Das E-Learning ABC – D wie Datenschutz

D wie Datenschutz

Der Umgang mit personenbezogenen Daten ist nicht erst seit den Snowden-Enthüllungen vor vier Jahren oder legalisierten Überwachungsmaßnahmen, wie dem Staatstrojaner ein brisantes Thema. Immerhin geht es um persönliche und sogar intime Informationen, die nicht jeden etwas angehen.

Ein E-Learning Kurs zum Thema Datenschutz findet sich in Sekundenschnelle. In Anbetracht dessen, welch hohe Verantwortung Menschen tragen, die persönliche Daten ihrer Kollegen oder Kunden verwalten, ist es auch eine wichtige Maßnahme seine Mitarbeiter auf dem Gebiet zu sensibilisieren und zu schulen.

Doch dieser Beitrag soll sich viel mehr damit befassen, inwieweit im E-Learning die Daten der Teilnehmer immer ausreichend geschützt sind. Im Falle von E-Learning werden nicht nur personenbezogene Daten erhoben, wie etwa Anmeldename und E-Mail-Adresse eines Teilnehmers, sondern es werden auch im weiteren Verlauf des Kurses Nutzerdaten generiert, gesammelt und gegebenenfalls ausgewertet.

Dies können Beispielsweise die Arbeitsergebnisse, also die selbsterbrachte Lern- und Arbeitsleistung des Teilnehmers, aber auch Nutzungsverhalten und die Prüfungs- und Trainingsergebnisse sein. Daraus lassen sich Statistiken über den Lernerfolg des Teilnehmers bis hin zu einem fundierten Nutzerprofil erstellen. Ein solches Profil kann Auskunft über Vorlieben und Lernverhalten, sowie Verweildauern auf Seiten, aktive und inaktive Zeiten geben. Es können auch E-Mails und Chat logs mit anderen Lernenden, die Anzahl der Wiederholungen von Übungen und Tests und deren Ergebnisse, sowie Themen- und Lernschwerpunkte festgehalten werden.

Warum ist die Datennutzung beim LMS so brisant?

Das eigene Lernverhalten gehört eigentlich zur Privatsphäre, insbesondere wenn man sich in den Selbstlernphasen am privaten Bildschirm unbeobachtet fühlt. Es ist nicht unbedingt im Interesse des Studierenden oder Mitarbeiters, wenn der Dozent oder Arbeitgeber das Nutzungsverhalten stets mitverfolgen kann. Wie oft und intensiv man das LMS nutzt. Wie viele Versuche man für einen Test brauchte. Welche dusseligen Antworten man beim Quiz gegeben hat.

Es könnte die Gefahr bestehen, dass ein Professor die Anstellung einer studentischen Hilfskraft davon abhängig machen, ob der Kandidat fleißig das E-Learning genutzt hat. Oder die LMS-Nutzung eines Mitarbeiters könnte Verhaltenskontrolle oder personelle Maßnahmen zur Folge haben. Wäre die Weitergabe an Dritte nicht untersagt, wären persönliche Lernprofile auch interessant für zukünftige externe Arbeitgeber und könnten bei der Entscheidung über Neuanstellungen ins Gewicht fallen.

Man kann sich natürlich fragen, ob die Kontrolle nützlich ist, wenn man sich dadurch ein besseres Lernergebnis erhofft. Beispielsweise durch mehr Lerndruck, oder die Möglichkeit die Teilnehmer gezielt zu motivieren, wenn nötig. Und natürlich ist es nützlich den Wissensstand der Teilnehmer zu kennen. Aber rechtfertigt das einen so gravierenden Eingriff in die Privatsphäre?

Rechtliche Regelungen

Keine Sorge, es gibt ja noch Recht und Gesetz! Das heißt, persönliche Daten unterliegen auch im virtuellen Raum Schutz. Der Datenschutz ist auf EU-, Deutschland- und Länderebene geregelt. Fasst man EU-, Bundes- und Telemediengesetz zusammen, lässt sich vereinfacht sagen, dass in Deutschland mit personenbezogenen Daten erstmal generell alles verboten ist, außer es gibt eine gesetzliche Ausnahmeregelung oder der Betroffene erteilt sein Einverständnis. Äußerst praktisch für den Gebrauch eines LMS: Dieses Einverständnis kann auch elektronisch eingeholt werden. Der Urheber muss hierbei eindeutig sein. Die Datenschutzbestimmungen können also nur mit Klarnamen bestätigt werden, sonst könnten sich E-Learning-Anbieter, Hochschulen oder Arbeitgeber nicht rechtlich absichern.

Je nachdem wo ich arbeite, studiere oder mich privat in einen Online-Kurs anmelde, kann der Datenschutz allerdings etwas variieren. Die Hessische Immatrikulationsverordnung sieht beispielsweise vor, dass es ohne Einwilligung des Studenten keine Datennutzung aus Usertracking geben darf, es muss also so früh wie möglich eine ausreichende Anonymisierung stattfinden. In Berlin hingegen gilt das Hochschulgesetz, wonach Datennutzung zur Evaluation von Forschung und Lehre, auch ohne zusätzliche Einwilligung erlaubt sind.

---

Unser Tipp:

Bevor Sie eine Datenschutzbestimmung bestätigen, achten sie darauf, dass keine weichen Formulierungen, die Deutungsmöglichkeiten offenlassen, darin enthalten sind. Ein Beispiel dafür wäre: „Wir erheben u. a. personenbezogene Daten über die Nutzungszeit, um zu erörtern, wann das Programm bevorzugt genutzt wird.“ Das u. a. verspielt dabei nicht nur Vertrauen, sondern ist rechtswidrig. Bei Datenschutzbestimmung gilt positives Recht, das heißt es darf keine Deutungsfreiheit geben, sondern muss klar formuliert sein.

---

Selbst mit Erlaubnis des Betroffenen, gelten im Umgang mit personenbezogenen Daten, besondere Bestimmungen, die beachtet werden müssen:

Verhältnismäßigkeit

Auch der Gesetzgeber stellt sich wie wir die Frage: Rechtfertigt der Zweck den Eingriff in die Privatsphäre? Werden also personenbezogene Daten erhoben, gespeichert und verarbeitet, müssen Schaden und Nutzen in einem vernünftigen Verhältnis stehen – Ist es das geeignete Mittel? Ist es wirklich erforderlich und angemessen? Im LMS gesammelte Daten sollten so früh wie möglich anonymisiert oder pseudonymisiert werden. Dann dürfen die ermittelten Daten problemlos weiterverarbeitet werden.

Zweckbindung, Vertraulichkeit & Integrität

Die Daten dürfen nur für den vordefinierten Zweck verarbeitet werden und die Weitergabe an Dritte ist verboten. Ausnahmen kann es hierbei nur geben, wenn es im Vorfeld eindeutig mit dem Betroffenen abgestimmt wurde. Im Nachhinein müsste es im Einklang mit der betroffenen Person eine Nachbesserung der Datenschutzbestimmungen geben. Nach der Nutzung gilt ansonsten immer, dass die Daten gelöscht werden müssen. Auch hierfür kann es Ausnahmefälle geben, etwa wenn Aufbewahrungspflichten, wie beispielsweise bei Prüfungsergebnissen bestehen. Durch technische und organisatorische Maßnahmen muss die Sicherheit, Richtigkeit und Vollständigkeit der persönlichen Daten zu jedem Zeitpunkt gewährleistet sein.

Im Falle von LMS-Nutzung ist es daher wichtig die Zugriffsrechte eng zu definieren. Am besten verteilt man schon vor dem LMS-Einsatz entsprechende Rollen und Verantwortungsbereiche. Hat der Arbeitgeber beispielsweise die Personendaten und E-Mail-Adressen der Mitarbeiter über das E-Learning Programm erfasst, dürfen er und andere Zugriffsberechtigte diese Daten nicht für das nächste Schulungsevent außerhalb der Online-Weiterbildung oder für eine Unternehmensstudie zu verwenden.

Transparenz

Das Recht auf „informationelle Selbstbestimmung“ bleibt bestehen, auch wenn die Erlaubnis gegeben wurde, die Daten zu erheben. Auch wenn Betroffene vorher umfassend über die erhobenen Daten und deren Nutzung informiert wurden, haben sie jederzeit das Recht – auch während der Schulung – ihre erhobenen Daten einzusehen und zu erfahren wer Zugriff darauf hat. Die Datenschutzbestimmungen müssen frei zugänglich sein, auch wenn sie bereits bestätigt wurden. Diese dürfen nach der Bestätigung natürlich nicht ohne erneute Abstimmung mit der betroffenen Person geändert werden. Jedoch kann auch der Nutzer nicht einfach mitten im E-Learning Kurs grundlos seine Bestätigung zurücknehmen, die er vor dem Kurs gegeben hat. Es besteht natürlich das folgenlose Widerrufsrecht. Jedoch darf dieses nicht missbraucht werden, nur weil man beispielsweise schlecht benotet wurde oder eine Prüfungssituation bevorsteht.

Sind die Arbeitsergebnisse geschützt?

Weil E-Learning davon lebt, dass inhaltliche Ergebnisse unter den Kursteilnehmern geteilt und diskutiert werden, heißt das nicht, dass Urheberrechte ausgehebelt werden. Verlassen Dokumente den geschützten Raum des E-Learning Kurses und werden beispielsweise frei zugänglich auf anderen Plattformen, wie Youtube veröffentlicht, haben die Verfasser ein Wort mitzureden. Willigt man schon vor Teilnahme an dem Kurs ein, dass Arbeitsergebnisse veröffentlicht werden können, wird es allerdings schwierig im Nachhinein dagegen vorzugehen. Dem Betroffenen steht aber frei, sich stattdessen auf die Schulter klopfen, dass er mit seinem Geist etwas geschaffen hat, das auch anderen zu Gute kommt.

Wie sieht der Datenschutz beim E-Learning in der Praxis aus?

Prinzipiell sollten alle Nutzer, die Zugriff auf ein LMS haben über den Umgang mit sensiblen Daten schon im Vorfeld geschult werden. Studierende unterwerfen sich schon mit der Immatrikulation den geltenden Hochschulregeln, die besagen, dass im Laufe des Studiums gewisse personenbezogene Daten erhoben werden. Dennoch können sich die Regeln zum E-Learning und den dabei ermittelten Daten je nach Bundesland und Hochschule im Detail noch einmal unterscheiden. Im Hochschulumfeld ist es Gang und Gäbe nicht nur die Anmeldung im LMS zu verschlüsseln, sondern auch einzelne Lernräume bzw. Kurse innerhalb des Systems mit Passwörtern zu schützen, nicht nur um intern generierte Daten zu schützen, sondern auch die Urheber- und Nutzungsrechte der eingesetzten Lehrmaterialien zu wahren.

In Unternehmen bietet es sich an, die Belegschaft und den Betriebsrat frühzeitig über den Einsatz eines LMS aufzuklären und darüber abstimmen zu lassen, um das Vertrauen zu stärken. Die Bestätigung der Datenschutzbestimmungen muss später ohnehin freiwillig geschehen. Laut der Deutschen Gesellschaft für Personalführung wird in zahlreichen Betriebsvereinbarungen inzwischen explizit ausgeschlossen, dass Daten aus Lernprogrammen für Verhaltenskontrollen oder personelle Maßnahmen wie Abmahnungen oder Versetzungen genutzt werden. Demnach bleibt die Dokumentation auf den Namen des Mitarbeiters, die Art der Schulung und das Ergebnis beschränkt.

Die Datenschutz-Checkliste für E-Learning

• Sensibilität – Sind Sicherheitsfragen mit den Verantwortlichen und Dienstleistern geklärt?
• Zweck – Ist der Zweck der Datenverarbeitung angemessen und wurde im Vorfeld klar vermittelt?
• Einwilligung – Ist die Datenschutzerklärung eindeutig formuliert und wurde von allen Nutzern verstanden und bestätigt?
• Vertraulichkeit – Sind die Daten der Nutzer vor unbefugter Preisgabe geschützt?
• Verfügbarkeit – Können alle Daten zu jeder Zeit aufgerufen und verfügbar gemacht werden?
• Integrität – Kann ich sicherstellen, dass alle Daten vollständig sind und unverändert bleiben?

Man sollte stets im Hinterkopf behalten, dass unsere Gesetze nicht in Stein gemeißelt sind und es sich lohnt, die Entwicklungen zu beobachten. Beispielsweise wurde 2016 eine Änderung der EU-Datenschutz-Grundverordnung beschlossen, die Mitte 2018 in Kraft tritt.

Weitere Links zum Thema Datenschutz im E-Learning:

Gesetze

• EU-Datenschutz-Grundverordnung
• Bundesdatenschutzgesetz
• Telemediengesetz

Fachartikel

• Die IT-Kanzlei Resmedia zu E-Learning-Plattformen zur Mitarbeiterschulung und Datenschutz 
• Der DFN-Verein zum Datenschutz bei E-Learning Plattformen
• Das Leibniz-Institut zu Rechtsfragen im E-Learning
• Jan Hansen an der TU Darmstadt zu E-Learning und Datenschutz
• Der Webcampus zum Datenschutz im E-Learning

---

Dieser Beitrag entstand im Rahmen einer Blogparade. Dabei werden bis Dezember 2017 alle Buchstaben des Alphabets abgehandelt und so viele Begriffe wie möglich aus dem Bereich E-Learning erklärt. Jeder ist eingeladen mitzumachen!

---

Möchten Sie mehr Infos zu dem Thema Datenschutz im E-Learning?

Melden Sie sich bei uns, wenn Sie Fragen haben oder eines unserer Formate ausprobieren möchten.
Zum Kontaktformular

Melden Sie sich für den Newsletter an, um über unsere Entwicklungen und Angebote auf dem Laufenden zu bleiben.
Zum Newsletter anmelden