E-Learning-Plattformen zur Mitarbeiterschulung und Datenschutz Teil 2
E-Learning-Systeme zur Mitarbeiterschulung werden in Unternehmen immer populärer eingesetzt. Die Nutzung solcher Angebote hat vor allem durch die vielseitigen Einsatzmöglichkeiten mobiler Endgeräte (Tablets oder Smartphones) immer mehr an Bedeutung zugenommen. Der nachfolgende Artikel ist Teil 2 zu dem Thema. Teil 1 finden Sie hier.
5. Einsatz externer Anbieter
Wird beim E-Learning die Lösung eines externen Anbieters eingesetzt, müssen zudem die gesetzlichen Vorgaben einer Auftragsdatenverarbeitung (§ 11 BDSG) erfüllt werden. Verantwortlich und daher im Zweifel auch haftbar, ist immer Anwender, also der jeweilige Betrieb und nicht der externe Anbieter eines E-Learning-Systems, der die Daten mit Personenbezug verarbeitet.
6. Erfordernis eines Auftragsdatenverarbeitungsverarbeitungsvertrags
Der Betrieb muss hierzu mit dem E-Learning- Anbieter einen schriftlichen Vertrag abschließen. Er muss als verantwortliche Stelle dafür sorgen, dass die gesetzlichen Mindestanforderungen gemäß § 11 Absatz 2 BDSG erfüllt werden.
Gleichzeitig muss er damit einhergehende Kontrollpflichten gegenüber dem E-Learning- Anbieter hinsichtlich der Datenverarbeitung wahrnehmen. Um Kontrollpflichten wahrnehmen zu können ist es mitunter wichtig zu wissen, wo und von wem konkret die Daten verarbeitet werden. Dies gilt allerdings ebenso für die Datensicherung.
In einem Vertrag zur ADV sind mindestens die folgenden Punkte zu regeln:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Zertifizierung
Für die Auswahl des richtigen Anbieters können dabei auch bestehende Zertifizierungen herangezogen werden. Wird das bestreffende E-Learning- Systemen bspw. in einem gemäß ISO 27001 zertifizierten Rechenzentrum gehostet, erfüllt dies die spezifizierten Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.
7. Verstöße und Bußgelder
Die fehlende oder unvollständige schriftliche Vereinbarung stellt eine Ordnungswidrigkeit dar, die zurzeit noch mit einem Bußgeld bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden kann (§ 43 Absatz 1 Nr. 2 BDSG). Bei schwereren Verstößen drohen Bußgelder bis zu 300.000 €.
Datenschutzgrundverordnung
Ab 2018 werden die Bußgelder mit Geltung europäische Datenschutzgrundverordnung dann noch einmal angehoben. Bei bestimmten Verstößen können sodann Geldbußen von bis zu 20 000 000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Damit wird der Datenschutz, auch im Zusammenhang mit dem Einsatz von E-Learning- Systemen in den nächsten Jahren einen Spitzenplatz unter den Compliance-Themen besetzen.
Checkliste:
Die folgenden Punkte sollten beim Einsatz eines E-Learning-Systems grundsätzlich geklärt werden:
- Werden personenbezogenen Daten verarbeitet?
- Wenn ja, wer hat Zugriff auf diese Daten?
- Werden die erforderlichen datenschutzrechtlichen Einwilligungen der Nutzer eingeholt?
- Existiert eine Datenschutzerklärung für das E-Learning System?
- Können individualisierbare Verhaltens- oder Leistungsdaten der Nutzer durch die Teilnahme abgeleitet werden?
- Wurde der Betriebsrat ausreichend mit einbezogen?
- Ist eine Vorabkontrolle im Sinne von § 4 d Abs. 5 BDSG erforderlich?
- Wird ein externe E-Learning-Lösung eingesetzt?
- Muss eine Auftragsdatenverarbeitung mit dem Anbieter abgeschlossen werden?
- Wo findet die Datenverarbeitung statt?