Datenschutz im E‑Learning

Bei der Einführung von E‑Learning wird man schnell über die Datenschutzfrage stolpern – nicht nur im Hinblick auf die Registrierung der Lernenden, sondern vor allem hinsichtlich der verwendeten Software, der Lernprozesse und deren Analyse. Die gute Nachricht deshalb zuerst: E‑Learning und Datenschutz lassen sich ganz leicht vereinen, vorausgesetzt, man beachtet ein paar grundlegende Hinweise. Im folgenden Beitrag finden Sie die nötigen Infos zur rechtlichen Grundlage und die 6 Hinweise, die Ihnen helfen werden, Ihr E‑Learning Vorhaben von Anfang an datenschutzrechtlich sicher zu gestalten.

Kurz und schmerzlos: Die rechtliche Grundlage für die Datenschutzbestimmungen im E‑Learning bilden im Wesentlichen die Datenschutz-Grundverordnung, kurz DSGVO (hier einzusehen) und das Bundesdatenschutzgesetz, kurz BDG (hier einzusehen). Unter den Datenschutz fallen alle Informationen, mit denen die Identifikation persönlicher oder sachlicher Verhältnisse möglich wird. Dazu zählen natürlich die offensichtlichen Daten wie Namen, Adressen, Telefonnummern, Mailadressen etc., im speziellen Fall des E‑Learning aber auch Daten wie Lernzeiten, Testergebnisse, Verweildauer und Ähnliches. Besonders problematisch wäre es, könnten diese Daten an Dritte gelangen oder ein Bezug zwischen Lernprozessdaten und der jeweiligen Person hergestellt werden.

Auch wenn die DSGVO dafür gesorgt hat, dass man schon beim Gedanken an sie Bauchschmerzen bekommt, darf man sie im Fall der digitalen Weiterbildung gern als entscheidenden Erfolgsfaktor betrachten: Denn nur wenn die Lernenden sich sicher sein können, dass ihre Daten zu Lernprozessen und Testergebnissen geschützt und nicht etwa dafür verwendet werden können, um über ihre zukünftigen Karrieren zu entscheiden, wird es ihnen möglich sein, frei und motiviert zu lernen. Der Datenschutz ist im Fall des E‑Learning also sehr viel mehr als notwendiges Übel. Er ist die Basis für eine vertrauensvolle, erfolgreiche Lernkultur.

Die häufigsten Zweifel hinsichtlich des Datenschutzes kommen erfahrungsgemäß von Betriebsrat und Datenschutzbeauftragten, wobei letztere maßgeblich daran beteiligt sein werden, die Herausforderung zu stemmen. Wichtig ist deshalb, beide Instanzen von Anfang an in das Vorhaben einzubeziehen, Datenschutzfragen transparent anzusprechen und Zweifel durch Fakten und Maßnahmen zu zerstreuen. Immerhin hängt die Entscheidung, ob E‑Learning überhaupt eingeführt werden darf, ganz maßgeblich beim Betriebsrat, sodass es ratsam ist, diesen von Beginn an auf die “sichere Seite” zu holen.

Es ist der vermutlich wichtigste Tipp unter allen: Fangen Sie mit dem Datenschutz so früh wie möglich an. Beziehen Sie datenschutzrechtliche- und IT-Sicherheitsaspekte direkt in Ihren Anforderungskatalog ein. Üblicherweise kann Ihre Compliance-Abteilung Sie mit einer Checkliste unterstützen. Klären Sie bspw., ob Anbieter aus dem Ausland überhaupt infrage kommen, welche Sicherheitsmaßnahmen gewährleistet sein müssen und ob der Anbieter bereit ist, einen Vertrag über die Auftragsverarbeitung zu unterzeichnen. 

Parallel sollten Sie auf eine ausführliche, leicht verständliche Datenschutzerklärung für Ihre Mitarbeitenden Wert legen. Gemäß DSGVO sind Sie als Anbieter verpflichtet, Ihre Nutzenden transparent, ausführlich und verständlich über die Verarbeitung ihrer Daten aufzuklären.

Hierbei gilt: Je mehr Transparenz, desto stärker ist die Vertrauensbasis für ein erfolgreiches Lernvorhaben. Das Transparenzgebot der DSGVO meint, dass die Mitarbeitenden wissen sollen, welche Datenverarbeitung stattfindet. Also welche Daten erhoben werden, zu welchem Zweck sie erhoben werden, wie sie gespeichert werden (anonymisiert oder nicht?), wo sie gespeichert werden und für wie lang. 

Hinweise innerhalb der Lernplattform sorgen für noch mehr Vertrauen. So können Sie zum Beispiel an Kommentarfeldern noch einmal betonen, wer anschließend den Kommentar sehen kann oder Mitarbeitende wissen lassen, dass Prüfungsergebnisse ausschließlich anonymisiert gespeichert werden. Beachten Sie auch das Auskunftsrecht der DSGVO.

Generell gilt es bei der Erhebung von Daten den Grundsatz der Datenminimierung zu berücksichtigen. Dieser steht in enger Verbindung mit der oben besprochenen Zweckbindung der Daten und meint, dass immer nur die Daten erhoben werden dürfen, die Sie wirklich für die Lernprozesse und deren Auswertung und Optimierung brauchen. 

Konkret bedeutet das, dass sowohl

• Datenmengen
• der Verarbeitungsumfang
• die Speicherdauer 
• und die Zugänglichkeit 

auf das zweckmäßige Minimum reduziert werden muss.

Weiterbildungsmaßnahmen müssen häufig dokumentiert werden, d. h. es muss zu einem späteren Zeitpunkt nachgewiesen werden, dass alle relevanten Mitarbeitenden eine Schulung zu einem konkreten Thema besucht haben. Dies gilt insbesondere für Compliance-Themen wie Arbeitssicherheit, Datenschutz oder Kartellrecht. An dieser Stelle ist es wichtig, zu dokumentieren, warum, welche und wie lange die Daten erhoben und gespeichert werden. 

Besteht kein Grund, einen Personenbezug zu den Daten herzustellen, sollten Sie Wert auf eine anonymisierte Auswertung Ihrer Schulungsmaßnahmen legen. So können Sie bspw. auswerten, wie viele Mitarbeitende das Angebot genutzt haben, einen konkreten E‑Learning-Kurs abgeschlossen haben oder mithilfe einer Umfrage Feedback erheben.

Achten Sie bei der Wahl Ihres E‑Learning Anbieters darauf, dass dessen Software vollständig die DSGVO-Richtlinien erfüllt und im Europäischen Wirtschaftsraum (EWR) gehostet wird. Lassen Sie sich unabhängige Zertifizierungen (z. B. ISO 27001) oder ein Datenschutzkonzept vorlegen. Meist merken Sie schon im ersten Kontakt mit dem Vertrieb, ob ein Bewusstsein für Datenschutz und IT-Sicherheit im Unternehmen vorhanden ist.  

Professionelle E‑Learning Anbieter mit Markterfahrung in Deutschland kennen die Herausforderungen um den Datenschutz und sollten in der Lage sein, Sie umfassend zu beraten und genau zu justieren, welche Daten überhaupt, personenbezogen oder anonymisiert erhoben werden. Vereinbaren Sie deshalb schon vor der Auswahl der Tools einen Beratungstermin.

Sollten Sie vorrangig mit Lernvideos arbeiten, ist es natürlich verlockend, dafür eine der zahlreichen unentgeltlichen Videoplattformen zu benutzen. Hierbei begibt man sich jedoch schnell rechtlich auf Glatteis, denn meist besteht das Geschäftsmodell dieser Plattformen darin, IP-Adressen, Nutzungsdaten und gerätebezogene Informationen zu sammeln und zu Persönlichkeitsprofilen zusammenzuführen. Im schlimmsten Fall ohne Anonymisierung. In diesem Fall könnten Ihre Mitarbeitenden die Weiterbildungsangebote nur zum Preis der Verarbeitung ihrer personenbezogenen Daten wahrnehmen. Hinter den meisten Videoplattformen stehen zudem US-amerikanische Anbieter. Eine Übermittlung personenbezogener Daten in die USA ist ohne das Einverständnis Ihrer Mitarbeitenden kritisch. Hier sollten Sie sich auch die Frage stellen, was passiert, wenn ein Mitarbeitender sein Einverständnis verweigert. 

Für die gezielte, unternehmensinterne Weiterbildung ist daher ein Lernmanagementsystem (LMS) eines professionellen Anbieters immer die sicherere Wahl. Dort können Sie initial festlegen, welche Daten tatsächlich erhoben, verarbeitet und gespeichert werden, können jederzeit Auskunft über die Verwendung der Daten geben und Ihre Mitarbeitenden gezielt schulen.

Learning Analytics sind das Thema, das hinsichtlich des Datenschutzes am meisten Kopfzerbrechen bereitet – immerhin werden hierbei sämtliche Lernprozess-relevanten Daten wie Lernzeiten, Lerndauer, Lernfortschritte, Testergebnisse, Verweildauer etc. gesammelt und gezielt ausgewertet. Die sicherste Lösung lautet auch hier: Anonymisierung. Achtung aber: Die natürlichen Gegebenheiten in Unternehmen können dafür sorgen, dass trotz Anonymisierung Rückschlüsse auf Einzelpersonen möglich sein können – bspw. wenn Daten nach Abteilungen geclustert werden und es in einer Abteilung nur eine Person gibt. In solchen Fällen hilft ein individuelles Datenschutz-Konzept, das Ihre unternehmensinternen Gegebenheiten in sämtliche Überlegungen einbezieht. Die chemmedia AG berät Sie gern.