Am 16.7.2020 hat der Europäische Gerichtshof das sog. “Privacy Shield” Abkommen zwischen der EU und den USA gekippt. Damit ist eine Auslagerung der Speicherung von persönlichen Daten in die USA nicht mehr ohne weiteres zulässig. Welche Auswirkungen hat das Urteil nun für die Datenspeicherung im e-learning und vor allem für den Einsatz von in den USA ansässigen Anbietern von e-earning Software wie LMS oder anderen in der Bildung eingesetzten Software Systemen?
Die Entscheidung basiert auf einem mehr als mehrjährigen Rechtsstreit zwischen der Datenschutzinitiative von Max Schrems und der irischen Datenschutzbehörde. Hintergrund ist, dass gemäß der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten lediglich dann an ein Drittland außerhalb der EU übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dies sei aber nach Auffassung des EuGH nicht gegeben, wenn und soweit die datenverarbeitenden Unternehmen in den USA Verpflichtungen im Rahmen einschlägiger US-Überwachungsgesetze wie FISA 702 unterliegen.
Und genau hier wird das Thema für die e-learning Branche und vor allem in den USA ansässige LMS Anbieter relevant. Denn im e-learning werden ohne Zweifel persönliche Daten verarbeitet, wie z.B. die E-Mail Adresse der Teilnehmer aber auch alle Daten die den persönlichen Lernfortschritt. Im Bereich Corporate Learning ist dies besonders kritisch, da Mitarbeiterdaten in die USA ausgelagert werden, wenn ein Unternehmen ein LMS einsetzt und die Daten der Mitarbeiter dann in den USA gespeichert werden. Die Qualität dieser Datenspeicherung im Kontext von LMS geht weit über die Qualität von Webkonferenzen wie Zoom hinaus. Auch hier bestehen ja bekanntlich Zweifel.
+++ UPDATE: Hören Sie hierzu auch das Podcast mit RA Carsten Ulbricht mit konkreten Hinweisen auf die Handlungsoptionen +++
Allerdings ist nicht jede Datenverarbeitung in den USA nun unzulässig. Zunächst ist die notwendige Übermittlung von Daten gem. Artikel 49 DSGVO weiterhin zulässig. Dies sind z.B. die Buchung von Flügen in die USA oder den Versand einer E-Mail an einen Nutzer in den USA. Hier ist erkennbar, dass diese Ausnahmerlaubnis für LMS und e-learning Systeme nicht greift, es sei denn ein EU Unternehmen möchte in den USA tätige Mitarbeiter schulen. Die Schulung von Mitarbeitern in einem EU Land ist nicht von Art. 49 DSGVO erfasst und legitimiert.
Unklarer dagegen ist, ob und in welchem Umfang e-learning Systeme unter die Überwachungsmöglichkeiten in den USA fallen. Denn nur wenn die datenverarbeitenden US Unternehmen Verpflichtungen im Rahmen einschlägiger US-Überwachungsgesetze wie FISA 702 unterliegen ist eine Auslagerung der Datenverarbeitung auf diese Unternehmen nach EU Recht unzulässig. Zwar beziehen sich die US-Überwachungsgesetze wie FISA 702 primär auf Kommunikationsdienste (E-Mail, Messaging, Social Media), aber auch LMS und e-learning Software können im Einzelfall betroffen sein. Und zwar nicht nur dann, wenn ein LMS eine Kommunikationskomponente wie E-Mail beinhaltet, sondern auch wenn das LMS oder die e-learning Software die Daten für die Datenspeicherung eine Cloud Lösung nutzt mit Speichertort USA. Das klageführende Institut NOYB von Max Schrems vertritt die Meinung, dass “die meisten US-Anbieter von Cloud-Diensten als „Anbieter elektronischer Kommunikationsdienste“ zu qualifizieren sind und daher unter die einschlägigen US-Überwachungsgesetze wie FISA 702 fallen“.
Was bedeutet das Urteil nun für Unternehmen in Deutschland bzw. der EU?
Im Bereich Corporate Learning ist die Situation besonders kritisch, da Unternehmen hier eine Pflicht zur DSGVO konformen Verarbeitung von Mitarbeiterdaten trifft. Unternehmen die LMS oder andere e-learning Software aus den USA einsetzen, müssen nun überprüfen ob ihre Verarbeitung personenbezogener Daten an US-Verarbeiter ausgelagert werden und hierfür eine gültige Rechtsgrundlage besteht (z.B. Ausnahmeregelungen in einer nach EU Recht wirksamen SCC, Privacy Shield oder BCR).
Für Bildungsanbieter ist die rechtliche Lage analog zu beurteilen. Ein Bildungsanbieter muss überprüfen, ob Kundendaten über eine US Software in den USA verarbeitet werden müssen und dürfen.
In keinem Fall bedeutet das Urteil aber, dass nun jeglicher Einsatz von e-learning Software wie einem LMS per sofort nicht mehr zulässig ist und sofort Bußgelder drohen. Aber Unternehmen oder Bildungsanbieter die aktuell nach einer e-learning Software oder einem LMS suchen, sollten genau prüfen, ob die Datenverarbeitung mit europäischen Datenschutz vereinbar ist.
Dies Prüfungspflicht betrifft natürlich auch Unternehmen und Bildungsanbieter, die aktuell mit einer e-learning Software arbeiten und die Daten der Nutzer in den USA verarbeitet werden. In jedem Fall sollten Unternehmen und Bildungsanbieter nun den Softwareanbieter kontaktieren und diese zur Auskunft auffordern, ob die Datenübermittlungen und die Datenspeicherung von dem Urteil des EuGH betroffen ist. Eine hilfreiche Checkliste gibt RA Ulbricht mit Handlungsempfehlungen.