Kaum ein Thema beschäftigt Unternehmen aller Größe gerade so intensiv, wie die Umsetzung der Europäischen Datenschutz-Grundverordnung. Stichtag war der 25. Mai 2018, aber viele tun sich immer noch schwer.

Datenschutz ist nicht nur ein Thema für Marketing Performance, Big Data und Sales. Gerade für Personal- und Trainingsabteilungen sind personenbezogene – und damit sensible – Daten essentielle Bestandteile der täglichen Arbeit. Software-Unterstützung ist heute selbstverständlich, um die Komplexität der Aufgaben zu reduzieren, Prozesse zu beschleunigen und solidere Entscheidungsfindung zu unterstützen. Trackingtools- und -pixel sind ebenso kritisch zu hinterfragen, wie die Speicherung und Auswertung sowohl statischer als auch dynamischer IP-Adressen.

Datenspeicherung ist möglich

Laut DSGVO ist es grundsätzlich unzulässig, persönliche Daten zu speichern. Ausnahmen  gibt es, wenn besondere Gründe vorliegen:

  • Daten die notwendig sind zur Vertragsanbahnung, d.h. im Rahmen konkreter Verhandlungen zur Angebotsabgabe, im Falle einer Projektausschreibung etc. Damit sind allerdings keinesfalls Daten gemeint, die der Kaltakquise dienen.
  • Es besteht ein Vertragsverhältnis und bestimmte Daten sind zur Vertragserfüllung notwendig. Dazu können zum Beispiel die Kontaktdaten des Projektpartners auf Seiten des Dienstleisters gehören.
  • Es besteht ein berechtigtes Interesse (z.B. auf Basis gesetzlicher Vorschriften) an der Speicherung der Daten.
  • Es liegt eine explizite, nachweisbare Einwilligung der Person vor, deren Daten für bestimmte, fest kommunizierte Zwecke zu speichern. Dieser Zweck z. B. die Zusendung eines elektronischen Newsletters muss klar definiert sein. Eine Ausweitung oder Neuinterpretation dieses Zweckes ist ohne explizite Zustimmung der Person nicht möglich.

Natürlich müssen auch Learning Management Systeme Funktionen zur Verfügung stellen, welche datenschutzkonformes Arbeiten zu ermöglichen. Dabei sind unterschiedliche Personengruppen gleichermaßen betroffen:  Kursteilnehmer, externe und interne Mitarbeiter, Trainingsadministratoren, Trainer und Kunden, aber auch Lieferanten.

HR-Software ist direkt betroffen

Zentrale Aspekte der DSGVO, welche Auswirkungen auf HR-Software hat, sind Datenminimierung (Art. 5), Auskunftsrecht (Art. 15), Recht auf Löschung (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20). Wir zeigen nun im Folgenden am Beispiel des LMS TCmanager(R), wie sich die neuen Vorgaben konkret umsetzen lassen.

Datenminimierung

Grundsätzlich ist auch im Schulungsbetrieb sparsam mit der Speicherung persönlicher Daten umzugehen. Gemäß Art. 5 DSGVO Datenminimierung dürfen nur persönliche Daten gespeichert werden, für die ein Zweck festgelegt wurde und deren Verarbeitung notwendig ist.

Das bedeutet, dass im Schulungsbetrieb viele Daten nicht mehr gespeichert werden dürfen (z.B. Geburtstag, Geburtsort, Geburtsname), weil diese im Normalfall nicht für die Durchführung eines Trainings benötigt werden.

Da bestimmte Branchen, Einrichtungen oder Unternehmen allerdings nicht nur ein Anliegen, sondern eine gesetzliche Verpflichtung haben, bestimmte Daten zu speichern, wurden diese Felder im TCmanager® LMS nicht komplett entfernt, sondern durch spezielle Konfigurationen ausgeblendet und unzugänglich gemacht. Die entsprechend benötigten Felder werden unternehmensspezifisch definiert und bedarfsgemäß verwendet werden. Dies betrifft nicht nur die Masken der Stammdaten, sondern ebenfalls die Suchkriterien und Spaltenüberschriften. So bietet die Software keine Möglichkeit unerwünschte, d.h. überflüssige Daten überhaupt zu erfassen. Auch datenbankseitig gibt es Möglichkeiten sicher zu stellen, dass bestimmte Daten gar nicht erfasst werden können. Dies gilt auch im Falle von automatisierten Datenimporten.

Auskunftsrecht

Laut Art. 15 DSGVO haben betroffene Personen das Recht auf Auskunft bezüglich der über sie gespeicherten personenbezogenen Daten. Dieses muss kurzfristig und in verständlicher Form zur Verfügung gestellt werden.

Zur Unterstützung dieser Auskunftspflicht erstellt TCmanager® LMS auf Knopfdruck ein Dokument, welches alle zu bestimmten Person gespeicherten Daten ausgibt. TCmanager LMS stellt dieses Dokument als pdf, wahlweise auch als auch als XML-Datei zur Verfügung.

Recht auf Löschung

Gemäß Artikel 17. DSGVO hat eine Person das Recht, seine Daten löschen zu lassen, wenn dem keine gesetzliche Regelung entgegensteht.

Das Thema wird im Bildungsmanagement dadurch kompliziert, dass personenbezogene Daten mit anderen Datensätzen verknüpft sind. Beispielsweise ist ein Kursteilnehmer mit dem Datensatz eines Kurstermins verknüpft. Auswertungen, Statistiken zur Auslastungsplanungen würden durch Löschung der Daten hinfällig. Diese Statistiken stellen ein berechtigtes Interesse der Trainingseinrichtung. Hier bietet TCmanager® die Möglichkeit an, den personenbezogenen Datensatz komplett zu anonymisieren. Konkret wird der TCmanager® Anwender in einem Dialog informiert, welche referenzierten Datensätze vorliegen. Letztendlich ist es die Aufgabe des Users zu entscheiden, ob Daten komplett zu löschen sind oder unter Beibehaltung der referenzierten Datensätze anonymisiert werden. Hierzu sind natürlich unternehmensindividuell und prozessorientierte Grundsatzentscheidungen zu treffen.

Recht auf Datenübertragbarkeit

Art. 20 Abs. 1 DSGVO gibt Personen das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt zu bekommen. Allerdings ist in der DSGVO kein Standard für dieses Format vorgeschrieben.

Aus Gründen der universellen Verwendbarkeit hat SoftDeCC sich hier für das Format XML entschieden. Darüber hinaus bietet TCmanager® LMS schon seit einigen Jahren zahlreiche, breit angelegte Funktionen zur Unterstützung von Datenlösch- oder Anonymisierungsroutinen. Damit können auch Altdaten und gewachsene Datenbestände aus dem Trainingsalltag regelmäßig professionell bearbeitet werden.

Aus TCmanager®-Sicht kann die DSGVO also gut umgesetzt werden. Personaler sollten sich in jedem Fall bei ihrem Software-Anbieter kundig machen, welche Unterstützung geboten wird, und ob und wie die neuen Vorgaben erfüllt werden können.

Mehr Infos zum Thema unter https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/