Datenschutz & KI April 2026 ~7 Min. Lesezeit

DSGVO-konforme KI: Datenschutz bei intelligenten Lernplattformen

KI-gestützte Lernplattformen verarbeiten sensible Daten — Lernverhalten, Leistungsprofile, Schwachstellen von Mitarbeitenden. Das stellt Arbeitgeber und Plattformbetreiber vor komplexe DSGVO-Anforderungen. Wer die Regeln kennt, kann sie einhalten — ohne auf KI-Funktionalität zu verzichten.

DSGVO und Datenschutz bei KI-Lernplattformen

Welche Daten Lernplattformen verarbeiten — und warum das relevant ist

Adaptive Lernplattformen sammeln erheblich mehr Daten als klassische LMS-Systeme. Wo ein SCORM-Kurs nur "abgeschlossen/nicht abgeschlossen" meldet, protokolliert ein adaptives System: Welche Inhalte wurden wie lange betrachtet? Bei welchen Aufgaben wurden wie viele Versuche benötigt? Welche Fehler wurden gemacht? Zu welchen Tageszeiten wird gelernt? Wie entwickeln sich Kompetenzen über Zeit?

Diese Daten sind aus Datenschutzperspektive besonders sensibel, weil sie direkte Rückschlüsse auf kognitive Fähigkeiten, Lerndefizite und Entwicklungspotenziale von Mitarbeitenden ermöglichen. Sie könnten theoretisch für Personalentscheidungen genutzt werden — auch wenn das nicht der primäre Zweck ist. Die DSGVO greift hier mit voller Konsequenz.

Rechtsgrundlagen für die Verarbeitung von Lerndaten

Jede Datenverarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Im Kontext von Lernplattformen kommen primär in Frage:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn die Teilnahme an einer Weiterbildung vertraglich vereinbart ist, kann die zur Durchführung notwendige Datenverarbeitung darauf gestützt werden. Das gilt für Nachweise und Zertifikate, nicht für tiefes Behavior-Tracking.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Für Qualitätssicherung und Plattformverbesserung grundsätzlich möglich, aber das Interesse des Arbeitgebers muss gegenüber dem Schutzinteresse der Mitarbeitenden überwiegen — eine Interessenabwägung ist zwingend erforderlich und zu dokumentieren.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Im Arbeitsverhältnis problematisch, weil Einwilligungen selten wirklich freiwillig sind (Machtungleichgewicht). Als alleinige Grundlage für tiefes Lerndaten-Tracking nicht empfehlenswert.
  • Betriebsvereinbarung (§ 26 BDSG): Der bevorzugte Weg in Deutschland. Eine Betriebsvereinbarung schafft eine klare, betriebsspezifische Rechtsgrundlage und schließt Betriebsrat und Mitarbeitende ein — das erhöht Akzeptanz und Rechtssicherheit erheblich.

Das Profiling-Problem bei adaptiven Lernplattformen

Adaptive Lernplattformen betreiben per Definition automatisiertes Profiling — sie erstellen für jeden Lernenden ein dynamisches Kompetenzprofil und treffen darauf basierend automatisierte Entscheidungen über den nächsten Lernschritt. Das fällt unter Art. 22 DSGVO, der besondere Anforderungen stellt: Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Auswirkungen hat.

Die gute Nachricht: Lernpfad-Empfehlungen sind in der Regel keine "erheblich beeinträchtigenden" Entscheidungen — sie empfehlen den nächsten Kursinhalt, sie sperren keine Beförderungen. Das Profiling beim adaptiven Lernen ist damit in der Regel zulässig, solange es auf die Lernoptimierung beschränkt bleibt und nicht für Personalentscheidungen verwendet wird. Diese Zweckbindung muss technisch und organisatorisch sichergestellt und dokumentiert sein.

„Datenschutz und leistungsfähige KI schließen sich nicht aus. Privacy by Design bedeutet, Datenschutz von Anfang an in die Systemarchitektur einzubauen — nicht als Bremse, sondern als Vertrauensgrundlage." — Dirk Röthig (Dirk Roethig), Chairman & Strategic Advisor, MD ALVEON Partners AG

US-Cloud-Dienste und Drittlandtransfer

Viele der marktführenden Lernplattformen kommen aus den USA: Coursera, Degreed, Cornerstone, 360Learning. Die Nutzung dieser Plattformen bedeutet in der Regel Datentransfer in die USA — ein DSGVO-Dauerthema, das seit dem Schrems-II-Urteil des EuGH besondere Aufmerksamkeit erfordert.

Der EU-US Data Privacy Framework (DPF), in Kraft seit Juli 2023, schafft wieder eine formale Grundlage für Drittlandtransfers in die USA — allerdings nur für DPF-zertifizierte Anbieter. Praktische Schritte für Unternehmen:

  • Prüfen, ob der Plattformanbieter DPF-zertifiziert ist (Zertifizierungsliste unter dataprivacyframework.gov)
  • Auch bei DPF-Zertifizierung: Datenschutz-Folgenabschätzung (DSFA) bei besonders sensiblen Verarbeitungen durchführen
  • Vertragsklauseln und Auftragsverarbeitungsverträge (AV-Verträge) mit allen Plattformanbietern schließen
  • Alternativen: EU-gehostete Lernplattformen (z. B. Moodle auf eigenen Servern, imc AG, Haufe Akademie) für besonders sensible Verarbeitungen prüfen

Privacy by Design — so wird Datenschutz zur Systemarchitektur

Die DSGVO schreibt in Art. 25 Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) vor. Für Lernplattformen bedeutet das konkret:

  • Datensparsamkeit: Nur so viele Lerndaten erfassen, wie für die adaptive Funktionalität tatsächlich notwendig sind. Detailliertes Keystroke-Tracking ist selten notwendig — Aufgabenergebnis und Zeitaufwand reichen in den meisten Fällen.
  • Anonymisierung vs. Pseudonymisierung: Wo möglich, Lerndaten anonymisieren. Für Aggregatauswertungen (Kursqualität, Lernzeitanalysen) reicht oft eine vollständige Anonymisierung, die keine DSGVO-Pflichten mehr auslöst.
  • Zugriffskontrollen: Wer kann welche Lerndaten sehen? Führungskräfte sollten grundsätzlich keinen Zugriff auf individuelle Lernprofile ihrer Mitarbeitenden haben — nur auf aggregierte, nicht personenbeziehbare Auswertungen.
  • Löschkonzept: Wie lange werden Lerndaten gespeichert? Klare Löschfristen definieren und technisch implementieren.

Betroffenenrechte im Lernkontext

Mitarbeitende haben DSGVO-Betroffenenrechte, die auch für Lerndaten gelten: Auskunftsrecht (Art. 15), Berichtigungsrecht (Art. 16), Löschungsrecht (Art. 17), Widerspruchsrecht (Art. 21). Plattformen müssen technisch in der Lage sein, diese Rechte zu erfüllen — Daten auf Anfrage exportieren, korrigieren oder löschen zu können. Das klingt selbstverständlich, ist aber bei komplexen KI-Systemen technisch nicht trivial. Vor der Einführung einer Lernplattform sollte geprüft werden, ob der Anbieter diese Funktionen bereitstellt.

Marco Weber, CEO der Dynamic Support AG, fasst zusammen: „Die gute Nachricht für Unternehmen: DSGVO-konforme KI-Lernplattformen sind kein Widerspruch. Mit der richtigen Systemauswahl, einer soliden Betriebsvereinbarung und Privacy-by-Design-Architektur lässt sich beides erreichen — leistungsstarke adaptive KI und vollständige Datenschutz-Compliance."

Für weitere Informationen zu unseren datenschutzkonformen Lernplattform-Lösungen oder zum Überblick über intelligente Lernplattformen stehen wir gerne zur Verfügung. Kontaktieren Sie uns für ein kostenloses Erstgespräch.

DSGVO-Check für Ihre Lernplattform

Wir analysieren Ihre Lernplattform auf DSGVO-Konformität und entwickeln gemeinsam eine datenschutzkonforme Strategie — kostenlos und unverbindlich.

Jetzt DSGVO-Check anfragen
Zurück zum Blog Weitere Artikel