WebCampus auf der LEARNTEC 2020

Datenschutz im E-Learning - alles ganz E-legal

Dienstag, 27. Juni 2017 - Kategorie: E-Learning Trends

Datenspeicherung – und verarbeitung sind ein großes und sensibles Thema in der Welt der Big Data. Auch im E-Learning Bereich ist man mit dieser wichtigen Frage des Datenschutzes konfrontiert. Die Nutzer hinterlassen mit ihren persönlichen Daten schließlich digitale Lernspuren, mit denen Sie im E-Learning zur Weiterbildung arbeiten. Wir wollen Ihnen einen ersten Überblick in den Paragraphen-Dschungel geben und wichtige Schritte im Umgang mit Datenschutz festhalten.

Datenschutz im E-Learning - alles ganz E-legal

Jeder kennt das. Man meldet sich für ein Programm oder den Zugang zu einem Portal an und muss zum Weiterkommen zunächst die Datenschutzrichtlinien akzeptieren. Ansonsten steht man schnell vor „verschlossenen Türen“. Datensicherung ist vielen ein Dorn im Auge. Aber hinter dieser Form der Einwilligung steckt eine wichtige Absicherung der Daten, die im Zeitalter der digitalen Datenflut und des Datenmissbrauchs immer wichtiger wird. Im Rahmen des Grundrechts hat jeder Mensch das Recht auf „informationelle Selbstbestimmung“ und kann über Erhebung, Verarbeitung und Nutzung persönlicher Daten selbst bestimmen. Dabei stellen sich viele Internetnutzer oft die Frage, ob die Daten wirklich dort bleiben, wo und für welchen Zweck man sie angegeben hat? Oder akzeptiert man mit dem gesetzten Häkchen mehr oder weniger die freie Verwendung seiner Daten? Ein sensibles und für viele Datenschützer, trotz gesetzlicher Verankerung, auch heute noch kontrovers diskutiertes Thema. Auch E-Learning Plattformen im Unternehmen sind vom Thema Datenschutz nicht befreit. Arbeitsrechtler sehen hier häufig das Problem, dass einige E-Programme theoretisch die Möglichkeit bieten, ein Persönlichkeitsprofil oder sogar ein Persönlichkeitsscreening zu erstellen.1 Und für viele E-Learning Kurse sind Funktionen, wie Lernprotokolle der individuellen Nutzer oder Ergebniskontrollen nahezu obligatorisch, um den Wissensstand der Teilnehmer zu erfassen.2

Je nachdem wie umfangreich das System diese Funktionen nutzt, kann dabei eine große Menge an persönlichen Daten zusammenkommen, die von Seite der Unternehmen richtig abgesichert sein müssen. Ansonsten verstoßen Sie als Arbeitgeber nicht nur gegen Gesetzesgrundlagen, sondern verlieren auch das Vertrauen Ihrer Mitarbeiter. Dem Thema kommt somit eine hohe Relevanz zu, die Sie bei Einführung und Konzeption Ihres Lernmanagementsystems mit hoher Priorität behandeln sollten.

Um Missverständnissen, Unsicherheiten und schlimmstenfalls Konfliktsituationen vorzubeugen, wollen wir Ihnen im Folgenden wichtige und grundsätzliche Informationen zum Thema Datenschutz im E-Learning darlegen. Um allerdings konkrete rechtliche Absicherungen zu erfahren, sollten Sie in jedem Fall Experten oder die hier verlinkten Quellen zur Vertiefung zu Rate ziehen.

Zur Gesetzeslage im deutschen Datenschutz

Deutsche Datenschutzbestimmungen fallen unter europäische Datenschutzrichtlinien und sind in der sogenannten Datenschutz-Grundverordnung (DSGVO) festgehalten. Hier können Sie das Dokument öffentlich einsehen. Hinzu kommt auf Landesebene das Bundesdatenschutzgesetz (BDG). Auch hier sind generelle Bestimmungen zum Datenschutz auf nationaler Ebene festgehalten, die sich aber nicht konkret auf E-Learning Plattformen beziehen. Daher sollen im Folgenden konkrete Maßnahmen aus dem Datenschutzgesetz auf den Bereich digitale Weiterbildung übertragen werden.

 


Grundsätzlich soll der Datenschutz das „Schutzniveau natürlicher Personen“ gewährleisten. Im Rahmen der allgemeinen Grundsätze im Datenschutz wird deshalb immer wieder an die allgemeine Sorgfaltspflicht und die Einhaltung geltender Grundrechte appelliert. Unter Datenschutz fallen alle Informationen, mittels derer die Identifikation persönlicher oder sachlicher Verhältnisse möglich wird. Dazu gehören u.a. der volle Name, Adresse, Telefonnummer, Geburtsdatum, Mailadressen und auch Fotos.

Technisch gesehen gelten Lernmanagementsysteme als elektronische Informations- und Kommunikationsdienste und fallen damit rechtlich auch unter das Telemediengesetz (TMG). Auch dieses Gesetz erlaubt nach §13 die Erhebung und Nutzung von Daten unter der Voraussetzung, dass diese Freigabe über eine freiwillige Einwilligung der Nutzer erfolgte, die nicht an eine „sachfremde Bedingung“ geknüpft sein darf. Darunter fallen alle Bedingungen, die außerhalb der Weiterbildungsmaßnahmen anzusiedeln sind, wie z.B. das nächste Firmenevent oder Feedbackgespräch mit dem Vorgesetzten. Als Arbeitgeber können Sie aber mit einer freiwilligen Einwilligung auch die Erlaubnis einholen, auf Grundlage der Daten Nutzungsverhalten oder von Nutzer produzierte Beiträge für eine Datenverarbeitung zu nutzen. Dies trifft vor allem zu, wenn Sie ein adaptives Lernsystem verwenden, in dem Sie über Feedbackfunktionen und Nutzerinteraktionen, z.B. über einen Mentor , spezifische Daten des Nutzers erfassen oder ein Persönlichkeitsprofil erstellen, um individuell auf die Bedürfnisse reagieren zu können.

Orientieren Sie sich an den Grundsätzen des Datenschutzrechts 3, 4, 5

Grundsätzlich gilt: Für eine korrekte und vor allem rechtlich abgesicherte Vorgehensweise sollten Sie sich mit den Grundsätzen der Verarbeitung personenbezogener Daten vertraut machen. Wir wollen Ihnen eine kurze Zusammenfassung der, in der DSGVO formulierten, Grundwerte geben.

Datenvermeidung & Datensparsamkeit

Erheben Sie nur die Daten, die auch erforderlich sind. Daten, die nicht nötig sind, sollten nicht erhoben oder weiterverarbeitet werden. Hier sollten Sie sich also überlegen, ob die Daten für den Zweck geeignet, angemessen und erforderlich sind. Und falls ja, ob diese auf das notwendige Maß beschränkt werden können. Für E-Learning Systeme im Rahmen der betrieblichen Weiterbildung wird es zum Beispiel in den seltensten Fällen erforderlich und angemessen sein, private Informationen zum familiären Kreis o.ä. zu erheben.

Zweckbindung, Vertraulichkeit & Integrität

Die Einwilligung der Daten erfolgt zu einem bestimmten Zweck und wenn nicht anders angegeben, dürfen die Daten nicht darüber hinaus verwendet oder an Dritte weitergegeben werden. Die Daten müssen zudem in einer Weise verarbeitet werden, die die Sicherheit, Richtigkeit und Vollständigkeit der persönlichen Daten gewährleistet. Dies wird durch geeignete technische und organisatorische Maßnahmen umgesetzt. Unbefugte haben somit keinen Zugriff auf die Daten, die damit dem Grundsatz der Vertraulichkeit unterliegen.

Wichtig für Unternehmen: Klären Sie die Zugriffsrechte

Nur so können Sie sicherstellen, dass personenbezogene Daten nicht an Unbefugte oder Dritte gelangen. Das lässt sich am besten kontrollieren indem Sie klar definierten Rollen gewisse Verantwortungsbereiche und Zugriffsrechte zuordnen. Haben Sie beispielsweise die Personendaten und Mailadressen Ihrer Mitarbeiter über das E-Learning Programm erfasst, ist es Ihnen oder Kollegen anderer Teams datenschutzrechtlich nicht erlaubt diese Daten auch für das nächste Schulungsevent außerhalb der Online-Weiterbildung oder für eine Unternehmensstudie zu verwenden.

Transparenz & Verfügbarkeit

Als Verwender der Daten sind Sie verpflichtet über die Datenverwendung umfänglich zu informieren und aufzuklären. Das regelt der fünfte Grundsatz des Datenschutzrechts hinsichtlich der Transparenz. Stellen Sie zudem sicher, dass Nutzer jederzeit Einsicht in ihre Daten haben. Dies ist im DSGVO über das Auskunftsrecht gesetzlich verankert. Betroffenen steht es damit zu jederzeit Informationen über die gespeicherten Daten, den Empfängerkreis und den Zweck der Speicherung zu erhalten.

Außerdem: Sensibilisieren Sie für Datenschutz

Auch seitens der Mitarbeiter ist ein angemessener Umgang mit den eigenen Daten gefordert. Sie als E-Learning Verantwortlicher sind nicht dafür zuständig zu kontrollieren, wie und welche Daten Mitarbeiter in Foren oder interaktiven Formaten preisgeben. Allerdings sollten Sie die Chance nutzen, auch im Zuge einer Datenschutzdebatte in den eigenen Reihen Sensibilisierungsmaßnahmen für Ihre Mitarbeiter zu schaffen. Dies fängt häufig schon beim Thema „sichere Passwörter“ an oder beschäftigt sich mit dem Umgang mit sensiblen Daten auf mobilen Geräten.

Checkliste zum Datenschutz im E-Learning

Grundsätzlich sollte für Ihr E-Learning Projekt gelten: Datenschutz gilt als Grundrecht, dessen Wahrung und Umgang mit sensiblen und persönlichen Daten auf einem hohen Schutzniveau unter Einhaltung hoher Sicherheitsstandards und nationaler Rechtsvorschriften gewährleistet werden muss. In einer Checkliste wollen wir Ihnen die in jedem Fall erforderlichen Schritte nochmals übersichtlich zur Verfügung stellen.
Vorab sollten Sie ein paar zentrale Fragen – orientiert an den Grundwerten für Informationssicherheit - für sich beantworten können und damit auch die nachfolgenden Maßnahmen gewissenhaft in der Praxis umsetzen:6

• Vertraulichkeit – Sind die Daten der Nutzer vor unbefugter Preisgabe geschützt?
• Verfügbarkeit - Können alle Daten zu jeder Zeit aufgerufen und verfügbar gemacht werden?
• Integrität - Kann ich sicherstellen, dass alle Daten vollständig sind und unverändert bleiben?

 Sicherheitsvoraussetzungen abstecken
Als Verantwortlicher sind Sie dafür zuständig geeignete technische und organisatorische Maßnahmen zu installieren (BDSG- §9 TOM). Technische Maßnahmen regeln die Sicherheit der Gebäude- oder Raumsituation, sowie von Soft- und Hardware, z.B. Benutzerkonto, Passwörter oder Benutzer-identifikationen. Organisatorische Maßnahmen dagegen regeln wichtige Handlungsanweisungen und Vorgehensweisen. Unter diese Maßnahme fallen Aspekte wie Zugangs-, Weitergabe-, Eingabe und Auftragskontrollen. Ausführlich dazu hier. Legen Sie bestenfalls auch ein Verzeichnis für Verarbeitungstätigkeiten nach Art. 30 DSGVO an: Darin halten Sie die Wege der Datenverarbeitung fest, wie z.B. Datenkategorien der Betroffenen, Zweck der Verarbeitung und Datenempfänger (s. auch §11 des BDSG).
 Vorabkontrollen einführen
Sichern Sie den geforderten Schutzbedarf: Personenbezogene sind besonders schutzbedürftige Daten, die auf einem hohen Schutzniveau behandelt werden müssen. Vorabkontrollen stellen sicher, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu jedem Zeitpunkt gewährleistet ist. Lassen sich datenschutzrechtliche Risiken, die den Schutz der Nutzer nicht gewährleisten, nicht ausschließen, dann sollten Sie zusätzliche Ressourcen aufwenden, um diese zu minimieren.
 Einwilligungen einholen
Holen Sie in jedem Fall eine Einwilligung zur Datenerhebung und Datennutzung ein, wie sie auch im § Art.4a des Bundesdatenschutzgesetzes festgehalten wird. Dies kann z.B. über das Nutzerkonto oder sogenannte Checkboxes eingeholt werden. Darunter fallen z.B. Zweck, Art und Dauer der Datenerhebung sowie Zeitpunkt der Datenlöschung. Formulieren Sie hier eindeutig, da vage Formulierungen unverständlich sein können und dies im schlimmsten Fall als "Täuschung ausgelegt werden kann. Bei Änderung der Datenverarbeitung müssen Sie die Nutzer entsprechend informieren und eine erneute Einwilligung einholen.
 Aufklärung leisten
Klären Sie die Nutzer über ihre Rechte, wie z.B. Berichtigungen, Sperrungen und Löschung der Daten auf. Damit schaffen Sie nicht nur Transparenz, sondern auch Vertrauen darüber, dass Sie die Gesetze einhalten und Datenschutz gewähren. Halten Sie zudem fest, dass die Daten nicht für Verhaltenskontrollen oder personelle Maßnahmen, wie Abmahnungen oder Versetzungen genutzt werden - Hier fällt das Stichwort Integrität.
 Datenschutzbeauftragten ernennen und ggfs. Betriebsrat einbinden
Erklären Sie einen Datenschutzbeauftragten oder – falls bereits vorhanden – binden Sie diesen in das Projekt E-Learning mit ein. Stellen Sie außerdem nach Art. 30 des EU-DSGVO entsprechende Kontaktdaten des für die Datenverarbeitung Verantwortlichen zur Verfügung. Grundsätzlich wird aufgrund der Brisanz in Datenschutzfragen von Experten geraten Mitarbeiter und ggfs. den Betriebsrat von Anfang an zu informieren und einzubinden. In einigen Fällen ist bereits über betriebliche Regelungen festgehalten, dass der Betriebsrat laut §87 des Betriebsverfassungsgesetz (BetrVG) seine Zustimmung bei dem Einsatz technischer Einrichtungen zu geben hat, die auf die Datenerhebung zur Überwachung von Verhalten und Leistung der Mitarbeiter abzielen.
 Mögliche Zusatzabsicherung einführen
Immer häufiger wird zur zusätzlichen Absicherung von persönlichen Daten die Anonymisierung oder Pseudonymisierung von Daten vorgenommen. In einigen Unternehmen wird diese Maßnahme inzwischen per Betriebsvereinbarung geregelt, um so die E-Learning Daten noch „datenschutzfreundlicher“ zu dokumentieren.
 IT-Grundschutz gewährleisten
Für die Sicherheit von IT-Systemen – z.B. in der Auswahl der E-Learning Anbieter - können Sie den IT-Grundschutz des Bundesamts für Sicherheit und Informationstechnik zu Rate ziehen.

 

Fazit zum Datenschutz im E-Learning

Das Thema Datenschutz ist ein sensibles Thema, mit dem Sie entsprechend umgehen sollten. Für E-Learning gibt es bisher keine konkreten Richtlinien, sie können sich daher auf die hier vorgestellten Gesetze berufen.
Bevor es an die Umsetzung des Lernmanagementsystems geht, sollten Sie daher alle Sicherheitsfragen mit den Verantwortlichen und Dienstleistern klären. Machen Sie den Umgang mit den Daten möglichst transparent. Wenn die Lernenden den Kurs mit einem beunruhigenden, misstrauischen Gefühl beginnen, weil Sie nicht vollständig aufgeklärt sind, was Sie wofür preisgeben, dann verlieren Sie das Vertrauen. Und das wirkt sich schnell auch auf die Motivation der Lernenden aus. Wenn Sie die Grundprinzipien des Datenschutzes verinnerlichen, sollte der Weg zu einem „abgesicherten“ legalen E-Learning geebnet sein.


Hinweis: Halten Sie sich bezüglich neuer Verordnung stetig auf dem Laufenden. 2016 wurde eine neue EU-Datenschutzgrundverordnung auf den Weg gebracht, die mit neuen Regelungen Anfang 2018 in Kraft treten sollen. Mit dieser Reform sollen EU-weit einheitliche Standards in Sachen Datenschutz wirksam werden, da bisher in einigen Ländern unterschiedliche Gesetz gelten. Mehr dazu hier. Wenn Sie bereits ein gutes Datenschutzmanagement haben, dann sollten neue Regelungen einfach zu adaptieren sein.

 

Im Anschluss finden Sie eine Liste mit verschiedener Literaturquellen, die Ihnen helfen soll einen Überblick über Ihre Verantwortlichkeiten in Sachen Datenschutz im Unternehmen zu erlangen:

Gesetze und offizielle Dokumente

Datenschutz-Grundverordnung
Bundesdatenschutzgesetz - Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Bundesdatenschutzgesetz – Anlage zu §9
IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik
Telemediengesetz – nichtamtliches Verzeichnis
Leitfaden Informationssicherheit
 

Fachbeiträge und wissenschaftliche Aufsätze

Datenschutzgrundverordnung - Pflichten für Unternehmen 
EU-Datenschutz-Grundverordnung: Das müssen Sie wissen 
Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung 
Prinzipien des Datenschutzes 
E-Learning-Plattformen zur Mitarbeiterschulung und Datenschutz Teil 1
E-Learning und Datenschutz – Fachmagazin Personalführung der DGFP 
Datenschutz beim E-Learning - Zum Verhältnis von Kontrolle und Vertrauen in der Informationsgesellschaft 
Datenschutz bei E-Learning Plattformen – Forschungsstelle Recht im Deutschen Forschungsnetz
 

Blog- und Onlineartikel

Rechtsfragen im eLearning
Datenschutz
Rechtsfragen bei E-Learning / Digitaler Lehre – Praxisleitfaden
E-legal Rechtsfragen im E-learning
Checkliste Datenschutz und Informationssicherheit (time4you)

 


Quellen:
  1. Datenschutz und E-Learning
  2. E-Learning-Plattformen zur Mitarbeiterschulung und Datenschutz Teil 1
  3. Datenschutz beim E-Learning - Zum Verhältnis von Kontrolle und Vertrauen in der Informationsgesellschaft 
  4. Datenschutz-Grundverordnung - Grundsätze
  5. Datenschutz
  6. Leitfaden Informationssicherheit 

E-Learning Newsletter

Wir informieren Sie quartalsweise über aktuelle Themen und Trends im E-Learning.

Newsletter Anmeldung

E-Learning Feed

Abonieren Sie unseren RSS Feed

Archiv

WebCampus

Heimat Deines Wissens.

Alphabrik GmbH
Telefon: +49 (0) 40 30 20 803 0
Telefax: +49 (0) 40 30 20 803 99

Mitglied im BITKOM e.V.

Innovationspreis IT - Best of 2016
WebCampus made and hosted in Germany
DIQP Service Qualität 2017 / 2018: sehr gut
Kontaktieren Sie uns

Sie finden uns auch auf:

© 2017 Alphabrik GmbH