Tel. 08152 909090
team@lernlink.de
lern.link-Newsletter
iSpring Training
iSpring Trainings

iSpring Suite schnell und einfach lernen

Selbstlernkurse

Kursen für Trainer und Admins


Academy

Live Webinare


Learntec Rallye
Moodle Partner – Rallye 2026

Besuchen Sie ausgewählte Partnerstände, sammeln Sie Unterschriften und sichern Sie sich schon ab 3 Stationen Ihren Sofortpreis. Alle ausgefüllten Rallye-Karten nehmen zusätzlich an unserer Verlosung teil.

Weiterlesen »
Alle News
Wir sind für Sie da
Wissen teilen
Über uns
Unsere Leistungen

Was ist DSGVO-konformes E-Learning?

Guido Hornig ·
Laptop mit E-Learning-Oberfläche auf modernem Schreibtisch, daneben deutsche Flagge und Kombinationsschloss als Symbol für sichere Online-Kurse.

DSGVO-konformes E-Learning bedeutet, dass digitale Lernplattformen und Lernmanagementsysteme die Anforderungen der Datenschutz-Grundverordnung vollständig erfüllen: Personenbezogene Daten von Lernenden werden nur zweckgebunden erhoben, sicher gespeichert und nicht ohne Rechtsgrundlage weitergegeben. Diese Anforderungen gelten für alle Unternehmen, Hochschulen und Organisationen, die E-Learning-Lösungen in der EU einsetzen. Die folgenden Abschnitte beantworten die wichtigsten Fragen rund um DSGVO E-Learning und zeigen, worauf Sie bei der Wahl einer datenschutzkonformen Lernplattform achten sollten.

Welche Anforderungen stellt die DSGVO an E-Learning-Plattformen?

Die DSGVO verpflichtet E-Learning-Plattformen dazu, personenbezogene Daten wie Namen, E-Mail-Adressen, Lernfortschritte und Testergebnisse nur mit einer klaren Rechtsgrundlage zu verarbeiten, transparent darüber zu informieren und technische sowie organisatorische Schutzmaßnahmen zu treffen. Ohne diese Grundlage ist der Betrieb einer DSGVO Lernplattform in der EU nicht rechtmäßig.

Konkret bedeutet das für Betreiber von Lernmanagementsystemen:

  • Datenminimierung: Es werden nur die Daten erhoben, die für den Lernbetrieb tatsächlich notwendig sind.
  • Zweckbindung: Erhobene Daten dürfen nicht für andere Zwecke genutzt werden, als ursprünglich angegeben.
  • Transparenz: Lernende müssen über Art, Umfang und Zweck der Datenverarbeitung informiert werden.
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung und Datenübertragbarkeit müssen technisch umsetzbar sein.
  • Auftragsverarbeitungsvertrag (AVV): Wird ein externer Anbieter genutzt, ist ein AVV gesetzlich vorgeschrieben.
  • Technische Schutzmaßnahmen: Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsprüfungen sind Pflicht.

Wo müssen E-Learning-Daten gespeichert werden, um DSGVO-konform zu sein?

Für datenschutzkonformes E-Learning müssen Daten entweder innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) gespeichert werden. Eine Speicherung in Drittstaaten wie den USA ist nur zulässig, wenn geeignete Garantien wie Standardvertragsklauseln vorliegen, was in der Praxis mit erheblichem Aufwand und rechtlichen Risiken verbunden ist.

Der sicherste Weg ist deshalb das Hosting auf Servern in Deutschland oder einem anderen EU-Land. Deutsche Server bieten den Vorteil, dass sowohl das Bundesdatenschutzgesetz als auch die DSGVO direkt greifen. Besonders für Unternehmen, die sensible Schulungsinhalte oder Mitarbeiterdaten verarbeiten, ist ein Standort in Deutschland die empfohlene Wahl. Cloudanbieter mit Serverstandorten in den USA, selbst wenn sie eine EU-Region anbieten, können durch US-amerikanische Gesetze wie den CLOUD Act zur Herausgabe von Daten verpflichtet werden, was die Datenschutzkonformität gefährdet.

Was ist der Unterschied zwischen DSGVO-konformem und nicht-konformem E-Learning?

Der zentrale Unterschied liegt darin, ob personenbezogene Daten von Lernenden rechtmäßig, transparent und sicher verarbeitet werden. Ein DSGVO-konformes E-Learning-Datenschutz-Konzept stellt sicher, dass Betroffenenrechte gewahrt, Daten nicht in unsichere Drittstaaten übertragen und alle Verarbeitungsvorgänge dokumentiert sind. Nicht-konforme Systeme tun dies nicht oder nur teilweise.

Merkmale DSGVO-konformer Lösungen

Datenschutzkonforme Plattformen speichern Daten in der EU, bieten einen unterzeichneten AVV, informieren Nutzer transparent über die Datenverarbeitung und ermöglichen die Umsetzung von Betroffenenrechten direkt über die Plattform. Offene Systeme wie Moodle, die auf eigenen Servern betrieben werden, bieten hier besonders hohe Kontrolle.

Merkmale nicht-konformer Lösungen

Nicht-konforme Lösungen sind häufig US-amerikanische SaaS-Plattformen ohne EU-Serverstandort, ohne AVV oder mit intransparenten Datenweitergaben an Drittanbieter für Analyse und Werbung. Tracking-Tools, die ohne Einwilligung Nutzerverhalten aufzeichnen, sind ein typisches Beispiel für datenschutzrechtlich problematische Praktiken im E-Learning.

Welche E-Learning-Tools sind DSGVO-konform einsetzbar?

DSGVO-konform einsetzbar sind E-Learning-Tools, die auf EU-Servern betrieben werden, einen AVV anbieten, keine Daten an Dritte ohne Rechtsgrundlage weitergeben und die Betroffenenrechte technisch unterstützen. Besonders geeignet sind Open-Source-Lösungen, die auf eigenen oder dedizierten Servern gehostet werden.

Zu den datenschutzfreundlichen Optionen gehören:

  • Moodle: Das weltweit meistgenutzte Open-Source-LMS kann auf eigenen Servern in Deutschland betrieben werden und bietet volle Datenkontrolle.
  • BigBlueButton: Eine Open-Source-Webkonferenzlösung, die ohne Datenweitergabe an US-Anbieter betrieben werden kann und sich für vertrauliche Online-Trainings eignet.
  • SCORM- und xAPI-konforme Autorentools: Inhalte, die lokal erstellt und auf einer eigenen Plattform gehostet werden, bleiben unter vollständiger Kontrolle des Betreibers.

Weniger geeignet ohne zusätzliche Maßnahmen sind Tools wie Zoom, Google Classroom oder Microsoft Teams, wenn Daten automatisch in US-amerikanische Rechenzentren übertragen werden. Hier ist eine sorgfältige Prüfung der Datenschutzfolgenabschätzung notwendig. Weitere Informationen zu passenden Anwendungsfällen für datenschutzkonforme E-Learning-Lösungen helfen bei der Entscheidung.

Was passiert, wenn E-Learning nicht DSGVO-konform ist?

Bei Verstößen gegen die DSGVO im E-Learning drohen empfindliche Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Hinzu kommen Reputationsschäden, mögliche Abmahnungen und das Risiko, dass Aufsichtsbehörden den Betrieb der Plattform untersagen.

Besonders kritisch sind Verstöße in folgenden Bereichen:

  • Datentransfers in Drittstaaten ohne angemessene Schutzmaßnahmen
  • Fehlender oder unvollständiger AVV mit dem Plattformanbieter
  • Unzureichende Information der Lernenden über die Datenverarbeitung
  • Keine Möglichkeit zur Umsetzung von Lösch- oder Auskunftsanfragen

Neben den rechtlichen Konsequenzen leidet auch das Vertrauen der Mitarbeitenden oder Kunden, wenn bekannt wird, dass ihre Lerndaten nicht sicher behandelt werden. Gerade in sensiblen Bereichen wie Compliance-Trainings oder Gesundheitsschulungen ist das ein erhebliches Risiko.

Wie lässt sich eine bestehende E-Learning-Umgebung DSGVO-konform gestalten?

Eine bestehende E-Learning-Umgebung wird DSGVO-konform, indem Sie zunächst eine Bestandsaufnahme aller verarbeiteten Daten und genutzten Tools durchführen, dann rechtliche Grundlagen schaffen und technische Schutzmaßnahmen implementieren. Dieser Prozess lässt sich in klar strukturierten Schritten umsetzen.

  1. Datenflüsse analysieren: Welche Daten werden erhoben, wo gespeichert und an wen weitergegeben?
  2. Rechtsgrundlagen prüfen: Für jede Verarbeitung muss eine DSGVO-Grundlage vorliegen, etwa eine Einwilligung oder ein berechtigtes Interesse.
  3. AVV abschließen: Mit jedem Dienstleister, der Zugang zu personenbezogenen Daten hat, muss ein Auftragsverarbeitungsvertrag geschlossen werden.
  4. Serverstandort prüfen: Wenn Daten außerhalb der EU gespeichert werden, sollte ein Wechsel zu einem EU-basierten Hosting geprüft werden.
  5. Datenschutzerklärung aktualisieren: Die Datenschutzhinweise auf der Lernplattform müssen vollständig und verständlich sein.
  6. Technische Maßnahmen umsetzen: Verschlüsselung, Zugriffsrechte, regelmäßige Backups und Löschkonzepte einführen.
  7. Mitarbeitende schulen: Alle, die die Plattform administrieren, sollten über datenschutzrechtliche Pflichten informiert sein.

Wer eine Migration oder einen Neuaufbau plant, sollte dabei auf Lösungen setzen, die von Anfang an auf Datenschutz ausgelegt sind. Informationen zu professionellem Support bei der Einrichtung datenschutzkonformer Systeme können den Einstieg deutlich erleichtern.

Wie lern.link DSGVO-konformes E-Learning umsetzt

Wir bei lern.link haben DSGVO-konformes E-Learning von Grund auf in unser Angebot integriert. Als Moodle Premium Certified Partner betreiben wir alle Lernplattformen ausschließlich auf Servern in Deutschland und schließen mit jedem Kunden einen Auftragsverarbeitungsvertrag ab. Das bedeutet für Sie: volle Datensouveränität ohne Kompromisse.

Konkret bieten wir Ihnen:

  • Hosting auf deutschen Servern mit AVV-Vertrag als Standard
  • Moodle-basierte DSGVO Lernplattformen mit vollständiger Datenkontrolle
  • Open-Source-Webkonferenzlösung (BigBlueButton) für vertrauliche Online-Trainings ohne US-Datentransfer
  • KI-Funktionen zur Inhaltserstellung und Übersetzung in bis zu 140 Sprachen, datenschutzkonform auf deutschen Servern betrieben
  • Individuelle Beratung und umfassende Services rund um Einrichtung, Betrieb und Datenschutz

Ob Sie eine neue Lernplattform aufbauen oder eine bestehende Umgebung datenschutzkonform gestalten möchten: Wir begleiten Sie von der ersten Analyse bis zum laufenden Betrieb. Lernen Sie uns kennen und sprechen Sie uns an, um gemeinsam die passende Lösung für Ihr Unternehmen zu finden.

lern.link Newsletter

Holen Sie sich Ihren Wissensvorsprung!

Tipps und Tricks rund um unsere Produkte & Updates.
Ankündigungen zu unseren spannenden Webinaren und Trainings! Jetzt den lern.link-Newsletter abonnieren.

Mehr Wissen – besseres E-Learning

zum Newsletter anmelden