Ist Ihr Totara LMS DSGVO bereit?

 „Sind wir auf die neue Datenschutzgrundverordnung vorbereitet?“ – diese Frage wird in den letzten Monaten in jedem Unternehmen EU-weit mit steigender Frequenz gestellt. Sie haben wahrscheinlich von der DSGVO gehört. Die neue europäische Datenschutzgrundverordnung, die praktisch jedes Unternehmen betrifft.

Die Verordnung ist grundsätzlich ein Gesetz, das in allen europäischen Ländern befolgt werden muss, auch von Nicht-EU-Unternehmen, die Nutzer in der EU haben. In diesem Artikel wollen wir uns nicht auf die Inhalte der DSGVO fokussieren, wie viele Blogartikel der letzten Monate. Stattdessen zeigen wir Ihnen, was die DSGVO für uns allen aus dem Bereich Digital Learning bedeutet.

Falls Sie in einem Großunternehmen arbeiten, ist es sehr wahrscheinlich, dass bereits Prozesse existieren, die alle unternehmensweiten Systeme auf die neue Verordnung vorbereiten.

Während sich viele Techniker hauptsächlich darum Sorgen machen werden, wie sich die Systeme, an denen sie arbeiten, ändern müssen, ist es nicht unwahrscheinlich, dass ein weniger informierter Manager im späten Frühjahr hereinstürmt und erkennt, dass die DSGVO morgen in Kraft tritt: „Machen Sie unser System konform!". Falls Sie glauben, Sie hätten genug Zeit, denken Sie jetzt schon an den 25. Mai 2018 – danach gibt es keine Ausnahmen. 

 

DSGVO - was bedeutet das für Sie im Digital Learning? 

Als Platinum Partner von Totara Learning und Teil des Steering Committee von Adapt Learning, haben wir bei LearnChamp das Thema seit der Veröffentlichung der neuen DSGVO 2016 verfolgt und uns einige Fragen gestellt:

  • Wie sieht ein DSGVO-konformes System aus?
  • Was sind die wichtigen Merkmale dieses Systems?
  • Wie werden dort die persönlichen Daten der Nutzer verwaltet?

Es ist wichtig zu wissen, was "persönliche Daten" sind. Im Grunde ist es jede einzelne Angabe, die verwendet werden kann, um eine Person eindeutig zu identifizieren. Dies sind Daten, die Benutzer einerseits selbst angegeben haben. Es können aber andererseits auch Daten sein, die Drittanbieter gesammelt haben bzw. die auf Basis von Nutzeraktivitäten auf der Website (zB was Sie gesucht haben, was Sie gekauft haben usw.) gesammelt wurden.

Die neue Verordnung stärkt die Rechte der Nutzer bezüglich dieser Daten. Welche sind diese?

Die Rechte des Lerners (in der Verordnung als "betroffene Person" bezeichnet) sind:

  • das Recht, seine Daten zu löschen (das Recht auf Vergessen / Löschen aus allen System)
  • das Recht auf Verarbeitungseinschränkung (die Systeme behalten die Daten weiterhin, aber markieren sie als "eingeschränkt" und berühren sie nicht ohne weitere Einwilligung des Nutzers)
  • das Recht auf Daten-Portabilität (die Möglichkeit, eigene Daten in ein maschinenlesbares Format zu exportieren)
  • das Recht zu korrigieren (die Fähigkeit, persönliche Daten zu berichtigen)
  • das Recht, informiert zu werden (das Erhalten von lesbaren Informationen statt langer Bedingungen)
  • das Recht auf Zugang (der Benutzer sollte in der Lage sein, alle Daten zu sehen, die über ihn gesammelt werden).

Zusätzlich sind die relevanten Grundprinzipien:

  • Datenminimierung - man sollte nicht mehr Daten als notwendig sammeln
  • Integrität und Vertraulichkeit - alle Sicherheitsmaßnahmen zum Schutz der Daten sollen ergriffen sowie Maßnahmen getroffen werden, um sicherzustellen, dass die Daten nicht unangemessen modifiziert wurden.

 

Darüber hinaus fordert die Verordnung, dass bestimmte Prozesse innerhalb einer Organisation (mit mehr als 250 Mitarbeitern oder bei Verarbeitung einer beträchtlichen Datenmenge) eingerichtet sind. Dazu gehören die Aufzeichnung aller Arten von verarbeiteten Tätigkeiten, einschließlich Prozessoren (Drittanbieter), zu denen Cloud-Dienstanbieter gehören. Keine der anderen Anforderungen der Verordnung hat eine Ausnahme in Abhängigkeit von der Organisationsgröße. Daher ist "Ich bin ein kleines Unternehmen mit nur wenigen Mitarbeitern, die DSGVO betrifft mich nicht" ein Mythos.

 

Neue Datenschutzrichtlinien in Totara Learn

Ein LMS wie Totara Learn fällt mit seinen deutlich größeren personenbezogenen Datenmengen unter die Lupe der DSGVO. Die konsistente Verwaltung von Daten, sowohl auf technischer Ebene als auch als Admin im System, wird in dem Fall große Bedeutung haben.

Dies sind die möglichen Szenarien für Sie als Betreiber eines solchen LMS (und eigentlich aller anderen Produkte wie CMS und CMR).

Totara Learn, unterstützt von seinen Partnern, hat den Release von Totara Learn 11 für Ende Februar 2018 angekündigt. Dies wird die DSGVO-konforme Version sein. Sie bietet vielen LMS-Betreibern die Sicherheit, dass ihr Totara Learn vorbereitet wird und sie sich keine Sorgen machen müssen.

Jedoch bietet ein Open-Source-System uns allen auch die Möglichkeit für Anpassungen und Erweiterungen durch zusätzliche Plugins. Sie speichern größtenteils auch Nutzerdaten. Viele haben über die Jahre ihre Systeme mit Hilfe von Plugins Benutzer- und Prozess-spezifisch angepasst, um möglichst viel vom Potential dieser Systeme auszunutzen.

Es stellt sich nun die Frage: "Werden wir in den zwei Monaten zwischen Februar und Mitte Mai unser LMS updaten und sicherstellen können, dass alle zusätzlichen Features auch DSGVO-konform sind?"

Falls Ihr System keine umfangreichen Plugin-Anpassungen und mindestens Totara 9.0 als Version hat, würden wir ein Update auf Totara 11.0 empfehlen. Natürlich müssen Sie, wie bei allen anderen Systemen, Ihre internen Unternehmensprozesse auch anpassen und sicherstellen, dass die Zeit von zwei Monaten dafür ausreichen wird.

 

Die DSVGO-konforme Lösung kommt: Plugins

Was passiert, falls die Zeit nicht ausreicht, Ihr Unternehmen nicht genug Ressourcen hat oder das System in den Jahren viele Plugins mitgetragen hat, die bei einem Update-Prozess zusätzlich Zeit kosten?

Für genau diese Szenarien, die eine kurzfristige Reaktion erfordern, um Systemen danach genug Zeit für ein Update zu lassen, hat LearnChamp eine eigene Lösung in Form von Plugins vorbereitet. Sie sind leichter als ein Update zu behandeln und sparen Ihnen Zeit. Dennoch empfehlen wir Ihnen, regelmäßig Updates zu machen, damit die Sicherheit Ihres Systems immer gewährleistet ist. Viele unserer Kunden machen das vierteljährlich in Form von Upgrade Paketen.

Sie sehen, es gibt einige Varianten um Ihr System DSGVO konform aufzubereiten. Trotzdem empfehlen wir, dass Sie sich möglichst frühzeitig vorbereiten – kontaktieren Sie Ihren Totara Partner und bereiten Sie Ihr Team vor. Eine umfangreiche Checkliste zur Vorbereitung auf die DSGVO finden Sie hier.

Falls Sie weitere Unterstützung in dem Prozess oder dabei User Adoption Services benötigen, kontaktieren Sie uns gerne.

Bei Fragen stehen wir Ihnen gern unter info@learnchamp.com zur Verfügung.