GDPR Q&A - Online LMS Platform - TalentLMS

DSGVO

DSGVO

Unser Einsatz für Sie und den Schutz Ihrer Daten

TalentLMS hat die ethische, rechtliche und professionelle Verpflichtung, sicherzustellen, dass die von uns gespeicherten Daten den Grundsätzen der Vertraulichkeit, Richtigkeit, Sicherheit und Verfügbarkeit entsprechen. Anders ausgedrückt: Die Daten, für die wir verantwortlich sind, werden – wo nötig – vor unsachgemäßer Offenlegung geschützt, sind ferner korrekt, aktuell sowie zurückführbar und stehen den jeweils zugriffsberechtigten Personen zur Verfügung. TalentLMS richtet sich nach geltendem nationalen Recht sowie internationalen Vorschriften im Bereich Datenschutz und Sicherheit. Wir haben intern erfolgreich ein Compliance-Programm für die DSGVO absolviert, sodass wir der neuen Verordnung bereits vor ihrem Inkrafttreten (25. Mai 2018) vollständig Rechnung tragen.

Wir haben einen kleinen Bereich mit Fragen und Antworten zur DSGVO eingerichtet, um Sie auf Ihrem Weg zur Erfüllung der Verordnung zu unterstützen. Dazu geben wir Ihnen einen Überblick über die Verordnung, besprechen deren wichtigste Auswirkungen und helfen Ihnen bei der Vermeidung einiger häufiger Stolperfallen und Irrtümer im Zusammenhang mit der DSGVO.

Neben der Stärkung und Standardisierung des Schutzes von Benutzerdaten in den EU-Staaten erlegt die DSGVO allen Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, neue oder zusätzliche Verpflichtungen auf – unabhängig vom eigentlichen Standort der jeweiligen Organisationen. Auf dieser Seite erläutern wir die Methoden und Instrumente, die sowohl uns selbst als auch unseren Kunden zur Erfüllung der DSGVO dienen werden.

Vorbereitung auf die DSGVO

Die neuen Anforderungen der DSGVO sind erheblich. Unser Team hat daher hart gearbeitet, um sicherzustellen, dass sie von TalentLMS bis zum 25. Mai 2018 in vollem Umfang erfüllt werden. Hierzu wurden unter anderem folgende Maßnahmen getroffen:

  • Wir investieren weiterhin in unsere Sicherheitsinfrastruktur sowie in technische und organisatorische Maßnahmen, damit das vorhandene Sicherheitsniveau dem Risiko entspricht. Dies umfasst unter anderem diejenigen Funktionen des Dienstes, die auf unserer Sicherheitsseite und in der Wissensdatenbank aufgeführt sind.
  • Wir sorgen dafür, dass geeignete Vertragsbedingungen gelten. Wir stellen sicher, dass wir internationale Datenübertragungen leisten können, indem wir unsere Selbstzertifizierungen im Rahmen von Privacy Shield aufrechterhalten und einen aktualisierten, DSGVO-konformen Zusatz zur Datenverarbeitung (Data Processing Addendum, DPA) bereitstellen. Wir gewährleisten ferner, dass von TalentLMS genutzte Drittanbieterdienste, die als Anlage 3 in unserem Zusatz zur Datenverarbeitung genannt sind, vollständig den Datenschutz- und Sicherheitsanforderungen der TalentLMS-Kunden entsprechen, wie in ihren Programmen für DSGVO-Compliance, ihren Zertifizierungen im Rahmen von Privacy Shield sowie ihren beidseitig gemeinsam mit uns unterzeichneten Zusätzen zur Datenverarbeitung aufgeführt.
  • Wir gewährleisten, dass die Verträge derjenigen unserer Mitarbeiter, die in die Verarbeitung personenbezogener Daten eingebunden sind, Vertraulichkeitsbestimmungen enthalten.
  • Wir stellen sicher, dass die Datenschutzmitarbeiter von TalentLMS unter der E-Mail-Adresse privacy at talentlms dot com leicht erreichbar sind, sodass die Benutzer Fragen stellen, Beschwerden vortragen oder ihre Rechte wahrnehmen können.
  • Wir verbessern unsere Richtlinien, Kontrollen und Produktangebote einschließlich neuer Tools/Produktfunktionen für Datenübertragbarkeit und -management, um unsere Kunden bei der Umsetzung der Rechte betroffener Personen zu unterstützen.
  • Wir stellen über die Datenschutzrichtlinie, die Nutzungsbedingungen und das DPA hinreichende Informationen über den TalentLMS-Dienst bereit.
  • Für den äußerst unwahrscheinlichen Fall einer Verletzung der Datensicherheit gelten eine Richtlinie und ein Plan, um die Kontrollbehörden und die betroffenen Personen innerhalb von 72 Stunden zu benachrichtigen.

Wir verfolgen zudem kontinuierlich die Handlungsempfehlungen, die in Bezug auf DSGVO-Konformität von den für Datenschutz zuständigen Regulierungsbehörden sowie in Verhaltenskodizes herausgegeben werden. Vor Kurzem haben wir uns dem EU Cloud Code of Conduct angeschlossen– einem EU-Verhaltenskodex für Datenschutz bei Anbietern von Cloud-Diensten, der strenge Zusagen zum Schutz von Daten in Cloud-Diensten beinhaltet.

Unsere Sicherheitsinfrastruktur

Es ist uns äußerst wichtig, die Daten unserer Kunden sowie die Privatsphäre ihrer Benutzer zu schützen. Als cloudbasiertes Unternehmen, dem unsere Kunden einige ihrer wertvollsten Daten anvertrauen, haben wir hohe Sicherheitsstandards festgelegt. Unsere Cloud-Infrastruktur setzt auf Rackspace-Server und Speicher von Amazon S3 mit AES-256-Verschlüsselung. Sowohl Rackspace als auch Amazon sind aktive Teilnehmer des Privacy-Shield-Programms und branchenweit führende Cloud-Anbieter mit umfangreichen Zertifizierungen für Datenschutz und Sicherheit, die zudem DSGVO-konforme DPAs anbieten. Sämtliche Kommunikation mit TalentLMS ist durch eine äußerst sichere Version von SSL/TLS mit starken Verschlüsselungsverfahren gesichert, wodurch wir die bestmögliche Sicherheitsbewertung „A+“ erhalten.

Darüber hinaus haben wir in den Aufbau eines starken Teams für Datenschutz und Sicherheit sowie in die Einhaltung der vom NIST herausgegebenen Empfehlungen investiert. Gegenwärtig verbessern wir unsere Werkzeuge, um Software-Schwachstellen vor der Veröffentlichung zu erkennen, evaluieren unsere Software und Implementierungen, führen ein Bug-Bounty-Programm durch, kontrollieren unsere Infrastruktur, schützen Kundendaten und stellen Notfallwiederherstellung, Betriebskontinuität sowie hohe Verfügbarkeit sicher. In Einklang mit den Anforderungen der DSGVO bezüglich Benachrichtigungen über sicherheitsrelevante Vorfälle wird TalentLMS seine Verpflichtungen weiterhin erfüllen und vertragliche Garantien anbieten.

Infrastruktur, schützen Kundendaten und stellen Notfallwiederherstellung, Betriebskontinuität sowie hohe Verfügbarkeit sicher. In Einklang mit den Anforderungen der DSGVO bezüglich Benachrichtigungen über sicherheitsrelevante Vorfälle wird TalentLMS seine Verpflichtungen weiterhin erfüllen und vertragliche Garantien anbieten.

Bitte besuchen Sie unsere Datenschutzrichtlinie und unsere Nutzungsbedingungen sowie unsere Sicherheitsseite, wenn Sie mehr über unsere Richtlinien, Arbeitsweisen und Funktionen im Bereich Datenschutz und Sicherheit erfahren möchten.

Internationale Datenübertragungen: Privacy Shield und Vertragsbedingungen

Um den EU-Datenschutzgesetzen mit Blick auf Mechanismen zur internationalen Datenübertragung zu entsprechen, nehmen wir bereits am transatlantischen Programm Privacy Shield teil, mit dem gewährleistet wird, dass Daten von EU-Kunden auf US-amerikanischen Servern ordnungsgemäß gehandhabt werden. Unseren Eintrag für TalentLMS finden Sie hier.

TalentLMS wird zu keinem Zeitpunkt Unteraufträge an Verarbeiter vergeben, die Einrichtungen oder womöglich Verarbeitungsaktivitäten in Ländern betreiben, die nicht in der Liste derjenigen Länder enthalten sind, für die die Europäische Kommission einen angemessenen Schutz personenbezogener Daten ausdrücklich bestätigt hat.

Unterstützung der erweiterten Rechte von TalentLMS-Kunden als betroffene Personen

Die Rechte unserer TalentLMS-Kunden als betroffene Personen sind uns wichtig. Wir verpflichten uns zur Unterstützung der neuen, durch die DSGVO erweiterten Rechte betroffener Personen für alle TalentLMS-Kunden unabhängig von deren Standort oder Nationalität – im vorletzten Abschnitt dieser Seite erläutern wir außerdem, wie TalentLMS seinen Kunden hilft, die erweiterten Rechte der Endbenutzer ihrer Domains zu unterstützen.

Auskunftsrecht: Unsere Datenschutzrichtlinie beschreibt, welche Daten wir erfassen und wie wir sie verwenden. Falls Sie konkrete Fragen zu bestimmten Daten haben, können Sie sich jederzeit unter privacy at talentlms dot com an uns wenden, um benötigte Erklärungen oder Daten zu erhalten. Die Informationen werden kostenfrei und unverzüglich bereitgestellt – üblicherweise deutlich schneller, als es die in der DSGVO enthaltene Frist von einem Monat ab Eingang der entsprechenden Anfrage vorsieht.

Recht auf Berichtigung: Sie können jederzeit über Ihr Profil auf die TalentLMS-Kontoeinstellungen zugreifen und sie aktualisieren, um Ihre Kontoangaben zu korrigieren oder zu vervollständigen. Wählen Sie dazu im Kontomenü oben in der TalentLMS-Oberfläche den Punkt „Meine Angaben“ aus. Sie können zudem jederzeit Kontakt mit TalentLMS aufnehmen, sofern Sie Unterstützung benötigen, um auf Daten, die wir von Ihnen gespeichert haben, zuzugreifen, sie zu berichtigen, zu ergänzen oder zu löschen, wie in unserer Datenschutzrichtlinie erläutert.

Recht auf Löschung: Sie können Ihr TalentLMS-Konto jederzeit schließen. In diesem Fall werden wir Ihr Konto und alle damit verknüpften Daten entsprechend der Datenspeicherungsrichtlinie von TalentLMS dauerhaft löschen. Insbesondere wird durch die Schließung Ihres Administratorkontos die Domain inaktiviert; alle Kontodaten werden nach einer Kontolöschung 12 Monate lang aufbewahrt, um zu gewährleisten, dass eine etwaige erneute Inanspruchnahme des Dienstes so reibungslos wie möglich erfolgen kann. Domains, die 12 Monate oder länger inaktiv sind, werden vom System gelöscht. Sie können sich außerdem unter privacy at talentlms dot com an uns wenden, wenn Sie möchten, dass Ihre Daten sofort zusammen mit Ihrem Konto gelöscht werden. Wir werden Ihr Konto und alle damit verknüpften Daten dann binnen maximal dreißig Tagen dauerhaft löschen.

Einschränkung der Verarbeitung: TalentLMS unterstützt das Recht, die Einschränkung der Verarbeitung anzufordern. Hierzu kann der Administrator jeden beliebigen Nutzer inaktivieren. Dieser Vorgang kann auch für große Benutzergruppen ausgeführt werden, indem nach Auswahl der entsprechenden Benutzer die Massenaktion „Aktivieren/inaktivieren“ aufgerufen wird.

Widerspruchsrecht: Wenn Sie den E-Mail-Benachrichtigungen von TalentLMS widersprechen, können Sie sie für sich oder jeden anderen Endbenutzer Ihrer Domain deaktivieren, indem Sie diese Schritte befolgen. Sie können der Einbeziehung Ihrer Daten in unser Marketing widersprechen, indem Sie sich über die Fußzeile der Newsletter und Marketing-E-Mails, die Sie erhalten, von den Mailinglisten abmelden.

Recht auf Datenübertragbarkeit: Sie können Ihre Daten jederzeit über die Administrationskonsole der Anwendung exportieren; der Vorgang ist völlig unkompliziert und wird zudem hier erklärt. TalentLMS unterstützt in vollem Umfang das Recht, die Daten Ihrer Domain in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. So unterstützt TalentLMS von Haus aus den Export in mehrere Formate, darunter CSV, XLS und SCORM. Darüber hinaus exportieren wir die Daten Ihres Kontos auf Ihren Wunsch jederzeit gern an Dritte – senden Sie Ihre Anfrage hierzu einfach an privacy at talentlms dot com.

Unterstützung der erweiterten Rechte von TalentLMS-Endbenutzern als betroffene Personen

Wir sind uns vollständig bewusst, dass Kunden von TalentLMS unsere Unterstützung benötigen, um der DSGVO gerecht zu werden. Wir können mit Freude sagen, dass wir die genannten Tools und Funktionen entwickelt haben, um TalentLMS so zu verbessern, dass es die DSGVO mit Blick auf Unterstützung der durch sie gestärkten Rechte betroffener Personen für die Endbenutzer der von unseren Kunden angelegten und verwalteten TalentLMS-Domains vollständig erfüllt:

Auskunftsrecht: Die für jeden TalentLMS-Endbenutzer erfassten Daten werden in unserer Datenschutzrichtlinie beschrieben. Jeder Domainadministrator kann für die Endbenutzer seiner Domain benutzerdefinierte Felder festlegen und auf diese Weise zusätzliche Daten über die Endbenutzer erfassen. All diese Daten werden zudem auf der entsprechenden Benutzerprofilseite angezeigt, während die Aktivität der Endbenutzer im System auch über die erweiterte Zeitleiste des LMS abgerufen werden kann. Sofern Endbenutzer konkrete Fragen über bestimmte Daten haben, die der Domainadministrator nicht bereitstellen kann, können sie zusätzlich jederzeit unter privacy at talentlms dot com mit uns in Kontakt treten, um benötigte Erklärungen oder Daten zu erhalten. Die Informationen werden kostenfrei und unverzüglich bereitgestellt – üblicherweise deutlich schneller, als es die in der DSGVO enthaltene Frist von einem Monat ab Eingang der entsprechenden Anfrage vorsieht.

Recht auf Berichtigung: Endbenutzer können über das Profil auf ihr TalentLMS-Konto zugreifen und es aktualisieren, um ihre Kontoangaben zu korrigieren oder zu vervollständigen. Dazu müssen sie über die TalentLMS-Oberfläche im Kontomenü den Punkt „Meine Angaben“ auswählen. Endbenutzer können sich bei einem Problem zudem jederzeit direkt an ihren Domainadministrator oder auch an das Datenschutzteam von TalentLMS wenden, um auf personenbezogene Daten zuzugreifen, sie zu berichtigen, zu ergänzen oder zu löschen, wie in der Datenschutzrichtlinie von TalentLMS erläutert.

Recht auf Löschung: TalentLMS unterstützt eine komplexe Endbenutzerverwaltung, zu der auch die Inaktivierung oder dauerhafte Löschung eines Benutzers aus dem System gehört.

  • Das Verfahren zur dauerhaften Löschung eines einzelnen Benutzers, zum Beispiel auf Anfrage der betroffenen Person, wird hier beschrieben.
  • Ebenfalls möglich ist die Massenlöschung von Benutzern, die beispielsweise seit einer bestimmten Zeit inaktiv sind, sich in einem gewissen Zeitraum nicht angemeldet haben oder anhand vielfältiger von TalentLMS unterstützter Regeln ausgewählt werden können. Dieser regelbasierte Ansatz für das Recht auf Vergessenwerden bei großen Benutzermengen, in deren Zusammenhang manuelle Einzellöschungen mühsam wären, ist dem Administrator bereits möglich. Dazu erstellt er, wie hier beschrieben, einen benutzerdefinierten Bericht und führt dann eine Massenaktion aus, um die in der Liste enthaltenen Benutzer zu löschen.

Mit diesen beiden ergänzenden Funktionen von TalentLMS erhalten unsere Kunden die Möglichkeit zur vollständigen Erfüllung der DSGVO mit Blick auf das Recht der Endbenutzer ihrer Domains, in TalentLMS vergessen und gelöscht zu werden. Sofern der Domainadministrator die entsprechende Funktion für die Benutzer seiner Domain über die Option „Allgemein / Profil / Aktualisierung“ aktiviert, kann sich der Endbenutzer darüber hinaus mit der Option „Mein Konto löschen“ direkt selbst aus dem TalentLMS-Dienst löschen. Die Option steht auf dem Benutzerprofil unter der Schaltfläche „Mehr“ zur Verfügung. Diese zusätzliche Option ermöglicht es Endbenutzern, sich selbst aus dem Dienst zu löschen, ohne dass der entsprechende TalentLMS-Domainadministrator aktiv werden muss.

Einschränkung der Verarbeitung: TalentLMS unterstützt das Recht auf Einschränkung der Verarbeitung, indem der Administrator jeden beliebigen Nutzer inaktivieren kann. Dieser Vorgang kann auch für große Benutzergruppen durchgeführt werden, indem das im Abschnitt „Recht auf Löschung“ erläuterte Verfahren zur Massenlöschung von Benutzern befolgt, aber anstelle einer Löschung die Massenaktion „Aktivieren/Inaktivieren“ aufgerufen wird.

Widerspruchsrecht: Der Fall, dass der Endbenutzer der Verarbeitung für E-Learning widerspricht, wird im Abschnitt „Recht auf Löschung“ behandelt. Falls der Benutzer den E-Mail-Benachrichtigungen von TalentLMS widerspricht, kann er sich an seinen Domainadministrator wenden, der den/die entsprechenden Benutzer dann anhand der hier beschriebenen Schritte von den E-Mail-Benachrichtigungen ausnehmen kann.

Recht auf Datenübertragbarkeit: Wie weiter oben auf dieser Seite erklärt, wird dieses Recht durch die Exportfunktion der Anwendung unterstützt. Der Benutzerfortschritt kann außerdem über die in TalentLMS enthaltene Funktion für benutzerdefinierte Berichte exportiert werden.

Einwilligung: TalentLMS ermöglicht es seinen Kunden, ihre Nutzer ausdrücklich nach deren Einwilligung zur Nutzung des TalentLMS-Dienstes zu fragen und diese Einwilligung zu speichern. Hierzu kann jeder Domainadministrator auf der Administrationsseite Start / Konto & Einstellungen über den Reiter „Benutzer“ eine benutzerdefinierte Seite mit Nutzungsbedingungen festlegen, die jedem Endbenutzer bei dessen erster Anmeldung im System angezeigt werden soll. Um zum LMS zu gelangen, muss diese Seite akzeptiert werden, wodurch sie einen praktischen Weg darstellt, um über TalentLMS die Einwilligung der Endbenutzer einzuholen. Beachten Sie: Sobald ein Endbenutzer seine Einwilligung erteilt, wird diese Information auch von TalentLMS protokolliert und erscheint auf der erweiterten Zeitleiste der Anwendung, sodass Sie sie bei Bedarf mühelos zur Berichterstellung oder für Compliance-Zwecke nutzen können. Falls ein Endbenutzer die Einwilligung für das E-Learning zurückzieht, so entspricht dies im Wesentlichen der Entfernung des Benutzers aus dem Dienst, sodass der Domainadministrator das weiter oben auf dieser Seite unter „Recht auf Löschung“ erläuterte Verfahren anwenden kann, um die Anfrage der betroffenen Person zu erfüllen und den Endbenutzer aus TalentLMS zu entfernen.

Darüber hinaus unterstützt TalentLMS den granularen Import/Export von Benutzern anhand einer Spalte „Nutzungsbedingungen“, vorausgesetzt, die entsprechende Domain hat Nutzungsbedingungen festgelegt.

Mit Blick auf Benutzer, die vor Einführung der Einwilligungsabfrage und ohne Einwilligung in die Nutzungsbedingungen in das System eingetragen wurden, ermöglicht es TalentLMS dem Administrator außerdem, diese Benutzer, die die Nutzungsbedingungen nicht akzeptiert haben, auszuwählen und gesammelt zu löschen. Hierbei handelt es sich um dasselbe Massenlöschungsverfahren, das auch im Abschnitt „Recht auf Löschung“ beschrieben wird. Es kann vom Administrator auch auf „alte“ Benutzer angewandt werden, die seit einer bestimmten Zeit inaktiv sind. Somit haben TalentLMS-Kunden die Möglichkeit, ihre DSGVO-konforme Datenspeicherungsrichtlinie für ihre Domain durchzusetzen.

Keine automatisierten Entscheidungen im Einzelfall: TalentLMS ist so konzipiert, dass vollumfänglich das Recht seiner Benutzer respektiert wird, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Bleiben Sie auf dem Laufenden

Die Erfüllung unserer Verpflichtungen im Bereich Datenschutz und Datensicherheit ist uns wichtig. Daher helfen wir Ihnen gern bei der Vorbereitung auf alle durch die DSGVO bedingten Änderungen. Falls Sie Fragen haben, wie TalentLMS Sie mit Blick auf Compliance unterstützen kann, oder wenn Sie Anliegen in Bezug auf Datenschutz haben, kontaktieren Sie uns bitte unter: privacy at talentlms dot com.