<\/p>\n
Ihr LMS: Eine Maschine zur Datenverarbeitung<\/strong><\/p>\n Verf\u00fcgt Ihr Unternehmen \u00fcber einen Datenschutzbeauftragten<\/a>, wird ein Verzeichnis von Verarbeitungst\u00e4tigkeiten f\u00fcr personenbezogene Daten vermutlich bereits existieren. Dabei bilden Ihre Trainingsaktivit\u00e4ten im LMS nur eine Rubrik der Verarbeitung personenbezogener Daten z.B. neben Ihrer Mitarbeiter- oder Kundendatenbank. Ist Ihr Unternehmen aus dem Mittelstand und hat keinen Datenschutzbeauftragten, sollten Sie sich intern oder auch extern mit qualifizierten Fachleuten verst\u00e4rken, um sich so schnell wie m\u00f6glich einen \u00dcberblick \u00fcber Ihre Situation zu verschaffen.<\/p>\n Sobald Sie in ihrem LMS den Namen von auch nur einem Lerner erfassen, verarbeiten sie personenbezogene Daten<\/a>. Besondere Vorschriften gelten, wenn Sie auch Daten \u00fcber minderj\u00e4hrige Azubis in ihrem LMS f\u00fchren oder falls Sie auch Spezialinformationen, wie z.B. besondere Anforderungen bei der Unterbringung f\u00fcr Pr\u00e4senzveranstaltungen dokumentieren m\u00fcssen. In diesem Fall handelt es sich sogar um besonders sensible und schutzw\u00fcrdige Daten im Sinne der DSGVO, die nur aufgrund besonderer Erlaubnistatbest\u00e4nde \u00fcberhaupt verarbeitet werden d\u00fcrfen.<\/p>\n <\/p>\n \u00a0<\/strong><\/p>\n Transparenz der Datenverarbeitung: Das A und O<\/strong><\/p>\n Viele LMS am Markt haben in Hinblick auf das Inkrafttreten der DSGVO neue Features oder Plugins ver\u00f6ffentlicht, etwa Totara<\/a> oder Moodle<\/a>. Die Mehrheit der LMS-L\u00f6sungen f\u00fcr den professionellen Einsatz ist bereits so ausgelegt, dass der Nutzer bei dem ersten Login die Kenntnisnahme von einer Datenschutzerkl\u00e4rung best\u00e4tigen muss. Hier m\u00fcssen Sie die Lerner transparent \u00fcber die Verwendung ihrer Daten f\u00fcr den Zweck der Trainingsorganisation informieren, sie \u00fcber Ihre Rechte und die Dauer der Speicherung aufkl\u00e4ren und ggf. einen verantwortlichen Datenschutzbeauftragten benennen. Sollte sich herausstellen, dass der aktuelle Text Ihrer Datenschutzerkl\u00e4rung nicht DSGVO-konform ist, muss er ggf. angepasst und von den Lernern erneut best\u00e4tigt werden.<\/p>\n Um das Risiko zu vermeiden, dass andere gesetzlichen Erlaubnistatbest\u00e4nde eventuell nicht eingreifen, sollte Ihr LMS so ausgelegt sein, dass eine wirksame Einwilligung des Nutzers in die Datenverarbeitung eingeholt wird, wobei dem Nutzer jedoch die M\u00f6glichkeit offen stehen muss, diese Einwilligung auch genau so einfach zu widerrufen, wie sie erteilt wurde. Willigt ein Nutzer in die Datenverarbeitung nicht ein oder widerruft er die Einwilligung, sind die meisten LMS so eingestellt, dass dieser Nutzer Ihre Schulungsdienste \u00fcber das LMS nicht mehr in Anspruch nehmen kann. Das stellt Sie wom\u00f6glich vor einer Herausforderung, wenn es in Ihrem LMS verpflichtende Trainings gibt, die einem h\u00f6heren Zweck dienen und die alle Mitarbeiter ohne Ausnahme absolvieren m\u00fcssen \u2013 z.B. ein WBT Arbeitssicherheit oder elektronische Sicherheitsunterweisungen f\u00fcr bestimmte Maschinen. Hier ist noch unklar, ob die Datenverarbeitung in einem solchen Fall auch ohne die Einwilligung des Nutzers \u00fcber einen der Erlaubnistatbest\u00e4nde aus Art. 6 oder 9 EU-DSGVO gerechtfertigt werden kann.<\/span><\/p>\n <\/p>\n Altbest\u00e4nde anonymisieren <\/strong><\/p>\n In der Praxis ist es auch oft der Fall, dass die Lernerdatenbank aus einem Altsystem geerbt wurde oder das System initial aus Lernerlisten im Excel-Format bef\u00fcllt wurde, bevor es im Unternehmen eine Datenschutzerkl\u00e4rung f\u00fcr das Trainingsgesch\u00e4ft gab. Bei solchen externen Quellen ist Vorsicht geboten. Wenn die Zielgruppe Ihrer Akademie haupts\u00e4chlich aus h\u00e4ufig wechselnden Externen (z.B. Anwendern, H\u00e4ndlern) besteht, dann ist es sicher nicht sinnvoll oder m\u00f6glich, die \u201eKarteileichen\u201c f\u00fcr die Best\u00e4tigung einer neuen Datenschutzerkl\u00e4rung zu kontaktieren.<\/p>\n Eher k\u00f6nnen Sie Altbest\u00e4nde (z.B. Nutzer ohne Trainingsaktivit\u00e4ten in den letzten 10 Jahren) bei Bedarf anonymisieren<\/a>. Diese radikale Ma\u00dfnahme steht jedoch eigentlich im direkten Zielkonflikt mit dem Sinn und Zweck eines LMS. Ein solches System ist n\u00e4mlich darauf auslegt, Informationen \u00fcber Lerner und Lernverhalten dauerhaft auszuwerten und langfristig zu dokumentieren. Hier muss man noch auf entsprechende Rechtsprechung warten, ob solche Ma\u00dfnahmen tats\u00e4chlich auch gefordert werden. Eine Pseudonymisierung<\/a> kann in dem Zeitraum bis zum Erreichen der L\u00f6schfrist eine gute datenschutzkonforme und dennoch auditsichere L\u00f6sung f\u00fcr \u00e4ltere Datenbankeintr\u00e4ge darstellen, z.B. durch die Aufbewahrung von Lerner- und Trainingsdaten in getrennten Tabellen auf unterschiedlichen Serverbereichen mit einer m\u00f6glichen Zuordnung \u00fcber eine eindeutige ID.<\/p>\n <\/p>\n <\/p>\n Das neu verankerte \u201eRecht auf Vergessenwerden<\/a>\u201c laut DSGVO k\u00f6nnte Akademien von Unternehmen ebenfalls vor gr\u00f6\u00dfere Herausforderungen stellen. Ein Nutzerprofil kann in den LMS zwar oft noch \u00fcber die Oberfl\u00e4che gel\u00f6scht werden. Dies beinhaltet in der Regel aber nicht die endg\u00fcltige L\u00f6schung aller relevanten Datenbank-Eintr\u00e4ge. Hier steht dem Recht der Nutzer aber auch das berechtigte Interesse des Unternehmens entgegen, auch Jahre sp\u00e4ter nachweisen zu m\u00fcssen, welche Compliance-Schulungen oder Sicherheitstrainings ein Lerner erhalten hat, z.B. bei FDA- oder T\u00dcV-Audits<\/a>. Definitive L\u00f6schfristen mit einem gro\u00dfen Zeitraum (z.B. 25 Jahren) schaffen hier Abhilfe.<\/p>\n <\/p>\n Prozesse gehen vor Technik <\/strong><\/p>\n In der Praxis ist nicht davon auszugehen, dass LMS-Nutzer h\u00e4ufig von ihrem Recht auf Vergessenwerden Gebrauch machen werden oder willk\u00fcrlich ihre Einwilliungserkl\u00e4rung widerrufen. Dennoch sollten Sie sich dar\u00fcber Gedanken machen, wie Sie mit solchen Anforderungen im Fall der F\u00e4lle konkret umgehen wollen. Beantragt ein Nutzer die L\u00f6schung aller Daten, die sie \u00fcber ihn gespeichert haben, haben Sie daf\u00fcr in der Regel gem\u00e4\u00df Art. 12 Abs. 3 DSGVO eine bindende Frist von einem Monat. Der Antrag darf auch formlos erfolgen, z.B. telefonisch.<\/p>\n Weitere LMS-relevante Features in Hinblick auf die DSGVO w\u00e4ren auch die leichtere M\u00f6glichkeit f\u00fcr den Nutzer, ihn betreffende Daten einzusehen und zu berichtigen und in einem g\u00e4ngigen Format wie JSON oder XML exportieren zu lassen, um sie bei einem anderen Anbieter einspielen zu lassen. Dadurch k\u00f6nnte der Lerner viel leichter als bisher seine Bildungshistorie zu seinem n\u00e4chsten Arbeitgeber \u201emitnehmen\u201c. Hier k\u00f6nnte der Begriff \u201elebenslanges Lernen\u201c auch in Kombination mit neuen Technologien wie xAPI\/TinCan<\/a> eine neue Dynamik bekommen. Auch die Themen \u201ePrivacy by design<\/a>\u201c (Datenschutz durch Technik) und \u201ePrivacy by Default\u201c<\/a> (datenschutzfreundliche Voreinstellungen) sind nun st\u00e4rker gesetzlich verankert. Diese Neuerungen sollten sich im LMS durch durch neue Features und eine Aktualisierung der Oberfl\u00e4che wiederfinden.<\/p>\n <\/p>\n Neue Anforderungen an IT-Sicherheit <\/strong><\/p>\n Wenn Sie Ihr LMS on premise hosten, kommen mit der DSGVO auch verst\u00e4rkte Anforderungen an die IT-Sicherheit auf Sie zu. Sie m\u00fcssen angemessene technische und organisatorische Ma\u00dfnahmen<\/a> (TOM) treffen, wie das rechtzeitige Einspielen von Updates und eine ausreichend sichere Verschl\u00fcsselung der Daten\u00fcbertragung, potentiell datenschutzrelevante Critical Incidents beobachten und diese dann ggf. der Aufsichtsbeh\u00f6rde<\/a> und den Nutzern melden. Wird Ihr LMS als SaaS gehostet, sollte der LMS-Anbieter diese Leistungen f\u00fcr Sie \u00fcbernehmen. Auch Anbieter mit Sitz au\u00dferhalb der EU unterfallen dem Anwendungsbereich der DSGVO, sofern sie ihre Leistungen innerhalb der EU anbieten und m\u00fcssen daher ein Schutzniveau gew\u00e4hrleisten, das den Anforderungen der DSGVO gen\u00fcgt.<\/p>\n <\/p>\n Unabh\u00e4ngig davon, ob Ihr LMS gekauft oder gemietet ist, m\u00fcssen Ihre Administratoren f\u00fcr einen sicheren Umgang mit personenbezogenen Daten verst\u00e4rkt sensibilisiert werden. Dies f\u00e4ngt bei der tats\u00e4chlichen Einhaltung der Passwortrichtlinien und best practices beim Email-Versand, wie z.B. BCC-Feld nutzen und mit personenbezogenen Daten in Reports kritisch, sorgf\u00e4ltig und vertraulich umgehen. Vielleicht m\u00fcssen Sie auch neue Regeln schaffen, wenn Ihre Mitarbeiter LMS-Arbeiten im Home Office<\/a> oder auf privaten Ger\u00e4ten erledigen d\u00fcrfen.<\/p>\n <\/p>\n Vorsicht bei Trends<\/strong><\/p>\n Falls Ihr Unternehmen auch dem Trend \u201eLearning Analytics\u201c folgen m\u00f6chte, muss genau gepr\u00fcft werden, wie Sie ihr Vorhaben DSGVO-konform gestalten k\u00f6nnen, da hier das Kriterium der Zweckbindung bei der Datenerhebung nicht immer erf\u00fcllt ist. Beim Social Learning sollten sie durch ein geeignetes Berechtigungskonzept sicherstellen, dass nur Nutzer sich gegenseitig sehen, die dem auch zugestimmt haben (Who is Online \/ Yellow Pages Funktionen). Wenn Sie sich f\u00fcr die neue Technologien VR\/AR und xAPI interessieren, ist je nach Anwendungsszenario eine Datenschutz-Folgenabsch\u00e4tzung sinnvoll und kann Sie bei der Konformit\u00e4tsdokumentation im Fall der F\u00e4lle vor hohen Strafen bewahren.<\/p>\n <\/p>\n Fazit: Auf der sicheren Seite beim Thema DSGVO sind Sie erst, wenn Sie sich in Detail und ggf. mit der Unterst\u00fctzung eines fachkundigen Datenschutzbeauftragen dar\u00fcber Gedanken gemacht haben, wie Sie nicht nur Ihr LMS, sondern auch Ihre Trainingsprozesse DSGVO-konform gestalten k\u00f6nnen. Hier d\u00fcrfen sich Unternehmen, insbesondere Mittelst\u00e4ndler, nicht nur auf die Technik Ihres LMS verlassen. <\/strong><\/p>\n <\/p>\n Der folgende Beitrag stellt lediglich unsere Einsch\u00e4tzung der Auswirkung der DSGVO auf Akademien in Unternehmen dar und basiert auf keiner formal-juristischen Ausarbeitung. Wir danken Paul Link<\/a> f\u00fcr seinen Input und seine Mitwirkung. Eine gute<\/em> Informationsbrosch\u00fcre f\u00fcr Mittelst\u00e4ndler <\/em><\/a>mit vielen praktischen Tipps fanden wir beim Verlag C.H.Beck.\u00a0 <\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Am Freitag findet die EU-Datenschutzgrundverordnung ausnahmslos Anwendung. Besonders viele personenbezogene Daten verarbeitet Ihr Unternehmen, wenn es ein Learning Management System (LMS) betreibt. Das \u201eDSGVO-Update\u201c Ihres LMS-Anbieters haben Sie bereits eingespielt. Sind Sie nun auf der sicheren Seite?<\/p>\n","protected":false},"author":4,"featured_media":1608,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[44,33],"tags":[149,151,150,145,47,7,70,153,52,147,148,152,146],"class_list":["post-1631","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hinter-den-kulissen","category-trends","tag-audits","tag-datenschutzbeauftragter","tag-datenschutzerklaerung","tag-dsgo","tag-e-learning","tag-elearning","tag-learning-management-system","tag-lebenslanges-lernen","tag-lms","tag-portabilitaet","tag-recht-auf-vergessenwerden","tag-sicherheitsupdates","tag-xapi","clear","fallback-thumbnail"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/www.p-didakt.com\/blog\/wp-content\/uploads\/2018\/05\/jogging-2343558.jpg?fit=2000%2C1334&ssl=1","jetpack_shortlink":"https:\/\/wp.me\/pc1qp1-qj","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/posts\/1631","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/comments?post=1631"}],"version-history":[{"count":5,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/posts\/1631\/revisions"}],"predecessor-version":[{"id":2864,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/posts\/1631\/revisions\/2864"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/media\/1608"}],"wp:attachment":[{"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/media?parent=1631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/categories?post=1631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.p-didakt.com\/blog\/wp-json\/wp\/v2\/tags?post=1631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/i0.wp.com\/4054c98.online-server.cloud\/blog\/wp-content\/uploads\/2018\/05\/regulation-3246979-1024x480.jpg?resize=736%2C345\")
![\"Schl\u00fc\u00dfel\"](\"https:\/\/i0.wp.com\/4054c98.online-server.cloud\/blog\/wp-content\/uploads\/2018\/05\/key-3348307-1024x576.jpg?resize=736%2C414\")
![\"HTTPS\"](\"https:\/\/i0.wp.com\/4054c98.online-server.cloud\/blog\/wp-content\/uploads\/2018\/05\/https-3344700-1-1024x410.jpg?resize=736%2C295\")