Totara Learn und die EU-DSGVO

Ab 25. Mai 2018 gilt das neue europäische Datenschutzrecht (EU-DSGVO). Da in Lernplattformen eine Vielfalt an personenbezogenen Daten gespeichert werden, greift die neue Verordnung auch für das marktführende Open-Source LMS Totara Learn.

            

Üblicherweise wird einmal jährlich ein neues Release von Totara Learn veröffentlicht, welches neue Funktionalitäten und Verbesserungen beinhaltet. Um DSGVO-Compliance zu ermöglichen, wurde von Totara eine Ausnahme gemacht und Version 11 als dediziertes DSGVO-Release zur Verfügung gestellt. Dies alleine zeigt schon die Wichtigkeit und Dringlichkeit der neuen Verordnung.     StakeholderPrinzipiell gibt es 3 Interessensgruppen im Kontext der EU-DSGVO und Totara Learn:

  • Betroffenene Personen (Data Subjects)
    Hierbei handelt es sich um alle LMS-User, deren Daten (HR, Lernfortschritte, Zertifizierungen, Forenbeiträge, usw) in Totara Learn gespeichert sind. Dabei handelt es sich in der Regel um Interne (Mitarbeiter) oder Externe (Kunden, Partner, Zulieferer, etc).
  • Verantwortlicher (Data Controller)
    Der Data Controller bestimmt, wie personenbezogene Daten verwendet werden. Das ist in der Regel der Totara-Administrator oder ein User, der die Berechtigung hat, Daten und Prozesse im LMS zu modellieren.
  • Auftragsverarbeiter (Data Processor)
    Der Data Processor verarbeitet personenbezogene Daten im Auftrag des Data Controllers. Dies ist entweder die interne IT oder ein externer Hosting-Provider.

In dem Kontext dieses Artikels werden nur Funktionen für betroffene Personen und Verantwortliche berücksichtigt, da diese auf Applikationsebene abgebildet werden können. Organisatorische Maßnahmen werden hier nicht weiter beleuchtet.

Die folgenden Rechte müssen sichergestellt werden:



Richtlinien (Right to be informed / Right to object)

Für die Verwaltung von Richtlinien, z.B. Nutzungsbedingungen werden die folgenden Funktionen unterstützt:
1. Erstellen und Verwalten von Site-Richtlinien inklusive Versionen, um Änderungen transparent zu kommunizieren.
2. Unterstützung von mehrsprachigen Richtlinien, was bei Unternehmen mit internationalen Mitarbeitern oder Partnern / Zulieferern relevant ist.
3. Reporting über versions-übergreifende Zustimmungen durch LMS-User, was einen möglichen Audit erleichtert.
4. Die Möglichkeit für Benutzer, Opt-Ins zu einer Richtlinie wieder zu entziehen.

Diese Richtlinientexte sollten in enger Zusammenarbeit mit dem Datenschutzbeauftragten erarbeitet werden.

Datenschutzeinstellungen Totara Learn.

Nutzerdatenverwaltung

Dieser Bereich unterstützt unterschiedliches Handling von Benutzerdaten in verschiedenen Unternehmensszenarien. Die relevanten Anforderungen der DSGVO werden wie folgt unterstützt:

  • Zugriff auf Benutzerdaten (Right to access)
    Ein Administrator hat die Möglichkeit, sämtliche Daten, die über Benutzer gespeichert sind, je User zentral abzurufen und, wenn erforderlich, zur Verfügung zu stellen. Dafür können Daten-schablonen erstellt werden, die spezifizieren, welche Daten (inkl. Dateien) angezeigt werden.
  • Export von Benutzerdaten (Right to data portability)
    Die erwähnten Datenschablonen – sogenannte Exporttypen – werden auch dazu genutzt, um Benutzerdaten als Export (im JSON-Format) zur Verfügung zu stellen, so dass diese in anderen Applikationen genutzt werden können. Dieser Datentransport ist dann von Interesse, wenn ein Mitarbeiter das Unternehmen wechselt und seine Lernhistorie mitnehmen möchte.
  • Löschen von Benutzerdaten (Right to be forgotten)
    Analog zu den Exporttypen stehen in Totara Learn auch Bereinigungstypen zur Verfügung. In diesen wird festgelegt, welche Daten in welchen Szenarien gelöscht werden. Neben einer manuellen Account-Bereinigung, kann dies auch automatisch für gesperrte bzw. gelöschte Benutzer stattfinden.

Für sämtliche oben beschriebenen Operationen stehen Reportquellen zur Verfügung, um jederzeit einen Überblick über sämtliche Nutzerdatenverwaltungsaktionen zu erhalten. Dies ist auch bei einem möglichen Audit hilfreich, da Ad hoc-Berichte erstellt werden können.

Manche Anforderungen sind eher organisatorischer Natur, z.B. das Ändern von fehlerhaften oder unvollständigen Daten (Right to rectification). Diese müssen in der Regel an der Datenquelle geändert werden (z.B. im HR-System) und nur dann in Totara Learn, wenn hier die primäre Datenquelle vorliegt.

Zusammenfassung

Um Mitarbeiterdaten in Einklang mit der neuen EU-DSGVO zu bringen und Unternehmen vor potentiellen Abmahnungen zu schützen, stellt Totara Learn eine Sammlung von Tools zur Verfügung. Im Gegensatz zu üblichen Funktionserweiterungen handelt es sich bei diesen zusätzlichen Funktionalitäten um gesetzliche Vorschriften, die es gilt einzuhalten. Hierbei ist in der Regel eine enge Zusammenarbeit zwischen der Fachabteilung oder dem Dienstleister und dem Datenschutzbeauftragten notwendig.

Ab Version 12 kommen dann wieder spannendere Zusatzfunktionen und Optimierungen, die Totara Learn weiter als Global Player im LMS und Talent Management-Markt etablieren wird.

INFO

Moodle und die EU-DSGVO

Moodle hat eine Reihe von GDPR-Plugins für die Versionen 3.3 und 3.4 veröffentlicht, welche es ermöglichen, Konfigurationen für Compliance mit der EU-DSGVO vorzunehmen. Diese Funktionalitäten sind ab Version 3.5 Bestandteil des Moodle Core.

Da Moodle primär im schulischen und akademischen Umfeld zum Einsatz kommt, müssen – zusätzlich zu den Punkten, die bei unternehmerischen Einsätzen zu berücksichtigen sind – Minderjährige vor der Anmeldung ohne Zustimmung der Eltern bzw. Erziehungsberechtigten geschützt werden.
 
Neben einer Richtlinienverwaltung inklusive Versionierung sowie dem Handling von Nutzeranfragen für Datenexport und Datenlöschen, stellt Moodle ein flexibles Tool zur Verwaltung, um Datenverarbeitung für unterschiedliche Zwecke zu unterstützen.

DER AUTOR

Alex Büchner

ist Gründer und Geschäftsführer (Technik) von Synergy Learning, dem führenden Platinum Totara, Moodle und Mahara Partner. In dem europaweit operierenden Unternehmen ist er neben strategischen Aufgaben für die Konzeption von professionellen Kundenlösungen zuständig.Alex Büchner ist Autor mehrerer Bücher und Artikel im Bereich von Moodle & Totara und hält regelmäßig internationale Fachvorträge über Open Source-LMS.

STICHWORTE

Zielgruppe

Branchenübergreifend in Konzernen, mittelständigen Unternehmen und öffentlichen Einrichtungen sowie gemeinnützigen Organisationen und Bildungseinrichtungen.

Portfolio

Platinum Totara, Moodle und Mahara Partner. Beratung, Implementierung und Wartung von professionellen E-Learning-Lösungen auf Open Source-Basis.

Referenzkunden

Deutsche Flugsicherung, Goethe Institut, Kind Hörgeräte, Kühne+Nagel, Saxo-Bank, Toyota.

KONTAKT

Synergy Learning

Ansprechpartner:
Alex Büchner
Gründer und Geschäftsführer

Oberdorfstr. 32
D-69124 Heidelberg

Tel.: +49 (0) 6221 / 6 73 98 13

info(at)synergy-learning.de
www.synergy-learning.de


SoftDeCC


Aktuelle Publikationen:
eLearning Journal - 2/2018
Kaufberater & Markt 2018/2019
>> Jetzt bestellen
eLJ2/2018
Jahrbuch eLearning &
Wissensmanagement 2018
>> Jetzt bestellen
eLJ4/2017
eLearning Journal - 4/2017
Trend Report 2017/2018
>> Jetzt bestellen
eLJ4/2017