Vertraulichkeit, Integrität und Verfügbarkeit entscheiden
Herr Dr. Blickle, welche Datenschutzrichtlinien müssen Unternehmen beachten, wenn sie sich für den Einsatz von eLearning entscheiden?
Dr. Tobias Blickle: Das deutsche Datenschutzgesetz sieht vor, dass jeder Einzelne über die Verwendung seiner personenbezogenen Daten selbst bestimmen kann. Gerade im eLearning, bei dem Lernern in ihrer individuellen Lernumgebung passgenaue Inhalte angeboten werden sollen, müssen unterschiedliche personenbezogene Daten wie Testergebnisse, Kompetenzen und Lernpräferenzen erhoben und ausgewertet werden.
Ausgefeilte Learning Management Systeme (LMS) bieten daher die Möglichkeit, von jedem Nutzer beim erstmaligen Login die Zustimmung zu einer Datenschutzerklärung abzufragen. In der Erklärung, die auch mit dem Betriebsrat abgestimmt werden sollte, muss genau aufgeführt sein, welche Daten erhoben werden und was mit diesen Daten geschieht.
Was sind aus Ihrer Sicht die wichtigsten Aspekte, die Weiterbildungsverantwortliche mit Blick auf die Datensicherheit berücksichtigen sollten, sobald die Mitarbeiter der Datenschutzerklärung zugestimmt haben?
Dr. Tobias Blickle: Hat ein Unternehmen einmal die Zustimmung seiner Mitarbeiter zur Erhebung und Nutzung der Daten erhalten, muss die Sicherheit der erhobenen Informationen gewährleistet sein. Hier spielen die drei Aspekte Vertraulichkeit, Integrität und Verfügbarkeit der Daten eine ganz entscheidende Rolle.
Können Sie die drei Begriffe näher erläutern?
Roman Muth: Bei der Vertraulichkeit geht es vor allem darum, gespeicherte Daten vor unbefugten Zugriffen zu schützen. Immer wieder hört man in den Medien davon, dass es Hackern gelingt, an private Daten zu gelangen. So konnte man etwa im vergangenen Jahr in den Schlagzeilen lesen, dass in Deutschland 16 Millionen eMail-Adressen mitsamt Passwörtern gestohlen wurden. Unternehmen müssen gegen derartige Attacken Vorsorge betreiben. Maßnahmen wie eine Verschlüsselung der Daten und Verbindungen sowie ein intelligent durchdachtes Rollen- und Berechtigungskonzept sorgen dafür, dass die erhobenen Daten nur Anwendern mit entsprechenden Zugriffsrechten zur Verfügung gestellt werden.
Bei der Integrität geht es um den Schutz vor Manipulation. Innerhalb eines LMS werden hochsensible Daten, beispielsweise Testergebnisse, verwaltet. Diese dürfen in keiner Weise manipulierbar sein. Unternehmen müssen sich auf die Korrektheit der Daten verlassen können. Regelmäßige Sicherheitsüberprüfungen, sogenannte Penetrations-Tests, können einen entsprechenden Manipulationsschutz gewährleisten.
Bei der Verfügbarkeit geht es schließlich um den Schutz vor Verlust der im LMS hinterlegten Inhalte. Ein Unternehmen muss seinen Lernern die Sicherheit geben, dass diese die für die bestandenen Prüfungen ausgestellten Zertifikate auch nach Monaten noch aufrufen können. Gleichzeitig muss das Unternehmen aber gesetzlich vorgegebene Löschfristen, etwa für Kommunikationsdaten, beachten.
Dr. Tobias Blickle: Bei der Verfügbarkeit geht es aber auch um eine stetige Nutzungsmöglichkeit. Lerninhalte sollten zu jedem Tages- und Nachtzeitpunkt verfügbar sein. Stellen Sie sich etwa ein Szenario vor, in dem hunderte Teilnehmer gleichzeitig eine Abschlussprüfung im LMS ablegen sollen. Zu dieser Prüfungszeit ist eine hundertprozentige Verfügbarkeit des Systems ganz entscheidend. Redundante Systeme sowie Skalierungsmöglichkeiten, wie sie in der Cloud gegeben sind, können die Verfügbarkeitserwartungen sicherstellen.
Wie sehen Sie die Verantwortung zum Datenschutz und zur Datensicherheit zwischen dem Unternehmen und dem eLearning-Anbieter?
Dr. Tobias Blickle: Der eLearning-Anbieter steht insbesondere dann in der Verantwortung, wenn die Datenverarbeitung auch durch ihn erfolgt. Dies ist immer dann der Fall, wenn ein Unternehmen sich anstelle einer klassischen on-premise Lösung für eine Cloud-Lösung entscheidet.
Roman Muth: Bei Cloud-Lösungen kommt man schnell in rechtliche Dreiecksverhältnisse, da in der Regel noch ein Hostinganbieter eingebunden ist. Hier kann sich ein Unternehmen absichern, indem es darauf achtet, sich für einen eLearning-Anbieter zu entscheiden, der einerseits global aufgestellt ist, aber andererseits ein Hosting gemäß dem lokal geltenden Datenschutz gewährleisten kann.
Unser Informationssicherheits-Managementsystem besitzt seit Dezember letzten Jahres eine ISO 27001 Zertifizierung, die aus einem international verbindlichen Standard zum Schutz der Vertraulichkeit und Integrität von Daten abgeleitet ist. Zudem schließen wir bei IMC mit allen unseren Hostingpartnern die sogenannten EU Model Clauses ab, die Rechtssicherheit bei der Verarbeitung personenbezogener Daten innerhalb Europas gewährleisten.
Auf nationaler Ebene arbeiten wir in Deutschland und der Schweiz mit Hostern zusammen, die zusätzlich ein Hosting nach bundesdeutschem oder schweizerischem Datenschutzgesetz gewährleisten.
Was hat sich in den letzten Jahren verändert? Welche neuen Datenschutzstandards gibt es?
Dr. Tobias Blickle: Vor allem der Stellenwert des Themas Datenschutz hat sich in den letzten Jahren deutlich verändert. Wir sehen das ganz konkret daran, wie detailliert unsere Kunden inzwischen zu diesem Thema nachfragen. Aber auch in den rechtlichen Entwicklungen: Ganz aktuell ist die Einigung zwischen EU-Kommission und USA zum sogenannten "EU-US Privacy Shield", das das Safe-Harbor-Abkommen ersetzen soll. Und das europäische Datenschutzgesetz, das bis 2018 kommen soll, soll auch in Zeiten von Cloud Computing, Sozialen Netzwerken und Smartphone-Nutzung die EU Bürger vor dem Missbrauch ihrer personenbezogenen Daten schützen.
Welche Möglichkeiten hat der Endanwender, also der Lerner im Unternehmen, seine Daten zu schützen?
Roman Muth: Jeder Einzelne kann sich vor unbefugten Zugriffen auf seinen Account schützen, indem er darauf achtet, keine trivialen Passwörter zu nutzen und seine Passwörter auch sicher aufzubewahren. Ansonsten sollte er die Systeme wann immer möglich nur über verschlüsselte Protokolle wie HTTPS und SFTP nutzen.
Dr. Tobias Blickle: In modernen Learning Management Systemen erhalten die Lernenden zudem auf Knopfdruck einen Report über alle ihre personenbezogenen Daten. Diese sensiblen Daten können sie mit wenigen Klicks löschen und somit ihren Persönlichkeitsschutz sichern.
Zum Abschluss noch eine Frage zu den Lerninhalten: Mit eLearning zum Sicherheitsexperten – ist das möglich?
Dr. Tobias Blickle: Die Frage lässt sich klar mit "Ja" beantworten. Wir bei IMC verfügen über eine Reihe an schlüsselfertigen Compliance-Trainings. Wir können beobachten, dass diese stark nachgefragt werden, da Themen wie Datenschutz und Arbeitssicherheit in Deutschland weitestgehend allgemeingültig sind. Daher eignen sich standardisierte eLearning Inhalte besonders gut zur kostengünstigen und schnellen Vermittlung dieser Themen. Wichtig dabei ist, dass Unternehmen darauf achten, einen eLearning-Anbieter zu wählen, der ihnen auch die Aktualisierung der Inhalte gewährleistet, wenn sich Gesetze ändern.