Totara Learn und die EU-DSGVO

Ab 25. Mai 2018 gilt das neue europäische Datenschutzrecht (EU-DSGVO). Da in Lernplattformen eine Vielfalt an personenbezogenen Daten gespeichert werden, greift die neue Verordnung auch für das marktführende Open-Source LMS Totara Learn.

Üblicherweise wird einmal jährlich ein neues Release von Totara Learn veröffentlicht, welches neue Funktionalitäten und Verbesserungen beinhaltet. Um DSGVO-Compliance zu ermöglichen, wurde von Totara eine Ausnahme gemacht und Version 11 als dediziertes DSGVO-Release zur Verfügung gestellt. Dies alleine zeigt schon die Wichtigkeit und Dringlichkeit der neuen Verordnung.

Stakeholder

Prinzipiell gibt es 3 Interessensgruppen im Kontext der EU-DSGVO
und Totara Learn:

• Betroffenene Personen (Data Subjects)
  Hierbei handelt es sich um alle LMS-User, deren Daten (HR, Lernfortschritte, Zertifizierungen, Forenbeiträge, usw) in Totara Learn gespeichert sind. Dabei handelt es sich in der Regel um Interne (Mitarbeiter) oder Externe (Kunden, Partner, Zulieferer, etc).
• Verantwortlicher (Data Controller)
  Der Data Controller bestimmt, wie personenbezogene Daten verwendet werden. Das ist in der Regel der Totara-Administrator oder ein User, der die Berechtigung hat, Daten und Prozesse im LMS zu modellieren.
• Auftragsverarbeiter (Data Processor)
  Der Data Processor verarbeitet personenbezogene Daten im Auftrag des Data Controllers. Dies ist entweder die interne IT oder ein externer Hosting-Provider.

In dem Kontext dieses Artikels werden nur Funktionen für betroffene Personen und Verantwortliche berücksichtigt, da diese auf Applikationsebene abgebildet werden können. Organisatorische Maßnahmen werden hier nicht weiter beleuchtet.

Die folgenden Rechte müssen sichergestellt werden:

Richtlinien (Right to be informed / Right to object)

Für die Verwaltung von Richtlinien, z.B. Nutzungsbedingungen werden die folgenden Funktionen unterstützt:

1. Erstellen und Verwalten von Site-Richtlinien inklusive Versionen, um Änderungen transparent zu kommunizieren.
2. Unterstützung von mehrsprachigen Richtlinien, was bei Unternehmen mit internationalen Mitarbeitern oder Partnern / Zulieferern relevant ist.
3. Reporting über versions-übergreifende Zustimmungen durch LMS-User, was einen möglichen Audit erleichtert.
4. Die Möglichkeit für Benutzer, Opt-Ins zu einer Richtlinie wieder zu entziehen.

Diese Richtlinientexte sollten in enger Zusammenarbeit mit dem Datenschutzbeauftragten erarbeitet werden.

Nutzerdatenverwaltung

Dieser Bereich unterstützt unterschiedliches Handling von Benutzerdaten in verschiedenen Unternehmensszenarien. Die relevanten Anforderungen der DSGVO werden wie folgt unterstützt:

• Zugriff auf Benutzerdaten (Right to access)
  Ein Administrator hat die Möglichkeit, sämtliche Daten, die über Benutzer gespeichert sind, je User zentral abzurufen und, wenn erforderlich, zur Verfügung zu stellen. Dafür können Daten-schablonen erstellt werden, die spezifizieren, welche Daten (inkl. Dateien) angezeigt werden.
• Export von Benutzerdaten (Right to data portability)
  Die erwähnten Datenschablonen – sogenannte Exporttypen – werden auch dazu genutzt, um Benutzerdaten als Export (im JSON-Format) zur Verfügung zu stellen, so dass diese in anderen Applikationen genutzt werden können. Dieser Datentransport ist dann von Interesse, wenn ein Mitarbeiter das Unternehmen wechselt und seine Lernhistorie mitnehmen möchte.
• Löschen von Benutzerdaten (Right to be forgotten)
  Analog zu den Exporttypen stehen in Totara Learn auch Bereinigungstypen zur Verfügung. In diesen wird festgelegt, welche Daten in welchen Szenarien gelöscht werden. Neben einer manuellen Account-Bereinigung, kann dies auch automatisch für gesperrte bzw. gelöschte Benutzer stattfinden.

Für sämtliche oben beschriebenen Operationen stehen Reportquellen zur Verfügung, um jederzeit einen Überblick über sämtliche Nutzerdatenverwaltungsaktionen zu erhalten. Dies ist auch bei einem möglichen Audit hilfreich, da Ad hoc-Berichte erstellt werden können.

Manche Anforderungen sind eher organisatorischer Natur, z.B. das Ändern von fehlerhaften oder unvollständigen Daten (Right to rectification). Diese müssen in der Regel an der Datenquelle geändert werden (z.B. im HR-System) und nur dann in Totara Learn, wenn hier die primäre Datenquelle vorliegt.

Zusammenfassung

Um Mitarbeiterdaten in Einklang mit der neuen EU-DSGVO zu bringen und Unternehmen vor potentiellen Abmahnungen zu schützen, stellt Totara Learn eine Sammlung von Tools zur Verfügung. Im Gegensatz zu üblichen Funktionserweiterungen handelt es sich bei diesen zusätzlichen Funktionalitäten um gesetzliche Vorschriften, die es gilt einzuhalten. Hierbei ist in der Regel eine enge Zusammenarbeit zwischen der Fachabteilung oder dem Dienstleister und dem Datenschutzbeauftragten notwendig.

Ab Version 12 kommen dann wieder spannendere Zusatzfunktionen und Optimierungen, die Totara Learn weiter als Global Player im LMS und Talent Management-Markt etablieren wird.