LMS und Datenschutz: Worauf Berufsgeheimnisträger achten müssen

Erstellt durch: Redaktion

Magazin
PDF-Sicherheit im Berufsalltag: So schützen Sie Ihre Geschäftsgeheimnisse effektiv
Hinweis: Die auf dieser Website bereitgestellten Informationen stellen keine Rechtsberatung dar. Die Informationen sind allgemeiner Natur und dienen ausschließlich zu Informationszwecken.
LinkedInWhatsApp

Die Digitalisierung prägt zunehmend den Arbeitsalltag in reglementierten Berufen. Kontinuierliche Fort- und Weiterbildung ist unerlässlich, um fachlich auf dem neuesten Stand zu bleiben und berufsrechtlichen Anforderungen zu genügen. Learning Management Systeme (LMS) bieten hierfür effiziente Lösungen. Doch gerade für Berufsgeheimnisträger wie Ärzte, Anwälte oder Steuerberater stellt sich eine entscheidende Frage: Wie lassen sich die Vorteile digitaler Lernplattformen nutzen, ohne den strengen Anforderungen des Datenschutzes und der beruflichen Schweigepflicht zuwiderzuhandeln? Dieser Artikel beleuchtet die kritischen Aspekte.

Die Rolle von Learning Management Systemen in der modernen Fortbildung

Ein Learning Management System ist eine Softwareanwendung für die digitale Bereitstellung von Lerninhalten und die Organisation von Lernvorgängen. Es ermöglicht, Schulungsmaterialien zentral zu verwalten, den Lernfortschritt der Teilnehmenden zu verfolgen und Zertifikate automatisiert auszustellen. Für Kanzleien, Praxen und Gesellschaften bedeutet dies eine erhebliche Effizienzsteigerung bei der Organisation verpflichtender oder freiwilliger Fortbildungen. Mitarbeiter können flexibel und ortsunabhängig auf die Inhalte zugreifen, was die Vereinbarkeit von Beruf und Weiterbildung erleichtert.

Funktionsumfang und administrative Vorteile

Die Funktionalitäten gehen dabei weit über eine reine Dateibereitstellung hinaus. Ein modernes Learning Management System bietet hierfür eine zentrale Plattform, die interaktive Kurse, Videomodule, Wissensüberprüfungen und Diskussionsforen integrieren kann. Die Möglichkeit, die Teilnahme und den Erfolg der Mitarbeitenden lückenlos zu dokumentieren, ist insbesondere für den Nachweis von Fortbildungspflichten gegenüber Kammern oder Behörden von unschätzbarem Wert. Die zentrale Frage bleibt jedoch, welche Daten dabei verarbeitet werden und wer darauf Zugriff hat.

Datenschutzrechtliche Grundlagen: Die DSGVO als Fundament

Jede Verarbeitung personenbezogener Daten innerhalb der EU muss sich an der Datenschutz-Grundverordnung (DSGVO) messen lassen. Dies gilt uneingeschränkt für den Einsatz eines LMS. Personenbezogene Daten sind hier nicht nur Name und E-Mail-Adresse der Lernenden, sondern auch deren Leistungsdaten, Testergebnisse oder sogar in Foren getätigte Äußerungen. Die Verarbeitung dieser Daten ist nur dann zulässig, wenn eine klare Rechtsgrundlage, wie etwa die Erfüllung eines Vertrages (Arbeitsvertrag) oder eine Einwilligung, vorliegt.

Tipp:  Arbeitgeber behauptet falsche Tatsachen: Das sind Ihre Rechte

Zentrale Prinzipien der Datenverarbeitung

Zentrale Prinzipien der DSGVO müssen dabei zwingend beachtet werden. Dazu gehören die Zweckbindung (Daten dürfen nur für den festgelegten Zweck der Fortbildung genutzt werden), die Datenminimierung (es werden nur so viele Daten erhoben wie unbedingt nötig) und die Gewährleistung von Integrität und Vertraulichkeit. Letzteres bedeutet, dass die Daten durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Verlust oder Veränderung geschützt werden müssen.

Besondere Herausforderungen für Berufsgeheimnisträger (§ 203 StGB)

Für Berufsgruppen, die einem Berufsgeheimnis unterliegen, gehen die Anforderungen weit über die DSGVO hinaus. § 203 des Strafgesetzbuches (StGB) stellt die unbefugte Offenbarung von fremden Geheimnissen, die Ärzten, Anwälten oder Notaren anvertraut wurden, unter Strafe. Diese strafrechtlich bewehrte Schweigepflicht erstreckt sich auch auf die mitwirkenden Personen, also die Angestellten einer Praxis oder Kanzlei. Ein Verstoß kann empfindliche Strafen nach sich ziehen und die berufliche Zulassung gefährden.

Risiko der Offenbarung gegenüber Plattformbetreibern

Beim Einsatz eines extern gehosteten LMS besteht die theoretische Gefahr, dass der Anbieter oder dessen Subunternehmer Zugriff auf schutzwürdige Informationen erhalten. Dies ist besonders relevant, wenn im Rahmen von Schulungen konkrete, anonymisierte Fallbeispiele besprochen werden, die Rückschlüsse auf Mandanten oder Patienten zulassen könnten. Daher muss der Schutz vor dem Zugriff Dritter mit höchster Priorität behandelt werden, was spezielle vertragliche und technische Vorkehrungen erfordert.

Erweiterung: Die Reform des § 203 StGB und die Einbeziehung von Dienstleistern

Ein wichtiger Aspekt, der oft übersehen wird, ist die Neuregelung des § 203 StGB aus dem Jahr 2017. Seit dieser Reform ist es Berufsgeheimnisträgern ausdrücklich erlaubt, externe Dienstleister (wie LMS-Anbieter) einzubeziehen, sofern dies für die Berufsausübung erforderlich ist.

Die Inanspruchnahme ist jedoch an strikte Bedingungen geknüpft:

  • Verpflichtung zur Verschwiegenheit: Der Dienstleister muss schriftlich zur Verschwiegenheit verpflichtet werden.
  • Sorgfältige Auswahl: Der Berufsgeheimnisträger muss den Anbieter sorgfältig auswählen und überwachen.
  • Offenbarungsbefugnis: Nur Daten, die für die Erbringung der Dienstleistung absolut notwendig sind, dürfen zugänglich gemacht werden. In einem LMS betrifft dies meist nur die Mitarbeiterdaten, nicht jedoch die Daten von Patienten oder Mandanten – es sei denn, diese sind Teil des Lehrmaterials.

Technische und Organisatorische Maßnahmen (TOMs) als Schlüssel

Um die Vertraulichkeit und Integrität der Daten sicherzustellen, fordert die DSGVO vom Verantwortlichen und vom Auftragsverarbeiter die Umsetzung geeigneter technischer und organisatorische Maßnahmen (TOMs). Bei der Auswahl eines LMS-Anbieters ist es entscheidend, dessen TOMs genau zu prüfen. Der Anbieter muss transparent darlegen, wie er die Sicherheit der verarbeiteten Daten gewährleistet. Diese Maßnahmen sind der Kern des praktischen Datenschutzes und müssen dem Schutzbedarf der Daten angemessen sein.

Tipp:  Selbstständig: Wieviel Umsatz für 3.000 netto? Ein Praxisleitfaden

Detaillierte Sicherheitsanforderungen

  • Verschlüsselung: Alle Daten müssen sowohl bei der Übertragung (Transportverschlüsselung, z.B. TLS 1.3) als auch bei der Speicherung auf dem Server (Verschlüsselung „at rest“) sicher verschlüsselt sein.
  • Zugriffskontrollen: Ein differenziertes Rollen- und Rechtekonzept muss sicherstellen, dass nur autorisierte Personen auf bestimmte Daten und Funktionen zugreifen können.
  • Protokollierung: Systemzugriffe und Datenveränderungen sollten lückenlos protokolliert werden, um unbefugte Aktivitäten nachvollziehen zu können.
  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, um den direkten Personenbezug zu erschweren.
  • Sichere Löschkonzepte: Nach Ablauf der Aufbewahrungsfristen müssen Daten sicher und unwiederbringlich gelöscht werden.

Erweiterung: Privacy by Design und Mitarbeiterdatenschutz

Ein modernes LMS sollte bereits durch seine Architektur den Datenschutz fördern (Privacy by Design) und standardmäßig die datenschutzfreundlichsten Einstellungen aktiviert haben (Privacy by Default).

Mitbestimmung des Betriebsrats

In größeren Organisationen ist die Einführung eines LMS oft mitbestimmungspflichtig. Da das System das Lernverhalten, die Verarbeitungsgeschwindigkeit und die Erfolgsquoten der Mitarbeiter erfassen kann, handelt es sich um eine „technische Einrichtung, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ (§ 87 Abs. 1 Nr. 6 BetrVG). Hier müssen klare Betriebsvereinbarungen getroffen werden, die regeln, welche Leistungsdaten für wen sichtbar sind und dass keine unzulässige Verhaltenskontrolle stattfindet.

Der Auftragsverarbeitungsvertrag (AVV): Ein unverzichtbares Dokument

Sobald ein externer Dienstleister (der LMS-Anbieter) im Auftrag personenbezogene Daten verarbeitet, ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO gesetzlich zwingend. Dieses Dokument regelt die Rechte und Pflichten beider Parteien. Es legt unter anderem fest, dass der Anbieter die Daten nur auf Weisung des Auftraggebers verarbeiten darf. Für Berufsgeheimnisträger ist der AVV das zentrale Steuerungsinstrument, um die Einhaltung der Datenschutzvorgaben vertraglich abzusichern.

Ein wirksamer AVV muss detaillierte Regelungen zu den oben genannten TOMs, zur Benachrichtigung bei Datenschutzverstößen, zur Unterstützung bei Betroffenenrechten und zur Kontrolle durch den Auftraggeber enthalten. Besondere Aufmerksamkeit verdient die Regelung zur Einbindung von Subunternehmern. Der Anbieter muss offenlegen, welche weiteren Dienstleister er einsetzt, und sicherstellen, dass diese ebenfalls vertraglich zu denselben strengen Datenschutzstandards verpflichtet werden.

Serverstandort und Drittlandtransfer: Ein kritisches Detail

Der Standort der Server, auf denen das LMS betrieben und die Daten gespeichert werden, ist von entscheidender Bedeutung. Ein Serverstandort innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) ist dringend zu empfehlen, da hier das einheitlich hohe Datenschutzniveau der DSGVO gilt. Anbieter, die ihre Server ausschließlich in der EU betreiben, bieten eine deutlich höhere Rechtssicherheit als solche mit Servern in Drittländern wie den USA.

Tipp:  Muss ich einen Hund am Arbeitsplatz dulden? Ihre Rechte als Arbeitnehmer

Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs ist der Datentransfer in die USA rechtlich hochkomplex. US-Behörden haben weitreichende Zugriffsmöglichkeiten auf Daten, die im Widerspruch zur DSGVO stehen. Ein reiner Verweis auf Standardvertragsklauseln (SCC) genügt oft nicht. Es müssen zusätzliche Maßnahmen ergriffen werden, um ein EU-äquivalentes Schutzniveau zu garantieren. Klären Sie daher vorab, ob und unter welchen Garantien Daten in Drittländer übermittelt werden.

Checkliste: Auswahl eines datenschutzkonformen LMS

Bevor Sie sich für einen Anbieter entscheiden, sollten Sie eine sorgfältige Prüfung anhand der folgenden Punkte durchführen. Lassen Sie sich die Konformität schriftlich bestätigen und prüfen Sie die zur Verfügung gestellten Dokumente gründlich.

  1. AVV-Möglichkeit: Bietet der Anbieter einen DSGVO-konformen AVV an, der auch die Besonderheiten für Berufsgeheimnisträger berücksichtigt?
  2. Besondere Verpflichtungserklärung: Ist der Anbieter bereit, eine zusätzliche Verschwiegenheitsverpflichtung gemäß § 203 StGB zu unterzeichnen?
  3. Serverstandort: Befinden sich die Server nachweislich innerhalb der EU/des EWR?
  4. Zertifizierungen: Liegen anerkannte Zertifikate wie ISO 27001 (Informationssicherheit) vor, die von unabhängiger Stelle geprüft wurden?
  5. Transparente TOMs: Sind die technischen und organisatorischen Maßnahmen detailliert und nachvollziehbar dokumentiert?
  6. Drittlandtransfer: Wird der Transfer von Daten in unsichere Drittländer vertraglich ausgeschlossen oder durch wirksame Garantien abgesichert?
  7. Subunternehmer: Gibt es eine transparente Liste der Subunternehmer und wird deren Konformität sichergestellt?
  8. Datensparsamkeit: Erlaubt das System eine datensparsame Konfiguration (z.B. Deaktivierung von Tracking, anonymisierte Forennutzung)?
  9. Betroffenenrechte: Unterstützt das System Prozesse zur Auskunft, Berichtigung und Löschung von Daten durch die Nutzer selbst?

Fazit: Sicherheit und Effizienz in Einklang bringen

Die Implementierung eines Learning Management Systems bietet enormes Potenzial zur Professionalisierung der betrieblichen Weiterbildung. Für Berufsgeheimnisträger ist die Auswahl jedoch mit einer besonderen Verantwortung verbunden. Eine sorgfältige Prüfung der datenschutzrechtlichen Rahmenbedingungen ist kein optionales Extra, sondern eine zwingende Notwendigkeit zum Schutz der anvertrauten Geheimnisse und zur Vermeidung rechtlicher Konsequenzen. Ein datenschutzkonformes LMS ist letztlich eine Investition in die eigene Rechtssicherheit, die Effizienz und das Vertrauen von Mandanten und Patienten.

Berufsordnung Favicon

Redaktion

Die Redaktion von berufsordnung.de besteht aus einem jungen und motivierten Team von Autoren, deren Ziel es ist, Sie im Berufsalltag und beim Karriereaufbau zu unterstützen.

Weitere Artikel

So machen Sie Ihre Mitarbeiter glücklich: 7 bewährte Tipps

Jobwechsel: Unsere besten Tipps für einen reibungslosen Ablauf