6 Minuten

Datenschutz im e-Learning

Seit langem schulen Unternehmen ihre Mitarbeitenden nicht nur in Präsenzschulungen, sondern vermehrt online-basiert auf unterschiedlichen Endgeräten (PC, Smartphones, Tablets). Dieser Trend hat in diesem Jahr seinen Höhepunkt, denn aufgrund der Pandemie finden Präsenzveranstaltungen meist gar nicht erst statt.

Datenschutz bei Online-Kursangeboten

Unternehmen, die ihre Mitarbeitenden weiterhin fördern wollen, können mittlerweile aus unzähligen online-Kursangeboten wählen. Dies birgt einige Risiken. Wenn die Mitarbeitenden online-basiert geschult werden, findet auch automatisch ein Datenaustausch statt – und nicht nur im Unternehmen, sondern auch bei den Anbietenden der Kurse. Die Lernenden hinterlassen mit ihren persönlichen Daten digitale Lernspuren. Dies sind nicht nur Stammdaten, wie IP-Adresse, Name, E-Mail-Adresse und Funktion, sondern die gesammelten Informationen können auch Auskunft darüber geben, ob ein Kurs bestanden wurde oder nicht, und sogar, welche Fragen nicht beantwortet werden konnten.

Hier setzt der Datenschutz ein, denn jede*r einzelne hat das Recht selbst darüber zu entscheiden, wer was wann über sie/ihn weiß. Ziel der gesetzlichen Bestimmungen des Datenschutzes ist die Umsetzung des „Recht auf informationelle Selbstbestimmung“, die schon im Grundgesetz verankert ist. Dieses Recht ist Teil des allgemeinen Persönlichkeitsrechts, das sich wiederum aus den Grundrechten auf freie Entfaltung der Persönlichkeit, Art. 2 Abs. 1 Grundgesetz (GG) und der Menschenwürde, Art. 1 Abs. 1 (GG) ableitet.

In der Datenschutz-Grundverordnung (DSGVO) sind die Rechte der Betroffenen in den Art. 12-23 verankert. Art. 15 der DSGVO regelt beispielsweise das Auskunftsrecht der betroffenen Person, wonach auch alle Mitarbeitenden das Recht haben zu erfahren, was mit den eigenen Daten, hier auch der Lernstände, passiert. Um diese Rechte zu wahren, sind bei der Verarbeitung personenbezogener Daten datenschutzrechtliche Grundsätze (Art. 5 – 11 DSGVO) zu beachten.

Datenschutz per Einwilligung

Überall im Web stößt man auf Cookie-Banner, Datenschutzrichtlinien und Co. Mit der Zeit ist das schon lästig. Aber mal im Ernst: ist es nicht gut, dass wir heute weitestgehend selbst entscheiden können, was mit unseren Daten passiert und was nicht?

Genauer betrachtet steckt hinter dieser Form der Einwilligung eine wichtige Absicherung der eigenen Daten, die im Zeitalter der digitalen Datenflut und des Datenmissbrauchs immer wichtiger wird. Im Rahmen des Grundrechts hat jeder Mensch das Recht auf „informationelle Selbstbestimmung“ und kann damit über Erhebung, Verarbeitung und Nutzung persönlicher Daten selbst bestimmen.

Dabei stellen sich viele Internetnutzende oft die Frage, ob die Daten wirklich dort bleiben, wo und für welchen Zweck man sie angegeben hat? Oder akzeptiert man mit dem gesetzten Häkchen mehr oder weniger die freie Verwendung der Daten?

Ein sensibles und für viele Datenschützer*innen, trotz gesetzlicher Verankerung, auch heute noch ein kontrovers diskutiertes Thema.

Die Alternative zu Online-Plattformen

Anbietende von e-Learning Plattformen bieten eine Alternative zu Online-Plattformen an – Implementierung einer e-Learning Plattform im Unternehmen selbst, auf hauseigenen Servern. Hier können Mitarbeitende individuell zu allen Themen geschult werden, ohne dass persönliche Daten eventuell in falsche Hände geraten. Die Daten bleiben im Unternehmen, von außen geschützt, oder?

Sind Arbeitgebende dann vom Thema Datenschutz befreit?

Natürlich nicht! Im Gegenteil, Arbeitsrechtler*innen sehen häufig das Problem, dass einige e-Learning-Programme theoretisch die Möglichkeit bieten, ein Persönlichkeitsprofil oder sogar ein Persönlichkeitsscreening zu erstellen. Denn die meisten e-Learning Plattformen haben Funktionen, wie Lernprotokolle der individuellen Nutzenden oder Ergebniskontrollen abzubilden, um den Wissensstand der Teilnehmenden zu erfassen. Es werden also entsprechende Lernstanddaten der jeweiligen Mitarbeitenden gespeichert. Hierbei kann eine große Menge an persönlichen Daten zusammenkommen, was natürlich durch die Unternehmen richtig abgesichert sein muss.

Abgesehen davon, dass die Arbeitgebenden gegen geltende Gesetzesgrundlagen verstoßen, sie verlieren auch das Vertrauen der Mitarbeitenden und womöglich riskieren sie hohe Bußgelder, wenn sie diese teils hochsensiblen Daten nicht ausreichend absichern. Somit muss schon bei Einführung und Konzeption eines Lernmanagementsystems in einem Unternehmen die Thematik des Datenschutzes und der Datensicherheit mit hoher Priorität behandelt werden. Unternehmen haben gegenüber allen Mitarbeitenden eine gewisse Verantwortung und sollten entgegengebrachtes Vertrauen nicht durch Leichtsinn oder Unwissenheit verspielen. Damit es nicht zu Missverständnissen, Unsicherheiten und schlimmstenfalls zu Konfliktsituationen innerhalb eines Unternehmens kommt, wollen wir im Folgenden wichtige Informationen zum Thema Datenschutz im e-Learning mit an die Hand geben.

Praxistipps

Unternehmen suchen sich e-Learning Anbieter, also externe Dienstleistende, die Schulungstools – e-Learning Plattformen – bereitstellen.

Wichtig: es sollte mit dem externen Dienstleistenden ein sogenannter AV-Vertrag gemäß Art. 28 DSGVO geschlossen werden, vor allem im Hinblick auf Support und Wartung des Schulungstools.
Der AV-Vertrag ist eine Vereinbarung über die Auftragsverarbeitung, in der festgeschrieben wird, wie Verantwortliche und Auftragsverarbeiter*innen mit welchen Daten umgehen und zu welchem Zweck sie verarbeitet werden. Absolut notwendig sind hierbei die sogenannten TOMs, technische und organisatorische Maßnahmen des Dienstleisters. Geregelt werden hierin u. a. allgemeine Pflichten, die Sicherheit der personenbezogenen Daten und Verhaltensregeln.

Vor dem konkreten Einsatz ist mit den jeweiligen Fachbereichen abzuklären, welche Informationen über die teilnehmenden Mitarbeitenden einsehbar und nachvollziehbar sein sollen.

Wer darf was sehen?

Verschiedene Daten der Teilnehmenden, bspw. Zeiten des Logins werden über ein personalisiertes Nutzerkonto protokolliert, so dass es schlussendlich auch ausgewertet werden kann.

In einer Dokumentation sollte klar definiert sein, welche Daten erfasst werden und wozu diese Daten verwendet werden sollen. Dabei sind die Grundsätze des Art. 5 DSGVO zwingend zu beachten.

Informieren Sie die Teilnehmenden/Mitarbeitenden darüber, welche Informationen über sie gespeichert werden – auch das schafft Vertrauen und Transparenz.

Sollte es im Unternehmen einen Betriebsrat geben, sollte dieser frühzeitig – vor dem Einsatz eines e-Learnings mit einbezogen werden, da ansonsten eine Verletzung seines Mitbestimmungsrechtes gemäß § 87 Absatz 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) vorliegt.

Vor Einführung eines e-Learning Systems muss entweder die Einwilligung der jeweils betroffenen Teilnehmenden/Mitarbeitenden vorliegen oder es muss ein gesetzlicher Erlaubnistatbestand greifen.

Online wie offline – der Datenschutz muss gewahrt werden.

Beim Thema e-Learning ist das Einverständnis der Teilnehmnden der Schlüssel zur Wahrung des Datenschutzes.

Wichtig: Eine Einverständniserklärung kann nicht rückwirkend gegeben werden und sie kann von den Betroffenen jederzeit widerrufen werden.
Die Einverständniserklärung muss zweckgebunden und zeitlich begrenzt sein, z. B. für die Zeit der Beschäftigung.

Gibt es keinen ausreichenden Grund, personenbezogene Daten im e-Learning zu erheben, können die Daten anonymisiert oder pseudonymisiert werden. Das kann zum Beispiel der Fall sein, wenn es unwichtig ist, wie der einzelne Mitarbeitenden abgeschnitten hat, oft reicht es schon zu wissen, im Fachbereich 1 haben 10 von 12 Mitarbeitenden  den Kurs erfolgreich absolviert. Wenn jedoch eine direkte Zuordnung notwendig ist, kann die Übermittlung des Faktes reichen, ob Lernende den Kurs erfolgreich absolviert haben, ohne das konkrete Ergebnis mitzuteilen.