Telefonzentrale 0800-8000-864 Mo-Fr von 8.30 bis 11.30 Uhr info@byquality.de

Datenschutz: Welche Daten müssen auf E-Learning-Portalen geschützt werden?

 

  • Personendaten wie Name, Alter, Geburtsdatum, Anschrift, Familienstand.
  • Online-Daten wie Standort, IP-Adresse, E-Mail-Adresse, Cookiekennung.
  • Qualifikationen: Berufsabschlüsse, Zeugnisse, berufliche Qualifikationsnachweise.

Das bedeutet, dass Anbieter von E-Learning-Modulen prüfen und sicherstellen müssen, dass diese personenbezogenen Daten nicht in falsche Hände kommen. Für den Zugang zu Personen- und/oder Firmendaten muss die Software also ein Rechtesystem haben. Weiter muss durch die Software sichergestellt werden, dass jederzeit nachvollziehbar ist, wer welche Daten geöffnet und eingesehen hat. Für externe Administratoren, die mit der Pflege der E-Learning-Software beauftragt sind, sollten personenbezogene Daten nur anonymisiert einsehbar sein.

Der Missbrauch von Login-Daten sollte, soweit technisch möglich, durch die Software blockiert werden. Die Rechtslage hier ist vergleichbar mit der Pflicht zum Schutz von Urheberrechten: Unternehmen haben technisch „beste Anstrengungen“ zu unternehmen, um die Daten von Personen auf Ihren Lernplattformen zu schützen. Kein einfaches Unterfangen, denn technische Lösungen sind als Standard nicht verfügbar und müssen je Lern-Plattform eigens entwickelt werden. In jedem Fall ist ein Auftragsdatenverarbeitungsvertrag mit dem Software-Anbieter einer Lernplattform zu schließen, der den Missbrauch von Daten, soweit technisch möglich, ausschließt.

Ein weiteres Risiko ist die Nutzung von Plattformen, deren Host im Ausland/USA sitzt. Im Juli 2020 hat der Europäische Gerichtshof das EU-US-Privacy-Shield für ungültig erklärt. Dies ist eine Vereinbarung für den sicheren Datenaustausch zwischen Europa und den USA. Europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Anbieter geschützt. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletter-Anbieter, die im E-Learning häufig genutzte Video-Streaming-Plattformen (Youtube, Vimeo, SoundCloud, Spotify), Webinarplattformen (Zoom, Skype for Business, GoToMeeting, Microsoft Teams, Google Hangouts, Google Meet). Das bedeutet: Wenn Dienste mit Host in USA genutzt werden, muss bei der Übermittlung personenbezogener Daten das vom EU-Recht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen in den USA sicherstellen. Deutsche Unternehmen könnten/sollten hier gesonderte Verträge über die Übertragung personenbezogener Daten in die USA abschließen. Aber im Ernstfall: Wer wollte das Risiko tragen, bei Datenschutzverletzungen gegen ein US-Unternehmen zu klagen?

Bei der Auswahl einer E-Learning-Software sollte also unbedingt der Serverstandort Deutschland bzw. EU vereinbart werden. Für die Integration von Audio- und Video-Sequenzen in Lernmodule sollte kein ausländischer Streaming-Dienst genutzt werden müssen. Das sollte die Software selbst ermöglichen.

Die Strafen für Datenschutzverletzungen in Deutschland sind drastisch, ja nach Unternehmensgröße wurden schon 8-stellige Geldbußen verhängt. Einen Überblick über bisher verhängte Bußgelder finden Sie hier: https://www.enforcementtracker.com/