Tel. 08152 909090
team@lernlink.de
lern.link-Newsletter
iSpring Training
iSpring Trainings

iSpring Suite schnell und einfach lernen

Selbstlernkurse

Kursen für Trainer und Admins


Academy

Live Webinare


Learntec Rallye
Moodle Partner – Rallye 2026

Besuchen Sie ausgewählte Partnerstände, sammeln Sie Unterschriften und sichern Sie sich schon ab 3 Stationen Ihren Sofortpreis. Alle ausgefüllten Rallye-Karten nehmen zusätzlich an unserer Verlosung teil.

Weiterlesen »
Alle News
Wir sind für Sie da
Wissen teilen
Über uns
Unsere Leistungen

Wie speichern DSGVO-konforme LMS Nutzerdaten?

Guido Hornig ·
Serverrack in deutschem Rechenzentrum mit leuchtendem Vorhängeschloss, ordentlichem Kabelmanagement und stahlblauer Industriebeleuchtung.

Ein DSGVO-konformes LMS speichert Nutzerdaten ausschließlich auf Basis einer Rechtsgrundlage, verarbeitet sie zweckgebunden und schützt sie durch technische sowie organisatorische Maßnahmen. Für Unternehmen in Deutschland und der EU bedeutet das konkret: Lernplattformen müssen transparent dokumentieren, welche Daten sie erheben, wie lange sie gespeichert werden und wer Zugriff hat. Die folgenden Fragen beleuchten die wichtigsten Aspekte rund um Datenschutz und Datenspeicherung im Lernmanagementsystem.

Welche Nutzerdaten erfasst ein LMS überhaupt?

Ein Lernmanagementsystem erfasst typischerweise personenbezogene Stammdaten wie Name und E-Mail-Adresse sowie Lerndaten wie Kursfortschritte, Testergebnisse, Anmeldezeiten und Zertifikate. Darüber hinaus können technische Daten wie IP-Adressen, Browser-Informationen und Sitzungsdaten anfallen, sofern diese für den Betrieb der Plattform erforderlich sind.

Die genaue Datenmenge hängt davon ab, wie das Lernmanagementsystem konfiguriert ist und welche Funktionen genutzt werden. Ein LMS, das Videokonferenzen integriert, erhebt andere Daten als eine reine Kursplattform. Wichtig ist: Jede Datenkategorie braucht eine klare Rechtsgrundlage nach Art. 6 DSGVO, also entweder eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Werden Daten ohne Rechtsgrundlage gespeichert, verstößt das gegen die DSGVO, unabhängig davon, wo die Server stehen.

Zu den häufigsten Datenkategorien in einem LMS gehören:

  • Stammdaten: Name, E-Mail-Adresse, Abteilung, Funktion
  • Lerndaten: abgeschlossene Kurse, Testergebnisse, Lernzeiten, Zertifikate
  • Nutzungsverhalten: Login-Zeitpunkte, besuchte Seiten, Klickpfade
  • Technische Daten: IP-Adresse, Browser-Typ, Geräteinformationen
  • Kommunikationsdaten: Nachrichten in Foren oder Chats, sofern vorhanden

Wie werden Nutzerdaten in einem DSGVO-konformen LMS gespeichert?

In einem DSGVO-konformen LMS werden Nutzerdaten verschlüsselt, zugriffsgeschützt und auf Basis dokumentierter technischer und organisatorischer Maßnahmen (TOMs) gespeichert. Die Datenhaltung erfolgt zweckgebunden, das heißt, es werden nur die Daten gespeichert, die für den Betrieb des Systems tatsächlich notwendig sind.

Konkret bedeutet das in der Praxis:

  • Verschlüsselung: Daten werden sowohl bei der Übertragung (Transport Layer Security) als auch im Ruhezustand verschlüsselt gespeichert.
  • Zugriffskontrolle: Nur berechtigte Personen haben Zugriff auf personenbezogene Daten. Rollenkonzepte stellen sicher, dass Trainer nur die Daten ihrer eigenen Lerngruppe sehen.
  • Datensparsamkeit: Es werden nur die Daten erhoben, die für den jeweiligen Zweck wirklich erforderlich sind.
  • Dokumentation: Alle Verarbeitungstätigkeiten sind im Verzeichnis nach Art. 30 DSGVO festgehalten.
  • Auftragsverarbeitungsvertrag (AVV): Zwischen dem Unternehmen und dem LMS-Anbieter muss ein AVV nach Art. 28 DSGVO abgeschlossen sein.

Besonders der AVV ist ein häufig unterschätztes Element. Ohne diesen Vertrag ist selbst eine technisch sichere Lösung datenschutzrechtlich angreifbar.

Wo müssen die Server eines DSGVO-konformen LMS stehen?

Die DSGVO schreibt keinen bestimmten Serverstandort vor, verbietet jedoch die Übermittlung personenbezogener Daten in Länder außerhalb der EU und des EWR, es sei denn, es bestehen geeignete Garantien wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss. In der Praxis bedeutet das: Server in Deutschland oder der EU sind die sicherste und rechtlich unkomplizierteste Wahl.

Serverstandorte in den USA oder anderen Drittstaaten sind problematisch, weil dort andere Datenschutzgesetze gelten. US-amerikanische Behörden können unter bestimmten Umständen auf Daten zugreifen, die auf US-Servern oder bei US-Unternehmen liegen, auch wenn diese physisch in Europa stehen. Dieses Risiko entfällt bei Anbietern, die ausschließlich auf europäischer Infrastruktur ohne US-Konzernmutter operieren.

Für Unternehmen, die besonders sensible Schulungsinhalte oder Mitarbeiterdaten verarbeiten, empfiehlt sich ein Anbieter mit Serverstandort in Deutschland. Das bietet nicht nur rechtliche Sicherheit, sondern auch eine höhere Akzeptanz bei Betriebsräten und Datenschutzbeauftragten.

Wie lange darf ein LMS Nutzerdaten speichern?

Ein LMS darf Nutzerdaten nur so lange speichern, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Sobald der Zweck entfällt, zum Beispiel wenn ein Mitarbeiter das Unternehmen verlässt oder ein Kurs abgeschlossen ist, müssen die Daten gelöscht oder anonymisiert werden.

Die konkrete Speicherdauer hängt vom Verwendungszweck ab:

  • Zertifikate und Nachweise: Häufig gibt es gesetzliche oder branchenspezifische Aufbewahrungspflichten, etwa im Bereich Arbeitssicherheit oder Compliance. Hier können Speicherfristen von mehreren Jahren gerechtfertigt sein.
  • Lernfortschritte aktiver Nutzer: Solange das Beschäftigungsverhältnis besteht und der Kurs relevant ist.
  • Technische Logs: In der Regel deutlich kürzer, oft 30 bis 90 Tage, sofern keine besonderen Gründe vorliegen.
  • Daten inaktiver Nutzer: Sollten nach einem definierten Zeitraum automatisch gelöscht werden.

Ein DSGVO-konformes LMS sollte automatische Löschroutinen unterstützen, damit Fristen nicht manuell überwacht werden müssen. Das ist nicht nur datenschutzrechtlich sinnvoll, sondern reduziert auch den administrativen Aufwand erheblich.

Was sind die Rechte der Lernenden gegenüber dem LMS-Betreiber?

Lernende haben gegenüber dem LMS-Betreiber dieselben Betroffenenrechte wie gegenüber jedem anderen Datenverarbeiter: das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Diese Rechte sind in den Art. 15 bis 21 DSGVO verankert und müssen innerhalb eines Monats erfüllt werden.

In der Praxis bedeutet das für den LMS-Betrieb:

  • Auskunftsrecht (Art. 15): Lernende können jederzeit erfragen, welche Daten über sie gespeichert sind.
  • Recht auf Löschung (Art. 17): Daten müssen auf Anfrage gelöscht werden, sofern keine Aufbewahrungspflicht entgegensteht.
  • Datenübertragbarkeit (Art. 20): Lernende können verlangen, ihre Daten in einem maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21): Basiert die Verarbeitung auf berechtigtem Interesse, können Betroffene widersprechen.

Unternehmen, die ein LMS betreiben, sollten interne Prozesse definieren, um diese Anfragen fristgerecht bearbeiten zu können. Idealerweise unterstützt das LMS selbst entsprechende Funktionen, etwa ein Nutzerportal, über das Betroffene ihre Daten einsehen oder einen Löschantrag stellen können.

Woran erkennt man ein wirklich DSGVO-konformes LMS?

Ein wirklich DSGVO-konformes LMS erkennt man an der Kombination aus Serverstandort in der EU, einem abgeschlossenen Auftragsverarbeitungsvertrag, transparenter Datenschutzdokumentation und technischen Funktionen zur Umsetzung von Betroffenenrechten. Werbliche Aussagen allein reichen nicht aus, entscheidend ist die nachweisbare Umsetzung.

Folgende Merkmale helfen bei der Einschätzung:

  • AVV vorhanden: Der Anbieter stellt einen vollständigen Auftragsverarbeitungsvertrag bereit.
  • Serverstandort dokumentiert: Der Anbieter benennt klar, wo Daten gespeichert werden und ob Subauftragnehmer in Drittstaaten eingesetzt werden.
  • Datenschutzfunktionen im System: Das LMS unterstützt Löschroutinen, Rollenverwaltung und Exportfunktionen für Betroffenenanfragen.
  • Transparente Datenschutzerklärung: Die Datenschutzerklärung ist aktuell, vollständig und verständlich formuliert.
  • Keine Weitergabe an Dritte zu Werbezwecken: Nutzerdaten werden nicht für Profiling oder Werbung genutzt.
  • Regelmäßige Sicherheitsupdates: Der Anbieter hält die Software aktuell und kommuniziert Sicherheitsvorfälle transparent.

Gerade bei Open-Source-Systemen wie Moodle kommt es stark auf den Hosting-Partner an. Ein schlecht konfiguriertes oder veraltetes System kann trotz datenschutzfreundlicher Software-Architektur erhebliche Risiken mit sich bringen. Die Anwendungsfälle eines LMS sind vielfältig, doch in jedem Fall gilt: Datenschutz ist keine einmalige Einrichtung, sondern ein fortlaufender Prozess.

So unterstützt lern.link Sie bei einem DSGVO-konformen LMS-Betrieb

Wir bei lern.link haben Datenschutz von Anfang an als zentrales Element unserer Arbeit verstanden. Als Moodle Premium Certified Partner betreiben wir Ihre Lernplattform ausschließlich auf Servern in Deutschland und stellen Ihnen einen vollständigen Auftragsverarbeitungsvertrag bereit. Damit erfüllen Sie die grundlegenden DSGVO-Anforderungen ohne zusätzlichen Aufwand.

Konkret bieten wir Ihnen:

  • Hosting in Deutschland: Alle Daten bleiben auf deutschen Servern, kein Transfer in Drittstaaten.
  • AVV-Vertrag inklusive: Der Auftragsverarbeitungsvertrag ist fester Bestandteil unserer Servicevereinbarung.
  • DSGVO-konforme KI-Funktionen: Automatische Inhaltserstellung, Textanalyse und Übersetzungen in bis zu 140 Sprachen, datenschutzkonform auf deutschen Servern verarbeitet.
  • Individuelle Konfiguration: Wir richten Rollen, Löschroutinen und Zugriffsrechte so ein, dass Ihre Plattform von Anfang an datenschutzkonform betrieben wird.
  • Langfristiger Support: Unser Team steht Ihnen bei Fragen zu Datenschutz, Updates und technischen Anpassungen zur Seite.

Wenn Sie wissen möchten, wie ein DSGVO-konformes Lernmanagementsystem für Ihr Unternehmen aussehen kann, sprechen Sie uns gerne an. Wir beraten Sie unverbindlich und zeigen Ihnen, welche Lösung zu Ihren Anforderungen passt. Einen ersten Überblick über unsere Leistungen finden Sie auf unserer Service-Seite.

lern.link Newsletter

Holen Sie sich Ihren Wissensvorsprung!

Tipps und Tricks rund um unsere Produkte & Updates.
Ankündigungen zu unseren spannenden Webinaren und Trainings! Jetzt den lern.link-Newsletter abonnieren.

Mehr Wissen – besseres E-Learning

zum Newsletter anmelden