blink.it Blog – Expertenblog für E-Learning & Blended Learning

Datenschutz und E-Learning: Tipps für Unternehmen

Geschrieben von Corinna Günther | Mi, 28.11.2018

Bei der Einführung von E-Learning stehen viele Personalentwickler vor der Frage, was beim Thema Datenschutz zu tun ist. Mit einer digitalen Lernplattform sind schließlich immer auch personenbezogene Daten verbunden. Doch Datenschutz und E-Learning sind im Grunde ganz einfach zu vereinen – wenn du ein paar grundlegende Dinge beachtest. Die drei wichtigsten Tipps: Datenschutz von Anfang an mitdenken, auf Transparenz achten und im Zweifel Daten anonymisieren.

Die gute Nachricht vorweg: Wer sich grundsätzlich mit Datenschutz auseinandersetzt, braucht vor dem Thema auch im E-Learning keine Angst zu haben. Gesetze wie die DSGVO haben unter anderem dazu beigetragen, dass allein die Erwähnung des Begriffs Datenschutz bei vielen Menschen Bauchschmerzen auslöst. Wer sich nicht auf den Bereich Datenschutz spezialisiert hat, steht oft vor vielen Fragen.

Ich habe deshalb mit unserem blink.it-Datenschutz-Experten gesprochen, der eine intensive Datenschutz-Schulung von 60 Stunden absolviert hat. Von ihm wollte ich wissen: Was können Personalentwickler in Unternehmen konkret tun, damit das Thema Datenschutz bei der Einführung von neuen E-Learning-Prozessen nicht zum Problem wird?

Hinweis: Alle Informationen beruhen auf sorgfältiger Recherche und Beratschlagung mit Experten. Grundsätzlich können wir jedoch keine Rechtsberatung geben. Bei konkreten Fragen zu deinem Unternehmen richtest du dich am besten direkt an euren internen Datenschutzbeauftragten.

Im E-Learning und offline: Das bedeutet “Datenschutz muss gewahrt werden”

Die Antworten des Experten waren alle einleuchtend und gut verständlich. Im Prinzip gilt immer: Der Datenschutz muss gewahrt werden. Beschäftigen sollten sich damit zumindest diejenigen, die personenbezogene Daten verarbeiten. Das gilt im Seminar ebenso wie bei der Einrichtung einer E-Learning-Plattform für die Mitarbeiterschulung.

Die Verarbeitung personenbezogener Daten ist also grundsätzlich verboten. Außer, du hast eine Rechtsgrundlage. Und genau dafür kannst du sorgen, wenn du ein paar Tipps beachtest. Eine Rechtsgrundlage besteht vor allem in folgenden zwei Fällen:

  • Das Einverständnis des Betroffenen liegt (schriftlich) vor.
  • Ein anderes Gesetz steht über dem Datenschutz, z. B. die Aufbewahrungspflicht von Rechnungen.

E-Learning und Datenschutz? Kein Problem, wenn du das Einverständnis der Teilnehmer einholst.

Beim Thema E-Learning ist das Einverständnis der Teilnehmer deiner Mitarbeiterschulungen der Schlüssel zur Wahrung des Datenschutzes. Grundsätzlich hat unser Datenschutzbeauftragter drei Tipps für Unternehmen, die E-Learning einsetzen wollen:

  1. Datenschutz von Anfang an mitdenken
  2. Auf Transparenz achten
  3. Im Zweifel: Daten anonymisieren

Was unter diesen grob zusammengefassten Tipps zu verstehen ist, stelle ich dir im Folgenden genauer vor.

Tipp 1: Datenschutz von Anfang an mitdenken

Der wichtigste Tipp, den unser Datenschutzbeauftragter mir weitergegeben hat: So früh wie möglich an das Thema Datenschutz denken und den unternehmensinternen Datenschutzbeauftragten kontaktieren. Schildere ihm, welche Art von E-Learning im Rahmen der Mitarbeiterschulung eingesetzt werden soll und frage nach internen Datenschutz-Regelungen dazu.

Der beste und einfachste Weg, um den Datenschutz zu wahren, ist eine Einverständniserklärung der Betroffenen – also der Teilnehmer des E-Learnings oder der Mitarbeiterschulung. Wichtig: Eine Einverständniserklärung kann nicht rückwirkend gegeben werden. Das Einverständnis jedes Teilnehmers muss also schon vorliegen, bevor die Plattform zum ersten Mal benutzt wird. Genau deshalb solltest du von Anfang an den Datenschutz mitdenken.

Grundsätzlich gilt für eine Einverständniserklärung zur Verarbeitung von Daten:

  • Sie kann nicht rückwirkend gegeben werden.
  • Sie kann vom Betroffenen jederzeit rückgängig gemacht werden.
  • Sie muss zweckgebunden sein.
  • Der Zweck muss zeitlich begrenzt sein.

Zweckgebunden heißt, dass das Einverständnis für einen konkreten Einsatz der Datenverarbeitung gegeben wird. Die zeitliche Begrenzung muss dabei nicht in Kalendertagen genannt sein – es reicht, die Verarbeitung beispielsweise auf die Dauer der Beschäftigung des Mitarbeiters im Unternehmen zu beziehen. In diesem Beispiel ist die zeitliche Grenze also bei Ausscheiden des Mitarbeiters erreicht.

Übrigens: Von der “Verarbeitung personenbezogener Daten” spricht man laut DSGVO in jedem Fall, in dem Daten verschriftlicht werden. Das gilt für den Aktenordner genauso wie für die digitale Datei – egal ob offline oder online. Als personenbezogen gilt jede Angabe, die eine Person identifizierbar macht. Mehr dazu unter: www.dsgvo-gesetz.de

Datenschutz von Anfang an mitdenken heißt konkret:

  • Den internen Datenschutzbeauftragten kontaktieren, sobald das Thema E-Learning im Unternehmen aufkommt.
  • Eine Einverständniserklärung der Teilnehmer einholen, sobald sie sich auf der E-Learning-Plattform registrieren.

Tipp 2: Auf Transparenz achten

Selbst mit Einverständniserklärung rät der Datenschutzbeauftragte, jede Verarbeitung von Daten so offen und transparent wie möglich zu machen. Soll heißen: Informiere deine Teilnehmer der Schulung, wann und wie jede Information gespeichert wird. Wenn im E-Learning beispielsweise 2.000 Teilnehmer an einer Plattform arbeiten und jeder Kommentar von sämtlichen Teilnehmern eingesehen werden kann – weise die Teilnehmer darauf hin, etwa mit einem Info-Text auf der Plattform selbst oder ausführlichen Informationen im Intranet.

Übrigens: Wer die eigene Adresse auf einer (frei zugängigen) Website schreibt, veröffentlicht sie damit. Wer seine Adresse jedoch an einem Ort im Web hinterlässt, der durch eine Barriere geschützt ist, hat sie nicht öffentlich gemacht. Eine Barriere ist beispielsweise vorhanden, wenn du dir für den Zugriff auf eine Webseite einen Account anlegen musst. So dürfen personenbezogene Daten, die etwa auf LinkedIn, dem Intranet oder einer E-Learning-Plattform stehen, nicht weitergegeben oder sonst irgendwie verarbeitet werden.

Transparenz im E-Learning: Den Teilnehmern sollte zu jeder Zeit klar sein, wann und wofür seine Daten gespeichert und verarbeitet werden.

Ein transparenter E-Learning-Anbieter

Der Punkt Transparenz gilt nicht nur in Bezug auf die Offenlegung der Datenverarbeitung für die Teilnehmer. Auch der Technologiepartner der E-Learning-Plattform sollte transparente Datenschutzbestimmungen haben. Prüfe, ob dein digitaler Anbieter folgende Voraussetzungen erfüllt:

  • Möglichkeiten der Anonymisierung, z. B. bei Quizfragen und Prüfungen
  • Möglichkeit, das Einverständnis der Teilnehmer auf einfache und transparente Weise schon vor der Verarbeitung einzuholen
  • Existenz eines Vertrags zur Auftragsverarbeitung

Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) ist Pflicht, wenn zwei Parteien eine Vereinbarung treffen, die die Verarbeitung von digitalen Daten beinhaltet. Darin wird die Zweckmäßigkeit und die Art der Verarbeitung festgelegt. Optimalerweise hat dein E-Learning-Anbieter bereits einen AV-Vertrag, den dein Unternehmen bzw. dein Datenschutzbeauftragter prüft.

Und wir bei blink.it? Datenschutz ist uns nicht nur grundsätzlich wichtig, wir legen auch großen Wert auf Transparenz und eine einfache Anwendung des Datenschutzes im E-Learning. So erfüllen wir nicht nur die oben genannten Punkte, sondern bieten auch an, die Einverständniserklärung bei der Nutzerregistrierung auf eigene Datenschutzbestimmungen hin anzupassen. So können auch individuelle Bestimmungen für dich und deine Teilnehmer mit aufgenommen werden. Und übrigens: Alle blink.it-Mitarbeiter haben eine Basis-Datenschutz-Schulung absolviert.
 

Tipp 3: Im Zweifel – Daten anonymisieren

Besteht doch mal kein ausreichender Grund, personenbezogene Daten im E-Learning zu erheben, kannst du die Daten im Sinne des Datenschutzes immer noch anonymisieren oder pseudonymisieren. So ist bei der Auswertung eines Online-Trainings eventuell nicht wichtig, wie der einzelne Teilnehmer abgeschnitten hat. Geht es um den grundsätzlichen Erfolg der E-Learning-Maßnahme, sollte der Trainer die Daten so zusammenfassen, dass kein Rückschluss auf einzelne Ergebnisse mehr zu ziehen ist.

Im besten Fall kann der Trainer die Plattform selbst schon so einstellen, dass Ergebnisse von interaktiven Modulen wie Quizfragen, Umfragen oder Prüfungen anonymisiert bereitgestellt werden. So könnt ihr intern entscheiden, ob und inwieweit selbst der Trainer die personenbezogenen Ergebnisse einsehen kann.

Von Anfang an den Datenschutzbeauftragten hinzuziehen, auf Transparenz achten und den AV-Vertrag prüfen – dann kannst du die Themen E-Learning und Datenschutz ohne Schwierigkeiten unter einen Hut bringen!

Du interessierst dich für das Angebot von blink.it? Dann mach gerne einen Termin mit meinem Kollegen Hans-Martin Sprungk aus. Er berät dich umfassend und kann dir helfen, blink.it an deinem Unternehmen einzuführen – ganz ohne Bauchschmerzen beim Thema Datenschutz und E-Learning.

blink.it testen

Deine Admin-Demo für blink.it

Du möchtest selbst testen, wie ein Online-Kurs für Blended Learning funktioniert und wie du mit blink.it Inhalte erstellst? Dann fordere jetzt deine kostenlose Demo an!

Jetzt kostenlose Admin-Demo anfordern