Datenschutz beim E-Learning

1 Klare Aussagen treffen

E-Learning hat sich in vielen Organisationen als fester Bestandteil der Mitarbeiter-Weiterbildung etabliert. Bei E-Learning-Schulungen kommen aber zahlreiche Daten zusammen. Betriebsräte möchten ein Persönlichkeits-Screening verhindern und das BDSG zeigt klar auf, was erlaubt ist und was nicht. Wer eine moderne E-Learning-Plattform im Unternehmen implementieren möchte, sollte von Anfang an klarstellen, dass es nicht um das Ausspähen der Belegschaft geht. Noch bevor Entscheidungen getroffen werden, sollten der Betriebsrat und alle nötigen Stellen im Unternehmen informiert und an einen Tisch geholt werden. Dazu gehören üblicherweise

• Vertreter der Personalabteilung,
• IT,
• Geschäftsführung sowie
• der Datenschutzbeauftragte.

Soweit bereits vorhanden, bindet man idealerweise auch den externen Anbieter der Schulungssoftware und/oder Lernplattform bei den Fragestellungen zum Datenschutz mit ein.

Zum Datenschutz gibt es eine Vielzahl von Gesetzen, angefangen beim EU-Recht (vgl. Richtlinie 95/46/EG) bis hin zu nationalen Vorschriften (bspw. das BDSG). Allerdings regeln diese Gesetze nicht speziell den Umgang mit E-Learning. Meist geht es um allgemeine Datenspeicherung in der IT, in Unternehmen usw. Gem. § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Mitarbeiters dann erhoben oder genutzt werden, wenn dies für das Beschäftigungsverhältnis wichtig ist. Das gilt aber nur für die erforderlichen Daten. Das Telemediengesetz findet etwa keine Anwendung, wenn die Bildungsplattform vom Arbeitgeber zur Verfügung gestellt wird. Der Datenschutzbeauftragte prüft, ob die gesetzlichen Bestimmungen beim Umgang mit personenbezogenen Daten eingehalten werden. Das ist seine Aufgabe. § 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnissesoder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat,die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

2 Zugangsrechte definieren und Mitarbeiter informieren

Möchte der Arbeitgeber bspw. vermeiden, dass Vorgesetzte Informationen aus dem Lernverhalten des Personals nutzen, um bei Beförderungen den richtigen Kandidaten auszuwählen, kann dies ganz einfach durch unterschiedliche Zugangsrechte erfolgen. So erhält der direkte Vorgesetzte nur Zugang zu der Information, ob der entsprechende Kurs bestanden wurde. Nicht einsehbar ist hingegen, wie viele Versuche gebraucht wurden oder welche Frage besondere Probleme bereitet hat. Hingegen könnte z. B. die Personalabteilung für das Bildungscontrolling andere Rechte bekommen. Sie darf dann etwa auswerten, zu welchen Tageszeiten das System genutzt wurde oder ob es Abweichungen zu anderen Abteilungen gibt.

Loggt sich der Mitarbeiter zum ersten Mal auf seiner Lernplattform ein, sollte er darüber informiert werden, welche Daten sein Arbeitgeber über ihn sammelt und wie er diese nutzt. Das kann man über einen Infotext, dem der User zustimmen muss, bevor er mit dem Lernen beginnt, übermitteln. Firmen haben hier Gelegenheit, für ihr Anliegen zu werben: Warum erheben sie diese Daten? Welcher Nutzen ergibt sich für das Unternehmen, aber auch konkret für den Angestellten daraus? Darüber hinaus sollte die Person, deren Daten (und damit sind insbesondere Lernzertifikate gemeint) gespeichert werden, jederzeit Zugriff auf diese haben.

In Bildungsangelegenheiten sowie bei der Einführung von IT-Systemen, die mit personenbezogenen Daten arbeiten, hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 bzw. §§ 96 bis 98 BetrVG Mitbestimmungsrechte, was die Handhabung von Online-Schulungstools angeht. Laut einer Studie der Hans-Böckler-Stiftung schließen inzwischen zahlreiche Betriebsvereinbarungen aus, dass die Daten aus den Lernprogrammen für Verhaltenskontrollen oder Abmahnungen und Versetzungen genutzt werden dürfen. Für die Nutzungsstatistik sehen viele Vereinbarungen die Anonymisierung der Daten vor.

Den Betriebsrat zu informieren, ist übrigens eine Bringschuld seitens des Arbeitgebers. Das ist ebenfalls im BetrVG festgeschrieben. Experten raten von einer verzögerten Informationspolitik ab und plädieren für radikale Transparenz gegenüber der Arbeitnehmervertretung.

3 Anbieter in die Pflicht nehmen

E-Learning-Anbieter mit Markterfahrung in Deutschland kennen die Herausforderungen um das Sammeln von Daten bereits. Sie können gezielte Vorschläge machen und Konzepte erarbeiten, damit die rechtlichen Rahmenbedingungen eingehalten werden. Zusätzliche Bedürfnisse des Kunden lassen sich oft mit individuellen Einstellungen in der jeweiligen IT-Infrastruktur befriedigen. Heutzutage können Unternehmen in sehr feinen Abstufungen selbst entscheiden, welche Person welche Daten sieht und bearbeiten kann. Zudem können Anbieter genau justieren, welche Daten personenbezogen oder anonym erhoben bzw. ob diese überhaupt erhoben und gespeichert werden.

Zum optimalen Schutz der Informationen gehört auch, diese vor Zugriffen durch Cyber-Kriminelle oder Schadsoftware zu schützen. Gerade internationale Anbieter von digitaler Bildung hosten ihre Systeme nicht immer in Deutschland. Betreibt der Anbieter das Rechenzentrum in Europa, kommt EU-Recht zum Tragen. Speichert er die Daten außerhalb Europas, sind die jeweiligen nationalen Bestimmungen oder auch das EU-US Privacy Shield beim Datentransfer in die USA zu beachten.

Professionelle Anbieter von Lernplattformen berücksichtigen in ihrem Angebot die klassischen IT-Sicherheitsmaßnahmen, wie Firewall und Verschlüsselung. Mit der Zertifizierung nach DIN ISO 27001 zeigen Dienstleister zudem, dass sie sich regelmäßig unabhängig Überprüfungen hinsichtlich ihrer Sicherheitsmaßnahmen unterziehen. Auch jeder Subunternehmer sollte sich schriftlich nach EU-Richtlinien verpflichtet haben. Dafür muss der Unternehmer mit jedem beteiligten (Sub-)Dienstleister eine separate Vereinbarung schließen. Verschlüsselung ist ebenfalls eine Möglichkeit, dafür zu sorgen, dass Daten nur von dem gelesen werden, der die Erlaubnis dazu hat.

Außerdem wichtig ist ein ausfallsicheres System, das eine große Anzahl gleichzeitig Lernender verkraftet. Hierfür können Anbieter neben einem leistungsstarken Primärsystem ein redundantes Sekundärsystem zur Verfügung stellen.

Dem Betreiber eines IT-Systems drohen bei Verstoß gegen die Datenschutzbestimmungen nach aktuellem Recht bis zu 50.000 Euro Bußgeld. Die europäische Datenschutz-Grundverordnung (DSGVO) wird ab Mai 2018 deutlich schärfer und sieht Bußgelder bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes vor, vgl. zum Thema auch Kloos/Schramm, AuA4/17, S.212 ff. Zur Überprüfung führen die Behörden Betriebsprüfungen mit und ohne Anlass durch.

4 Datensparsamkeit und Bildungscontrolling

Bei professionellen Anbietern gibt der Kunde vor, welche Auswertungen er benötigt und welche Informationsgrundlage dafür herrschen muss. Darüber hinaus ist das Erheben weiterer Daten nicht notwendig. Für ein nützliches Bildungscontrolling sind oftmals weniger Reports nötig, als man denkt. Es macht also Sinn, sich auf wenige Schlüsselinformationen zu beschränken und diese möglichst anonymisiert zu erheben.

Ein gewisser Überblick über das Nutzungsverhalten der Mitarbeiter sowie Rückmeldungen zu den Trainings und Inhalten können durchaus sinnvoll sein – auch für den Angestellten. Denn Schulungen, die ungern gebucht, selten abgeschlossen und oftmals nicht bestanden werden, sollten die Verantwortlichen bspw. einer Qualitätskontrolle unterziehen.

Auch der Lernende selbst hat Vorteile, wenn der Arbeitgeber Daten über ihn sammelt. So muss er nicht selbst Buch führen, welche Kurse er bereits besucht, absolviert oder nicht bestanden hat. Das System assistiert hier und sorgt dafür, dass der User nichts zweimal machen muss. Auch das, was ein Programm nach bestimmter Zeit „vergessen“ soll, kann er individuell einstellen. Neueste Lernplattformen können etwa aufgrund von Nutzungsdaten Empfehlungen geben, welche Trainings noch fehlen oder den Beschäftigten interessieren könnten. Das trägt durchaus dazu bei, die Lernenden zur Weiterbildung zu motivieren.

Viele Firmen, z. B. in den Bereichen Finanzen oder Medizintechnik, müssen gegenüber ihrer Versicherung oder dem Gesetzgeber nachweisen können, dass sie ihre Belegschaft etwa in Hygienevorschriften, Compliance oder Sicherheitsvorschriften geschult haben. In einem Fall wie diesem ist es durchaus sinnvoll, Daten zu erheben. Dennoch gilt hier natürlich der Grundsatz der Datensparsamkeit, den § 3a BDSG vorschreibt. Es sollen keine Informationen gespeichert werden, es sei denn, sie sind für den Einzelfall notwendig.

5 Fazit

Wer auf E-Learning setzt, sollte sich mit den rechtlichen Grundlagen beschäftigen und alle Beteiligten konsequent informieren sowie in den Entscheidungsprozess mit einbeziehen. Unterstützung geben Datenschutzbeauftragte und externe Dienstleister.