"Privacy Shield"

EuGH Urteil mit Auswirkungen auf die eLearning-Branche

Dr. Andreas BerschBerlin, Juli 2020 - (von Dr. Andreas Bersch, eLearningBiz) Am 16.7.2020 hat der Europäische Gerichtshof das sogenannte "Privacy Shield" Abkommen zwischen der EU und den USA gekippt. Damit ist eine Auslagerung der Speicherung von persönlichen Daten in die USA nicht mehr ohne weiteres zulässig. Welche Auswirkungen hat das Urteil nun für die Datenspeicherung im eLearning und vor allem für den Einsatz von in den USA ansässigen Anbietern von Learning Software wie LMS oder anderen in der Bildung eingesetzten Software Systemen?

Hintergrund des mehrjärigen Rechtsstreits ist, dass gemäß der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten lediglich dann an ein Drittland außerhalb der EU übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dies sei aber nach Auffassung des EuGH nicht gegeben, wenn und soweit die datenverarbeitenden Unternehmen in den USA Verpflichtungen im Rahmen einschlägiger US-Überwachungsgesetze wie FISA 702 unterliegen.

Genau hier wird das Thema für die eLearning Branche und vor allem in den USA ansässige LMS Anbieter relevant. Denn im eLearning werden ohne Zweifel persönliche Daten verarbeitet, wie z.B. die eMail Adresse der Teilnehmer aber auch alle Daten die den persönlichen Lernfortschritt. Im Bereich Corporate Learning ist dies besonders kritisch, da Mitarbeiterdaten in die USA ausgelagert werden, wenn ein Unternehmen ein LMS einsetzt und die Daten der Mitarbeiter dann in den USA gespeichert werden. Die Qualität dieser Datenspeicherung im Kontext von LMS geht weit über die Qualität von Webkonferenzen wie Zoom hinaus. Auch hier bestehen ja bekanntlich Zweifel.

Allerdings ist nicht jede Datenverarbeitung in den USA nun unzulässig. Zunächst ist die notwendige Übermittlung von Daten gem. Artikel 49 DSGVO weiterhin zulässig. Dies sind z.B. die Buchung von Flügen in die USA oder den Versand einer eMail an einen Nutzer in den USA. Hier ist erkennbar, dass diese Ausnahmerlaubnis für LMS und eLearning Systeme nicht greift, es sei denn ein EU Unternehmen möchte in den USA tätige Mitarbeiter schulen. Die Schulung von Mitarbeitern in einem EU Land ist nicht von Art. 49 DSGVO erfasst und legitimiert.

...

Im Bereich Corporate Learning ist die Situation besonders kritisch, da Unternehmen hier eine Pflicht zur DSGVO konformen Verarbeitung von Mitarbeiterdaten trifft. Unternehmen die LMS oder andere eLearning Software aus den USA einsetzen, müssen nun überprüfen ob ihre Verarbeitung personenbezogener Daten an US-Verarbeiter ausgelagert werden und hierfür eine gültige Rechtsgrundlage besteht (z.B. Ausnahmeregelungen in einer nach EU Recht wirksamen SCC, Privacy Shield oder BCR).

Für Bildungsanbieter ist die rechtliche Lage analog zu beurteilen. Ein Bildungsanbieter muss überprüfen, ob Kundendaten über eine US Software in den USA verarbeitet werden müssen und dürfen.

In keinem Fall bedeutet das Urteil aber, dass nun jeglicher Einsatz von eLearning Software wie einem LMS per sofort nicht mehr zulässig ist und sofort Bußgelder drohen. Aber Unternehmen oder Bildungsanbieter die aktuell nach einer eLearning Software oder einem LMS suchen, sollten genau prüfen, ob die Datenverarbeitung mit europäischen Datenschutz vereinbar ist.

...