Datenschutz im E-Learning

DSGVO-konforme E-Learning-Plattformen — von Lernerdaten über Anonymisierung bis zum Hosting in Deutschland.

Datenschutz als Grundvoraussetzung

E-Learning-Plattformen verarbeiten eine Vielzahl personenbezogener Daten: Name, E-Mail-Adresse, Lernverhalten, Testergebnisse, Zeitstempel, IP-Adressen — und bei Proctoring sogar Video- und Audioaufnahmen. All diese Daten unterliegen der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Datenschutz im E-Learning ist kein optionales Feature, sondern eine rechtliche Pflicht — und ein Vertrauensfaktor gegenüber Lernenden und Auftraggebern.

Welche Daten werden im E-Learning erhoben?

Stammdaten

  • Name, E-Mail-Adresse, Personalnummer
  • Abteilung, Standort, Rolle
  • Kursanmeldungen, Gruppenzugehörigkeiten

Lernverhaltensdaten

  • Login-Zeitpunkte und -Dauer
  • Aufgerufene Inhalte und Verweildauer
  • Klickpfade und Navigationsverhalten
  • Abbruch- und Wiederaufnahmepunkte

Leistungsdaten

  • Testergebnisse und Scores
  • Antworten auf einzelne Fragen (inkl. falsche Antworten)
  • Anzahl der Versuche
  • Zeitdauer pro Frage/Test

Kommunikationsdaten

  • Forenbeiträge, Chat-Nachrichten
  • Kommentare und Feedback

Technische Daten

  • IP-Adresse, Gerätetyp, Browser
  • Standortdaten (bei mobilen Apps)
  • Bei Proctoring: Video- und Audioaufnahmen, Screenshots

DSGVO-Grundsätze im E-Learning-Kontext

Rechtmäßigkeit (Art. 6 DSGVO)

Jede Datenverarbeitung braucht eine Rechtsgrundlage:

SzenarioTypische Rechtsgrundlage
Pflichtschulung am ArbeitsplatzBerechtigtes Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f) oder Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c)
Freiwillige WeiterbildungVertragserfüllung (Art. 6 Abs. 1 lit. b) bei kostenpflichtigen Kursen, Einwilligung (Art. 6 Abs. 1 lit. a) bei optionalen Angeboten
ProctoringEinwilligung oder berechtigtes Interesse — abhängig von der Eingriffstiefe
Learning AnalyticsBerechtigtes Interesse, ggf. Einwilligung bei tiefgreifender Profilbildung

Zweckbindung (Art. 5 Abs. 1 lit. b)

Lernerdaten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Das bedeutet konkret:

  • Lernfortschrittsdaten dürfen nicht ohne Weiteres für Personalentscheidungen verwendet werden
  • Prüfungsergebnisse dürfen nicht für Marketing oder Produktentwicklung genutzt werden
  • Learning-Analytics-Daten dürfen nicht an Dritte weitergegeben werden

Die Zweckbindung muss vor der Datenerhebung definiert und den Betroffenen mitgeteilt werden.

Datenminimierung (Art. 5 Abs. 1 lit. c)

Nur die Daten erheben, die für den definierten Zweck tatsächlich erforderlich sind. Beispiele:

  • Für eine Abschlussbestätigung reicht: Kursname, Datum, Ergebnis
  • Einzelne Antworten auf Prüfungsfragen müssen nicht dauerhaft gespeichert werden
  • Videoaufnahmen von Proctoring müssen zeitnah gelöscht werden

Transparenz (Art. 13, 14 DSGVO)

Lernende müssen vor der Nutzung der Plattform informiert werden über:

  • Welche Daten erhoben werden
  • Zu welchem Zweck
  • Auf welcher Rechtsgrundlage
  • Wie lange sie gespeichert werden
  • An wen sie ggf. weitergegeben werden
  • Welche Rechte die Betroffenen haben (Auskunft, Löschung, Widerspruch)

Diese Informationen müssen in einer verständlichen Datenschutzerklärung bereitgestellt werden — nicht versteckt in den AGBs.

Speicherbegrenzung

Personenbezogene Daten dürfen nicht länger gespeichert werden als nötig:

DatentypEmpfohlene Aufbewahrungsfrist
Schulungsnachweise (Compliance)Bis Ausscheiden des Mitarbeiters + gesetzliche Frist
PrüfungsergebnisseAbhängig von Prüfungsordnung, typisch 1-5 Jahre
LernverhaltensdatenMax. bis Kursende + 6-12 Monate für Analytics
Proctoring-AufnahmenSo kurz wie möglich, max. bis Prüfungsergebnis rechtskräftig
Login-Daten/Logs6-12 Monate (für Sicherheitszwecke)

Auftragsverarbeitung (AVV)

Wann ist ein AVV nötig?

Wenn ein externer Dienstleister (z. B. ein LMS-Anbieter, ein Hosting-Provider oder ein Proctoring-Service) im Auftrag personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich.

Inhalte eines AVV

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Kategorien der betroffenen Personen und Daten
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Unterauftragsverarbeitern
  • Löschung oder Rückgabe der Daten nach Vertragsende

Hosting und Serverstandort

Warum der Serverstandort wichtig ist

Seit dem Schrems-II-Urteil des EuGH (2020) ist der Transfer personenbezogener Daten in Drittländer (insbesondere die USA) problematisch. Das EU-US Data Privacy Framework (2023) schafft zwar eine neue Grundlage, wird aber von Datenschützern als unsicher angesehen.

Hosting in Deutschland — Vorteile

  • Rechtssicherheit: Deutsche Server unterliegen deutschem Datenschutzrecht
  • Kein Drittlandtransfer: Keine zusätzlichen Schutzmaßnahmen nötig
  • Vertrauen: Für sensible Daten (Prüfungsergebnisse, Gesundheitsschulungen) bevorzugt
  • Aufsichtsbehörde: Deutsche Datenschutzaufsicht als Ansprechpartner

Technische Maßnahmen

Unabhängig vom Serverstandort sollten E-Learning-Plattformen:

  • Verschlüsselung: Daten verschlüsselt übertragen (TLS 1.3) und speichern (AES-256)
  • Zugriffskontrollen: Rollenbasierte Zugriffsrechte, Zwei-Faktor-Authentifizierung
  • Audit-Logging: Zugriffe auf personenbezogene Daten protokollieren
  • Backup und Recovery: Regelmäßige, verschlüsselte Backups
  • Penetrationstests: Regelmäßige Sicherheitsüberprüfungen

Anonymisierung und Pseudonymisierung

Pseudonymisierung

Personenbezogene Daten werden so verarbeitet, dass sie ohne Zusatzinformation keiner Person zugeordnet werden können. Die Zusatzinformation (Zuordnungstabelle) wird separat gespeichert.

Beispiel: Lernende werden in Analytics-Dashboards nur unter einer ID geführt, nicht unter ihrem Klarnamen. Die Zuordnung ID → Name liegt in einem separaten, zugriffsgeschützten System.

Pseudonymisierte Daten gelten weiterhin als personenbezogen — die DSGVO findet vollständig Anwendung.

Anonymisierung

Daten werden so verändert, dass ein Personenbezug dauerhaft und unwiderruflich unmöglich ist. Anonyme Daten fallen nicht unter die DSGVO.

Beispiel: Aggregierte Statistiken wie „78 % der Teilnehmer bestanden den Test” sind anonym, solange kein Rückschluss auf Einzelpersonen möglich ist (insbesondere bei kleinen Gruppen beachten).

Wann anonymisieren?

  • Learning Analytics: Für übergreifende Analysen (Kursqualität, Schwierigkeitsverteilung) reichen oft anonyme Daten
  • Benchmarking: Vergleich zwischen Gruppen, Standorten, Zeiträumen
  • Forschung: Wissenschaftliche Auswertung von Lernverhaltensdaten

Mitbestimmung und Betriebsrat

In Unternehmen mit Betriebsrat hat dieser ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können (§ 87 Abs. 1 Nr. 6 BetrVG).

Ein LMS mit Lernfortschrittstracking fällt in der Regel unter diese Regelung. Vor der Einführung muss der Betriebsrat beteiligt werden — idealerweise wird eine Betriebsvereinbarung geschlossen, die regelt:

  • Welche Daten erhoben werden
  • Wer Zugriff hat (nur der Lernende? Auch der Vorgesetzte? HR?)
  • Ob und wie Leistungsdaten für Personalentscheidungen verwendet werden dürfen
  • Löschfristen und Anonymisierungsregeln

Checkliste: DSGVO-konformes E-Learning

  • Datenschutzerklärung für die Lernplattform vorhanden und zugänglich
  • Rechtsgrundlage für jede Datenverarbeitung definiert
  • Auftragsverarbeitungsvertrag mit dem LMS-Anbieter geschlossen
  • Serverstandort dokumentiert, ggf. Drittlandtransfer geprüft
  • Löschkonzept mit definierten Fristen implementiert
  • Technische Maßnahmen (Verschlüsselung, Zugriffskontrollen) umgesetzt
  • Betriebsrat beteiligt (falls vorhanden)
  • Verfahrensverzeichnis aktualisiert (Art. 30 DSGVO)
  • Datenschutz-Folgenabschätzung durchgeführt (bei Proctoring, Learning Analytics)

Fazit

Datenschutz im E-Learning ist kein Hindernis, sondern eine Qualitätsaussage. Organisationen, die von Anfang an datenschutzkonform planen — von der Plattformauswahl über das Hosting bis zur Betriebsvereinbarung — schaffen Vertrauen bei Lernenden und Auftraggebern und vermeiden kostspielige Nachbesserungen.

Quellen und weiterführende Informationen:

  • Verordnung (EU) 2016/679: Datenschutz-Grundverordnung (DSGVO).
  • EuGH, Urteil vom 16.07.2020, Rs. C-311/18 (Schrems II).
  • Bundesdatenschutzgesetz (BDSG), insbesondere §§ 22, 26.
  • Betriebsverfassungsgesetz (BetrVG), § 87 Abs. 1 Nr. 6.
  • DSK (2022): Orientierungshilfe der Datenschutzaufsichtsbehörden zu Proctoring-Verfahren.
  • Art.-29-Datenschutzgruppe (2017): Leitlinien zur Datenschutz-Folgenabschätzung. WP 248 rev.01.
← Zurück zu Compliance & Zertifizierung