DSGVO-konforme Mitarbeiterschulung in der oeffentlichen Verwaltung

Kurz zusammengefasst: Kommunen muessen bei Schulungsplattformen auf Hosting in Deutschland/EU, keine individuelle Leistungsueberwachung und einen AVV nach Art. 28 DSGVO achten. Da Phishing-Angriffe auf den oeffentlichen Sektor 2024/2025 um 65% gestiegen sind (BSI), wird sichere und datenschutzkonforme Mitarbeiterschulung immer wichtiger — ohne den Personalrat mit Einzelauswertungen zu konfrontieren.

Die oeffentliche Verwaltung steht unter besonderer Beobachtung, wenn es um Datenschutz geht. Kommunen verarbeiten sensible Buergerdaten — von Meldedaten ueber Sozialleistungen bis zu Steuerinformationen. Jede neue Software, jede neue Plattform muss strengen Datenschutzanforderungen genuegen. Das gilt auch fuer Schulungsplattformen.

Wenn eine Kommune ihre Mitarbeiter in Microsoft 365 schulen moechte, stehen schnell zwei Fragen im Raum: Ist die Plattform DSGVO-konform? Und traegt der Personalrat die Loesung mit? In diesem Artikel klaeren wir, worauf Kommunen bei der Auswahl einer Schulungsloesung achten muessen — und warum das kein Hindernis sein muss.

Warum Datenschutz bei Schulungsplattformen besonders wichtig ist

Schulungsplattformen erfassen zwangslaeufig Daten: Wer hat sich angemeldet? Welche Kurse wurden aufgerufen? Wie lange wurde gelernt? Gerade weil Microsoft 365 inzwischen in ueber 75% der deutschen Verwaltungen eingesetzt wird und die Schulungsnachfrage entsprechend steigt, ist diese Frage fuer immer mehr Kommunen relevant. In einem privatwirtschaftlichen Unternehmen mag das unproblematisch sein. In der oeffentlichen Verwaltung gelten andere Regeln.

Das Problem der Leistungsueberwachung

Viele Lernplattformen bieten detaillierte Analytics: Welcher Mitarbeiter hat welchen Kurs wann begonnen, wie lange bearbeitet und wie abgeschnitten. Fuer Fuehrungskraefte klingt das nach nuetzlichen Daten. Fuer den Personalrat ist es ein rotes Tuch.

In der oeffentlichen Verwaltung gilt: Leistungsueberwachung einzelner Mitarbeiter ueber eine Lernplattform ist in den meisten Faellen mitbestimmungspflichtig — und wird vom Personalrat in der Regel abgelehnt. Das ist kein Hindernis, sondern ein berechtigtes Anliegen: Mitarbeiter sollen freiwillig und in ihrem eigenen Tempo lernen, ohne das Gefuehl, ueberwacht zu werden.

Die DSGVO-Anforderungen

Fuer Schulungsplattformen in der oeffentlichen Verwaltung gelten folgende DSGVO-Grundsaetze:

• Datenminimierung: Es duerfen nur die Daten erfasst werden, die fuer den Zweck der Schulung tatsaechlich erforderlich sind
• Zweckbindung: Erfasste Daten duerfen nicht fuer andere Zwecke verwendet werden (z.B. Leistungsbeurteilung)
• Speicherbegrenzung: Daten duerfen nicht laenger gespeichert werden als notwendig
• Integritaet und Vertraulichkeit: Angemessene technische und organisatorische Massnahmen zum Schutz der Daten
• Transparenz: Mitarbeiter muessen informiert werden, welche Daten erfasst werden

Auftragsverarbeitung

Wenn eine externe Schulungsplattform personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Dieser muss klar regeln, welche Daten zu welchem Zweck verarbeitet werden und welche technischen Schutzmassnahmen getroffen werden.

Checkliste: Worauf Kommunen bei der Auswahl achten sollten

1. Hosting-Standort

Die Plattform sollte in Deutschland oder zumindest in der EU gehostet sein. Datenverarbeitung in Drittlaendern (insbesondere USA) ist fuer oeffentliche Verwaltungen problematisch und erfordert zusaetzliche Schutzmassnahmen.

Fragen Sie: Wo stehen die Server? Werden Daten in Drittlaender uebertragen?

2. Keine individuelle Lernfortschrittsverfolgung

Die Plattform sollte keine personenbezogenen Lernfortschritte oder Testergebnisse einzelner Mitarbeiter speichern oder an Vorgesetzte berichten. Aggregierte, anonymisierte Nutzungsstatistiken (z.B. “75% der Mitarbeiter haben den Outlook-Kurs abgeschlossen”) koennen sinnvoll sein — individuelle Auswertungen nicht.

Fragen Sie: Werden individuelle Lernfortschritte gespeichert? Koennen Vorgesetzte sehen, welcher Mitarbeiter welchen Kurs wie weit bearbeitet hat?

3. Keine Drittanbieter-Tracker

Viele Plattformen binden externe Analyse-Tools ein (Google Analytics, Hotjar, Facebook Pixel etc.). Jeder dieser Tracker bedeutet eine zusaetzliche Datenweitergabe an Dritte — und eine zusaetzliche DSGVO-Huerde.

Fragen Sie: Werden externe Tracking-Tools oder Analyse-Dienste eingebunden? Werden Daten an Dritte weitergegeben?

4. Minimale Registrierungsdaten

Die Registrierung sollte so datensparsam wie moeglich sein. Idealerweise genuegt ein Zugangslink oder eine E-Mail-Adresse — ohne weitere personenbezogene Daten.

Fragen Sie: Welche Daten werden bei der Registrierung erfasst? Sind alle erfassten Daten tatsaechlich fuer die Schulung notwendig?

5. Auftragsverarbeitungsvertrag

Ein AVV nach Art. 28 DSGVO sollte selbstverstaendlich sein. Er sollte klar und verstaendlich formuliert sein — nicht 50 Seiten Juristendeutsch.

Fragen Sie: Stellen Sie einen AVV bereit? Ist er speziell auf oeffentliche Auftraggeber zugeschnitten?

Den Personalrat fruehzeitig einbinden

Der haeufigste Fehler: Die IT-Abteilung oder Personalentwicklung waehlt eine Plattform aus, stellt sie vor — und der Personalrat legt sein Veto ein. Das laesst sich vermeiden, wenn der Personalrat von Anfang an eingebunden wird.

Was der Personalrat wissen will

1. Werden individuelle Leistungsdaten erfasst? Die Antwort muss “Nein” sein.
2. Koennen Vorgesetzte den Lernstand einzelner Mitarbeiter einsehen? Die Antwort muss “Nein” sein.
3. Ist die Teilnahme freiwillig? Idealerweise ja — oder zumindest ohne Konsequenzen bei unterschiedlichem Tempo.
4. Ist die Plattform DSGVO-konform? Nachweisbar, mit AVV und Dokumentation.

Dienstvereinbarung

In vielen Kommunen wird fuer die Einfuehrung einer Schulungsplattform eine Dienstvereinbarung zwischen Dienststelle und Personalrat abgeschlossen. Diese regelt:

• Zweck der Plattform (Weiterbildung, kein Leistungsmonitoring)
• Welche Daten erfasst werden (und welche nicht)
• Wer Zugriff auf welche Daten hat
• Dauer der Speicherung
• Rechte der Mitarbeiter

Unsere Loesung: DSGVO-konform und personalratskompatibel

Unsere Microsoft 365 Schulung fuer Kommunen wurde genau fuer diese Anforderungen konzipiert:

• Hosting in Deutschland: Alle Daten werden auf deutschen Servern gespeichert
• Keine Leistungsueberwachung: Wir erfassen keine individuellen Lernfortschritte oder Testergebnisse einzelner Mitarbeiter
• Keine Drittanbieter-Tracker: Keine Weitergabe personenbezogener Daten an externe Dienste
• Datensparsame Registrierung: Minimale Datenerfassung bei der Anmeldung
• AVV verfuegbar: Auftragsverarbeitungsvertrag speziell fuer oeffentliche Auftraggeber

Das bedeutet: Sie koennen die Plattform dem Personalrat vorstellen und die zentralen Fragen positiv beantworten. Kein langes Hin und Her, kein Veto.

Fazit: Datenschutz ist kein Hindernis — sondern ein Qualitaetsmerkmal

Eine DSGVO-konforme Schulungsplattform ohne Leistungsueberwachung ist kein Kompromiss. Es ist die richtige Loesung fuer die oeffentliche Verwaltung. Mitarbeiter lernen freiwillig, in ihrem eigenen Tempo, ohne das Gefuehl, ueberwacht zu werden. Das fuehrt zu besserer Motivation und besseren Lernergebnissen.

Wenn Sie auf der Suche nach einer Microsoft 365 Schulung fuer Ihre Kommune sind, die sowohl den Datenschutzbeauftragten als auch den Personalrat ueberzeugt, sprechen Sie mit uns.

Microsoft 365 Schulung fuer Kommunen entdecken | Kostenloses Beratungsgespraech buchen

---

Weitere Artikel fuer die Verwaltung

• Microsoft 365 in der Kommune beschaffen: OZG, DSFA und EVB-IT
• Microsoft 365 in der Kommunalverwaltung: Digitalisierung Schritt fuer Schritt
• Microsoft 365 Schulung fuer Landkreise: Digitale Kompetenz in der Kreisverwaltung
• Microsoft 365 Schulung fuer Stadtwerke und kommunale Betriebe