit für den Nutzer, ihn betreffende Daten einzusehen und zu berichtigen und in einem gängigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen. Dadurch könnte der Lerner viel leichter als bisher seine Bildungshistorie zu seinem nächsten Arbeitgeber „mitnehmen“. Hier könnte der Begriff „lebenslanges Lernen“ auch in Kombination mit neuen Technologien wie xAPI/TinCan eine neue Dynamik bekommen. Auch die Themen „Privacy by design“ (Datenschutz durch Technik) und „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) sind nun stärker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch durch neue Features und eine Aktualisierung der Oberfläche wiederfinden.

 

Neue Anforderungen an IT-Sicherheit

Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO auch verstärkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie müssen angemessene technische und organisatorische Maßnahmen (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschlüsselung der Datenübertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbehörde und den Nutzern melden. Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen für Sie übernehmen. Auch Anbieter mit Sitz außerhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten und müssen daher ein Schutzniveau gewährleisten, das den Anforderungen der DSGVO genügt.

 

HTTPS
https://pixabay.com/en/https-web-page-internet-security-3344700/

Unabhängig davon, ob Ihr LMS gekauft oder gemietet ist, müssen Ihre Administratoren für einen sicheren Umgang mit personenbezogenen Daten verstärkt sensibilisiert werden. Dies fängt bei der tatsächlichen Einhaltung der Passwortrichtlinien und best practices beim Email-Versand, wie z.B. BCC-Feld nutzen und mit personenbezogenen Daten in Reports kritisch, sorgfältig und vertraulich umgehen. Vielleicht müssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeiter LMS-Arbeiten im Home Office oder auf privaten Geräten erledigen dürfen.

 

Vorsicht bei Trends

Falls Ihr Unternehmen auch dem Trend „Learning Analytics“ folgen möchte, muss genau geprüft werden, wie Sie ihr Vorhaben DSGVO-konform gestalten können, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erfüllt ist. Beim Social Learning sollten sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur Nutzer sich gegenseitig sehen, die dem auch zugestimmt haben (Who is Online / Yellow Pages Funktionen). Wenn Sie sich für die neue Technologien VR/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabschätzung sinnvoll und kann Sie bei der Konformitätsdokumentation im Fall der Fälle vor hohen Strafen bewahren.

 

Fazit: Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich in Detail und ggf. mit der Unterstützung eines fachkundigen Datenschutzbeauftragen darüber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse DSGVO-konform gestalten können. Hier dürfen sich Unternehmen, insbesondere Mittelständler, nicht nur auf die Technik Ihres LMS verlassen.

 

Der folgende Beitrag stellt lediglich unsere Einschätzung der Auswirkung der DSGVO auf Akademien in Unternehmen dar und basiert auf keiner formal-juristischen Ausarbeitung. Wir danken Paul Link für seinen Input und seine Mitwirkung. Eine gute Informationsbroschüre für Mittelständler mit vielen praktischen Tipps fanden wir beim Verlag C.H.Beck. 

2 thoughts on “Endspurt für die DSGVO: Bin ich dank der neuen LMS-Features sicher?

  1. Pingback: Smarties

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑