22.08.2021
Management
E-Learning und die Datenschutzgrundverordnung
Dr. Stephan Gärtner ist Partner in einer Berliner Rechtsanwaltskanzlei und spezialisiert auf das Thema Datenschutz. In seinem Arbeitsalltag berät er immer wieder Unternehmen zu Fragen der Datenschutzgrundverordnung (DSGVO) – auch in Bezug auf das Thema E-Learning. Im KOFA-Gespräch hat er typische Szenarien analysiert und hilfreiche Tipps für KMU abgeleitet. Wer diese Tipps befolgt, ist sicherer im Umgang mit dem Datenschutzrecht.
6 Szenarien und Tipps für einen rechtskonformen und entspannten Umgang mit der DSGVO
Fall 1: Ein Unternehmen möchte gerne E-Learning einführen und dafür eine E-Learning-Plattform nutzen
Gärtner: In der Regel nutzen Unternehmen externe E-Learning-Plattformen. Diese können auf die Daten der Mitarbeitenden zugreifen. Das muss gerechtfertigt sein. Dafür bedarf es einer rechtlichen Vereinbarung, eines sogenannten Auftragsverarbeitungsvertrags (AVV). Dieser Datenschutzvertrag besagt, dass die E-Learning-Plattform die Daten nur so verarbeitet, wie der Arbeitgeber das vorgibt. Dadurch wird der Anbieter datenschutzrechtlich eingegliedert.
Das Unternehmen muss den Mitarbeitenden transparent aufzeigen, welche Daten im Rahmen von E-Learning erhoben werden und was mit diesen Daten passiert. Es muss außerdem die Frage klären: Dürfen Daten zu diesem Zweck überhaupt verarbeitet werden? Und da gibt es zwei Fälle: Bei gesetzlich vorgegebenen Pflichtkursen, wie zum Beispiel Sicherheitsunterweisungen, bedarf es keiner Einwilligung der Mitarbeitenden. Bei freiwilligen Kursen, z. B. „Wie werde ich eine gute Führungskraft?“, müssen Unternehmen eine Einwilligung zur Verarbeitung der Daten einholen.
Fall 2: Ein Unternehmen möchte die Erstellung von Lernvideos als Azubi-Projekt realisieren. Die Azubis sollen die Videos eigenverantwortlich umsetzen. Sie sind zwischen 15 und 21 Jahren alt
Gärtner: Zunächst einmal ist es eine tolle Idee Auszubildende einzubeziehen! Nun ist die Frage: Brauchen Sie die Einwilligungserklärung der Eltern für eine Datenverarbeitung? Und das hängt vom Alter oder geistigen Reifegrad der Azubis ab. Bei einem 15- oder 16-jährigen würde ich das Einverständnis einholen. Bei 17-jährigen könnte man argumentieren, dass er oder sie die Verstandesreife hat, selbst eine Entscheidung zu treffen. Trotzdem würde ich empfehlen, eine Einwilligungserklärung der Eltern einzuholen.
Es gibt aber noch einen wichtigen Punkt, den viele vergessen. In der Datenschutzgrundverordnung steht: Datenverarbeitungsvorgänge müssen transparent gemacht werden. Bei Kindern und Jugendlichen bedeutet das: Die Datenschutzerklärung muss so formuliert sein, dass Kinder und Jugendliche sie verstehen – also in ihrer Sprache.
Natürlich kann man dafür eine Text-Agentur engagieren. Mein Vorschlag wäre aber auf die Azubis zuzugehen, denen die Datenschutzgrundverordnung zu erklären und zu sagen: Jetzt schreibt das doch mal in eurer Sprache auf. Wichtig ist, dass aus diesem Dokument am Ende hervorgeht, was mit Daten passiert. Es reicht nicht eine Einverständniserklärung z. B. für die Aufnahme von Video-Material aufzusetzen. Es muss auch deutlich werden, wer die Videos wann, wo und für wie lange sehen kann.
Fall 3: Zur Vorbereitung auf die Abschlussprüfung der Auszubildenden möchte das Unternehmen eine Webinar-Reihe erstellen. Darin sollen interaktiv Vorgänge durchgesprochen werden. Alle Teilnehmenden sollen Mikrofon und Kamera einschalten. Zur späteren Vertiefung soll das Webinar aufgezeichnet werden
Gärtner: Jeder kann über das Recht am eigenen Bild bestimmen. Das gilt auch für den geschilderten Fall. Ich muss den Teilnehmenden immer die Möglichkeit überlassen, Kamera und Mikro auszustellen und passiv teilzunehmen.
Die Erfahrung zeigt allerdings, dass gerade junge Menschen häufig gar kein Problem damit haben, in einem Webinar in Erscheinung zu treten und auch aktiv Fragen zu stellen, wenn man ihnen die freiwillige Entscheidung darüber überlässt.
Möchte das Unternehmen das Webinar hinterher veröffentlichen, verbreiten oder intern nutzen, braucht es wieder die Einwilligungserklärung der Teilnehmenden oder ihrer Eltern.
Fall 4: Ein Unternehmen möchte Mitarbeitenden E-Learning-Inhalte zur Verfügung stellen, aber keine Cloudlösung anlegen. Kann das Unternehmen die Dateien per Messenger-Dienste auf die Mitarbeiter-Handys schicken?
Gärtner: Messenger-Dienst ist nicht gleich Messenger-Dienst – von daher sind pauschale Aussagen schwierig. Für die gängigsten Messenger-Dienste gibt es aber zwei Herausforderungen:
Messenger-Diensteverarbeiten Daten häufig in den USA. Und in den USA gelten nicht die gleichen strengen Datenschutzrichtlinien wie in Europa. Messenger-Dienste greifen außerdem häufig auf die Adressbuchdaten des Smartphones zu – ganz unabhängig davon, ob die Adressinhaber ebenfalls bei dem Messenger-Dienst angemeldet sind oder nicht.
Unternehmen müssen die Einwilligung von Mitarbeitenden einholen, wenn sie mit ihm oder ihr über einen Messenger-Dienst in Kontakt treten wollen. In dieser Einwilligung muss stehen: Sie haben die Möglichkeit mit mir über den Messenger-Dienst XY zu kommunizieren. Möglicherweise werden Daten in die USA übermittelt. Das muss für Sie in Ordnung sein, sonst können wir es nicht machen.
Außerdem bräuchte man von jedem Kontakt, der im Adressbuch des Smartphones gespeichert ist, eine Einwilligung. Dafür gibt es eine einfache praktische Lösung: Am besten besorgen sich Unternehmen ein Handy mit einer ganz günstigen SIM-Karte. Auf diesem Handy installiert man den Messenger und speichert dort nur die Adressbuchdaten von denen, mit denen man über den Messenger kommunizieren will und deren Einverständnis man hat. Damit sind Unternehmen auf datenschutzrechtlich auf der sicheren Seite.
Fall 5: Ein Unternehmen produziert ein Lernvideo. Plötzlich taucht ein Kunde im Hintergrund auf. Muss das Video jetzt gelöscht werden?
Gärtner: Ich würde für die Aufzeichnung eines Lernvideos immer eine Atmosphäre schaffen, in der nur Leute im Bild zu sehen sind, die auch eingewilligt haben. Im Internet ist teilweise zu lesen, dass bei Gruppenaufzeichnungen ab sieben Personen keine Einverständniserklärung der abgebildeten Personen nötig ist. Das ist Unsinn. Es ist sehr kompliziert pauschal zu sagen, was „Beiwerk“ und „Hauptwerk“ bei einer Videoaufzeichnung ist. Wenn ein Kunde oder eine Kundin zu sehen ist, bedarf es einer Einwilligung oder die Sequenz kann nicht genutzt werden.
Fall 6: Ein Unternehmen stellt seinen Mitarbeitenden ein frei zugängliches Video von einem Videoportal (z. B. YouTube) für Schulungszwecke zur Verfügung
Gärtner: Wenn das Unternehmen das Video im Rahmen einer offiziellen Schulung einsetzt, liegt eine kommerzielle Nutzung vor und das Urheberrecht muss berücksichtigt werden. Dies gilt insbesondere bei einer gesetzlichen Pflichtschulung (z. B. Sicherheitsunterweisung), bei der die Mitarbeitenden auch bestätigen müssen, die Inhalte gesehen zu haben. Hier würde ich dem Unternehmen in jedem Fall raten, das Video offiziell zu erwerben und die Nutzungsrechte einzuholen.
(Quelle: KOFA – Kompetenzzentrum Fachkräftesicherung)
Schlagworte
DatenschutzDigitalisierungE-LearningKMU
