eLearning | Konzern
eLearning im Konzern
Bei einem Konzern bilden ein „herrschendes“ Unternehmen und oft mehrere abhängige Unternehmen eine wirtschaftliche Einheit. Nicht selten entstehen im Laufe der Zeit komplexe Organisationsstrukturen mit einer Vielzahl an Beschäftigten. Diese Komplexität stellt die Verantwortlichen gerade beim Thema (Pflicht-)Schulungen für die Mitarbeitenden vor Herausforderungen.
Wir befassen uns in diesem Beitrag mit eLearning-Kursen als Schulungsmethode und den dafür verwendeten Plattformen und geben Ihnen Tipps, was Konzerne und Unternehmensgruppen beachten sollten, wenn Sie ein eLearning-System einführen möchten.
eLearning als Schulungsmethode: Ist doch ganz einfach, oder?
eLearning-Kurse bieten gegenüber Seminaren und Webinaren einige Vorteile und erfreuen sich daher als Schulungsmethode wachsender Beliebtheit. In eLearnings können Themen kompakt vermittelt und das neu erworbene Wissen kann direkt abgefragt werden. Die Beschäftigten absolvieren die Kurse nicht zu einem festen Termin in einer Gruppe, sondern dann, wenn es zeitlich gerade passt.
Mit eLearnings können sowohl Pflichtschulungen und Unterweisungen absolviert werden, als auch Schulungen für ganz bestimmte Gruppen von Beschäftigten im Unternehmen oder Kurse für die Weiterbildung. Auch Sensibilisierungen, bspw. für das Thema Cybersicherheit, oder kurze Auffrischungen (Was ist im Falle einer Datenpanne zu tun?) lassen sich mit eLearning-Kursen schnell an eine große Anzahl von Mitarbeitern ausspielen.
Doch je mehr Personen geschult werden sollen, desto mehr muss das Systeme dahinter können. Des Weiteren ist noch eine Besonderheit bei Konzernen zu beachten: Datenschutzrechtlich greift für Konzerne und Unternehmensgruppen kein Konzernprivileg! Das bedeutet, dass jedes (Tochter-) Unternehmen datenschutzrechtlich einzeln betrachtet wird und daher eine kluge Lösung gefunden werden muss.
Die meisten eLearning-Systeme werden heutzutage als Software as a Service von Dienstleistern betrieben. Selbst bei einem Betrieb On-Premise, also in eigenen Rechenzentren, kommt man um den Einsatz von Dienstleistern oft nicht herum. Betrachten wir vorliegend einmal den Fall, dass ein eLearning-System als Software as a Service, also als Internetplattform, angeboten wird.
eLearning + Software as a Service + Konzern = Darauf sollten Sie achten!
Vier Aspekte sollten Konzerne bzw. die Verantwortlichen für die Durchführung von Schulungen beachten, wenn es um die Auswahl des richtigen Anbieters für ein eLearning-System geht:
1. Vertrag zur Auftragsverarbeitung abschließen
Der Anbieter einer eLearning-Plattform kommt mit den personenbezogenen Daten des Unternehmens, das eLearnings durchführen möchten, meist zwingend in Kontakt. Denn um ein eLearning durchzuführen und die Teilnahme zu gewährleisten sowie nachzuweisen, werden in der Regel folgende personenbezogene Daten der Beschäftigten verarbeitet:
- Name
- E-Mail-Adresse (sofern vorhanden)
- ggf. Funktion im Unternehmen
- Merkmale, die zur Bildung von bestimmten Schulungsgruppen erforderlich sind (bspw. Ersthelfer, Führungskraft, Einsatzstandort, ggf. Vorqualifizierungen, Funktion etc.)
- Status der Teilnahme an Schulungen (z. B. nicht begonnen, begonnen, erfolgreich absolviert)
- Teilnahmenachweise von absolvieren eLearnings
Unternehmen, die ein eLearning-System nutzen, benötigen daher einen Vertrag zur Auftragsverarbeitung mit dem Anbieter der Software. Die meisten Anbieter verfügen hier über eigene Vertragsmuster, die geprüft werden und alle Anforderungen des Art. 28 DSGVO erfüllen müssen. Der Vertrag sollte zudem möglichst ausgewogen gestaltet sein.
Wer ist eigentlich Vertragspartner bei Konzernen? Aufgrund des fehlenden Konzernprivilegs stellt sich bei Verträgen zur Auftragsverarbeitung schnell die Frage, wer genau hier Vertragspartner wird. Bei Konzernen und Unternehmensgruppen sind mehrere Alternativen denkbar:
- So ist es möglich, dass alle Unternehmen einen eigenen Vertrag mit dem Softwareanbieter schließen. Dies ist in der Praxis oft aber sehr aufwändig, da am Ende des Tages sehr viele Personen beteiligt sind und viele Verträge auf dem Tisch liegen.
- Einfacher wird es, wenn es im Konzern eine zentrale Stelle gibt, die sich um solche Dinge für alle kümmert. In der Regel haben die einzelnen Unternehmen des Konzerns dann nämlich mit dieser zentralen Stelle einen konzerninternen Vertrag zur Auftragsverarbeitung abgeschlossen. Die konzerninterne Stelle wäre dann gegenüber den einzelnen Unternehmen ein Auftragsverarbeiter mit dem Auftrag der Bereitstellung von bestimmten Services. Sofern die Bereitstellung eines eLearning-Systems dazu gehört, würde der Anbieter der Software mit der zentralen Stelle einen Vertrag zur Auftragsverarbeitung abschließen und wäre fortan Unterauftragnehmer gegenüber den beteiligten Unternehmen. Die Kette sähe also so aus: Das einzelne Unternehmen des Konzerns wäre Auftraggeber einer Auftragsverarbeitung gegenüber der zentralen Stelle des Konzerns. Diese würde als Unterauftragnehmer den Anbieter der eLearning-Plattform beauftragen.
- Gelegentlich kommt in Konzernen auch eine gemeinsame Verantwortlichkeit zum Tragen, was aufgrund des fehlenden Konzernprivilegs aber in der Praxis eher schwierig wird.
2. Übermittlung von Daten in Drittländer
Da Daten an den Dienstleister übermittelt werden, ist es erforderlich zu prüfen, wo sich eigentlich der Sitz des Dienstleisters befindet und von wo aus die Server betrieben werden. Hat der Anbieter der Plattform seinen Sitz außerhalb der EU in einem sog. Drittland, muss der Auftraggeber (also der Konzern) prüfen, ob hier ein angemessenes Datenschutzniveau herrscht. Dies gilt selbst dann, wenn der Betreiber der Plattform Unterauftragnehmer einsetzt, die die Daten in einem Drittland verarbeiten. Ob dies der Fall ist, geht meist aus den Verträgen zur Auftragsverarbeitung hervor, in denen alle Unterauftragnehmer genannt werden müssen. Sofern Datenübermittlungen in Nicht-EU-Länder ein Thema sind, muss geprüft werden,
- ob ein Angemessenheitsbeschluss der EU vorliegt (das ist aber nur für wenige Länder der Fall),
- ob die EU-Standardvertragsklauseln zur Herstellung eines angemessenen Datenschutzniveaus ausreichen oder
- ob darüber hinaus ein sog. Transfer Impact Assessment (TIA) durchgeführt werden muss und weitere technische und organisatorische Maßnahmen eingehalten werden müssen.
- Seit einiger Zeit spielt bei Anbietern aus den USA auch das EU-US Data Privacy Framework eine Rolle. Für Unternehmen, die hier eingetragen sind, darf in der Regel ein angemessenes Datenschutzniveau angenommen werden, wobei sich der Eintrag ausdrücklich auch auf „HR“-Daten beziehen muss.
Wer diese Zeilen liest, merkt schnell, dass bei der Auswahl der Plattform und des Dienstleisters auch der eigene Datenschutzbeauftragte beteiligt werden sollte.
3. Die Plattform muss sicher sein
Wenn das Vertragliche soweit passt, muss als nächstes bei der Auswahl des Anbieters von eLearning-Plattformen der Blick auf die Sicherheit des Anbieters gerichtet werden. In den eben genannten Verträgen zur Auftragsverarbeitung sollte eine Darstellung der technischen und organisatorischen Maßnahmen zu finden sein. Meistens sind diese aber sehr allgemein gehalten und geben oft auch über die wirklichen Gefährdungen keine Auskunft. Da es sich bei einer eLearning-Plattform, die als Software as a Service betrieben wird, um eine Webapplikation handelt, ist diese jedoch besonderen Gefährdungen ausgesetzt. Daher sind folgende Sicherheitsmerkmale zwingend erforderlich:
Zwei-Faktor-Authentisierung für Backendnutzer
An diese Gefahren sollten Sie denken, wenn die eLearning-Plattform über das Internet erreichbar ist: Was passiert, wenn ein Nutzer sein Passwort verliert oder – entgegen aller Anweisungen – dasselbe Passwort mehrfach im Internet benutzt und Opfer einer Phishing- oder Social Engineering Attacke wird? Ein besonders hoher Schaden würde in einem solchen Fall dann entstehen, wenn es sich um eine Person mit erweiterten Rechten (z. B. die schulungsverantwortliche Person) handelt, die Zugriff auf alle im System gespeicherten Daten der Mitarbeitenden hat. Aus unserer Sicht sollte daher unbedingt darauf geachtet werden, dass für solche Nutzergruppen eine Zwei-Faktor-Authentisierung oder die Einrichtung einer IP-Adresskreissperre angeboten wird.
Schnittstellenabsicherung
Gerade bei großen Unternehmen und Unternehmensgruppen ist es kaum möglich, die zu schulenden Beschäftigten einzeln von Hand einzutragen und selbst der Upload per Liste ist meist sehr aufwändig. Konzerne und Unternehmensgruppen kommen daher meist nicht um Plattformen herum, die auch eine Anbindung über Schnittstellen anbieten. Sinnvoll sind hierbei sicherlich Möglichkeiten zur Synchronisation zu Personaltools oder zum Identity Provider (Active Directory). Als quasi Standard kann hierbei das System for Cross-Domain Identity Management (SCIM) genannt werden, da gängige Identity Provider wie Microsofts Entra ID und Okta hierüber angeschlossen werden können.
Auch hier spielt das Thema Sicherheit dann wieder eine Rolle und Stichwörter wie Single-Sign-On (via Open ID Connect oder SAML) sind wichtige Faktoren, da etwaige Passwortrichtlinien und Multi-Faktor-Authentisierung in der Hand des Unternehmens bleiben.
Penetrationstest
Bei der Sicherheit der Anwendung werden noch weitere Aspekte relevant, etwa die Passwortkomplexität, Prozesse beim „Passwort vergessen“, ein Schutz vor Brute-Force-Attacken, die Nutzung einer starken Transportverschlüsselung, die Implementierung eines ordentlichen Session Managements, ein Schutz vor Cross-Site-Scripting durch Data Validation, die Speicherung von Passwörtern nicht im Klartext, sondern gehasht und gesaltet, und bei Verwendung von Login-Links eine ordentliche Entropie. Die Themen sind manchmal so komplex, dass es gut wäre, Dienstleister zu wählen, die in regelmäßigen Abständen Penetrationstests durchführen und denen diese Themen nicht fremd sind.
Zertifizierte Rechenzentren
Das Thema Sicherheit von Rechenzentren ist natürlich auch ein wichtiger Faktor bei der Auswahl der richtigen Plattform. In der Praxis bieten Zertifikate hier eine Orientierungshilfe beim Vergleich von Anbietern. Wichtig ist, dass die eingesetzten Rechenzentren über eine aktuelle ISO 27001 bzw. eine vergleichbare Zertifizierung verfügen.
Berechtigungskonzept innerhalb des Konzerns
Vom „Need-to-know-Prinzip“ im Datenschutz haben Sie sicher schon gehört. Und das gilt selbstverständlich auch bei der Schulung von Beschäftigten. Es sollen also nur die Personen in der Unternehmensgruppe Zugriff auf die Daten haben, die diese Informationen auch wirklich brauchen. Oder anders ausgedrückt: Nicht jeder darf alles sehen. Wenn es keine Regelungen für eine zentrale Schulungsverwaltung im Konzern gibt, müssen die Berechtigungen auf Unternehmensebene gesetzt werden. Dann darf eine verantwortliche Person z. B. prüfen, ob wirklich alle Teilnehmer des eigenen Unternehmens die Schulungen in der vorgegebenen Zeit absolviert haben. Die Beschäftigten von Schwester- oder Tochterunternehmen dürfen dabei aber grundsätzlich nicht eingesehen werden. Es muss daher im Vorfeld genau geprüft werden, ob die Plattform die speziellen Anforderungen des Konzerns im Hinblick auf das Berechtigungskonzept auch erfüllt.
Neben dem oben bereits erwähnten Datenschutzbeauftragten, sollte bei der Entscheidung für oder gegen eine bestimmte eLearning-Plattform daher auch der Informationssicherheits-Beauftragte bzw. IT-Sicherheitsbeauftragte mit ins Boot geholt werden.
4. Rechtmäßigkeitsprüfung
Der Einsatz der eLearning-Plattform muss natürlich auch rechtmäßig erfolgen. Was eigentlich selbstverständlich klingt, ist in der Praxis aber manchmal gar nicht so einfach, denn es lauern teilweise an unerwarteter Stelle Fallstricke.
Keine „Rennlisten“ ohne Einwilligung
Viele Beschäftigte müssen und wollen an eLearnings teilnehmen. Nicht jeder möchte aber mit anderen verglichen werden. „Schneller“, „mehr“ und „besonders gut“ – oder eben auch nicht, sind nicht die Attribute, die jeder im Vergleich mit anderen lesen möchten. Und teilweise gibt es bei eLearning-Plattformen „Leaderboards“, die ggf. schon voreingestellt und nicht abwählbar sind. Rein datenschutzrechtlich kann es an dieser Stelle dann schnell schwierig werden und auch ein Betriebsrat, der beteiligt werden muss, sieht dieses „Feature“ möglicherweise als Hürde. Aus unserer Sicht wird hier auch ein wichtiger Erfolgsfaktor beim eLearning nicht beachtet: Jeder lernt in seinem Tempo und kann bei Bedarf den Kurs nochmal anschauen. Denn entscheidend ist doch, dass die Inhalte verstanden und das Wissen angewendet werden kann und nicht, wer als Erster mit dem Kurs fertig ist oder die meisten Kurse durchlaufen hat.
Vorsicht bei Google Analytics & Co. auf Login-Seiten
Wer eine Software as a Service nutzt, dessen Beschäftigte sind auf der Plattform des Anbieters unterwegs und sie müssen sich dort einloggen, um die Plattform zu nutzen. Immer wieder findet man dabei Anbieter, die die Nutzer mit überbordenden „Cookie-Bannern“ begrüßen, um eine Einwilligung in das plattformeigene Tracking einzuholen. Aus Sicht des Unternehmens, das seine Beschäftigten mit einer solchen Plattform in Berührung bringt, ist es wichtig, dass die Plattform so datensparsam wie möglich genutzt werden kann. Tracking und oftmals intransparente Cookie-Banner sind an dieser Stelle nicht nur eine schlechte Nutzererfahrung, sondern ggf. sogar dem Unternehmen zuzurechnen, das die Plattform einsetzt. Bei Auswahl eines Dienstleisters sollte daher auch genau hingeschaut werden, wie es dieser mit dem Datenschutz hält.
Künstliche Intelligenz
Das Thema Künstliche Intelligenz (KI) ist derzeit kaum zu unterschätzen. Erste eLearning-Plattformen versprechen, mithilfe von KI-basierten Algorithmen Profile der Beschäftigten zu erstellen, um die Lernvorschläge zu verbessern und die Mitarbeiterentwicklung zu fördern. Abseits der Frage, ob dies wirklich sinnvoll ist, stellt sich beim Einsatz von solchen KI-Features aber wieder schnell die Frage nach deren (datenschutzrechtlicher) Zulässigkeit. Der Einsatz solcher „Features“ kann ggf. sogar dazu führen, dass das Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen muss.
Fazit
Nicht nur, aber gerade auch für Unternehmensgruppen und Konzerne ist die Auswahl der richtigen eLearning-Plattform ein großes Thema. Neben dem Funktionsumfang und der Bedienbarkeit spielen auch datenschutzrechtliche Themen und die Informationssicherheit eine große Rolle.
Wenn Sie sich fragen, ob und wie unsere Lernplattform alle oben genannten Punkte einhält, rufen Sie uns gerne an! Hinter DSN train steht nicht nur ein Team von engagierten Entwicklern, sondern auch von Juristinnen und Juristen, die sich mit den datenschutzrechtlichen Fragen beim Einsatz von Schulungsplattformen bestens auskennen sowie zahlreiche Sicherheitsexpert*innen und Penetrationstester, die nicht nur an Schulungen mitwirken, sondern auch unsere Plattform unter die Lupe nehmen.