Web-Based-Training für Deutsche Gesetzliche Unfallversicherung

Die Deutsche Gesetzliche Unfallversicherung (DGUV) benötigt eine cloudbasierte Lernplattform in Form eines Web-Based-Trainings (WBT) für Awareness-Kampagnen. Ziel ist die Sensibilisierung der DGUV-Beschäftigten für Informationssicherheit, Datenschutz und Compliance. Da die DGUV kein eigenes Lernmanagementsystem (LMS) besitzt, soll das LMS des Auftragnehmers genutzt werden. Die Plattform muss modular aufgebaut sein, sodass die Bereiche Informationssicherheit, Datenschutz und Compliance unabhängig voneinander funktionieren und fachlich/rechtlich stets korrekte Inhalte vermitteln. Die Lerninhalte sollen übersichtlich, methodisch und didaktisch fundiert, interaktiv und visuell ansprechend aufbereitet sein, wobei der Grundsatz 'Lernen soll Spaß machen' gilt. Der Lernerfolg muss durch integrierte Tests messbar sein, und nach erfolgreichem Abschluss erhalten die Lernenden ein online abrufbares und ausdruckbares Zertifikat. Die Leistung muss innerhalb von zwei Monaten nach Zuschlag nutzbar sein, inklusive möglicher Testphasen. Der Auftragnehmer muss eine jährliche Unterstützungsleistung von maximal 20 Stunden für die Anpassung von Lerninhalten anbieten. Die Lerninhalte müssen Awareness schaffen und Wissen in den genannten Bereichen vermitteln. Sie sollen verständlich, leicht nachvollziehbar, praxisnah und ansprechend gestaltet sein, mit Vertonung und Schrift in mindestens deutscher und englischer Sprache. Die Lerneinheiten sollen kurz (ca. 2-5 Minuten) und unabhängig voneinander bearbeitbar sein und aus Lernvideos, interaktiven Modulen und Quizzen bestehen. Die Darstellung muss im Browser mittels Web-Techniken erfolgen, mit einfacher und intuitiver Bedienbarkeit. Das Layout muss an das Corporate Design der DGUV anpassbar sein, und die Integration eigener Lerninhalte sowie Platzhalter für Richtlinien oder Kontaktinformationen muss möglich sein. Editierte Inhalte müssen Updates überdauern oder migrierbar sein. Eingebettete Dokumente sind zulässig, Medienbrüche sollen vermieden werden, außer bei Verlinkungen zu externen Inhalten. Ein responsives Design für verschiedene Endgeräte ist erforderlich. Die Lerninhalte müssen in Basis- und Vertiefungsmodule differenziert werden, und die DGUV muss verschiedene Zielgruppen definieren können. Die Trainingsmaterialien werden kontinuierlich aktualisiert, wobei der Auftragnehmer den Auftraggeber vorab informiert. Lernzwischenstände müssen gespeichert werden, und Lerneinheiten können beliebig oft wiederholt werden. Die DGUV kann festlegen, welche Inhalte verpflichtend und welche freiwillig sind, und Wiederholungen können automatisch generiert werden. Neue Mitarbeitende erhalten automatisch zugewiesene verpflichtende Lerneinheiten. Die Lerninhalte umfassen spezifische Themen wie Cybersicherheit, sicherer Umgang mit E-Mails (Phishing, Spear-Phishing, CEO-Fraud), Passwortsicherheit, sichere Nutzung mobiler Geräte, sicheres Internetverhalten (soziale Netzwerke, Filesharing, KI-Nutzung), Social Engineering, Umgang mit sensiblen Informationen, Kennzeichnung von Unternehmensinformationen, Verhalten bei Sicherheitsvorfällen, Gerätediebstahl und Umgang mit Datenträgern. Spezielle Themen für IT-Fachkräfte, Führungskräfte, Finanz- und Personalabteilungen sowie ein Modul für Phishing-Simulationen sind ebenfalls gefordert. Im Bereich Datenschutz sind Themen wie personenbezogene Daten, besondere Kategorien, Rechtsgrundlagen, Betroffenenrechte, Datenpannen, Auftragsverarbeitung, Vertraulichkeit, Grundsätze, Verzeichnis von Verarbeitungstätigkeiten (VVT) und Datenschutz-Folgenabschätzung (DSFA) abzudecken. Für Compliance sind die Bedeutung von Compliance, Risiken bei Verstößen, Zuwendungen, Amtsträger, Betriebs- und Geschäftsgeheimnisse, Interessenkonflikte und das Hinweisgebersystem relevant. Der Lernfortschritt muss pro Lerneinheit und optional über alle Pflichtkurse erkennbar sein. Lernzertifikate werden nach jedem erfolgreichen Abschluss bereitgestellt und müssen dauerhaft verfügbar sein, mit der Möglichkeit zur Zusammenfassung in einem Übersichtsdokument. Zertifikate sind in der Regel auf Deutsch, aber auch in anderen Sprachen (mindestens Englisch) abrufbar und enthalten spezifische Mindestangaben. Für verpflichtende Inhalte werden Erinnerungsfunktionen bereitgestellt, und Zertifikate können befristet werden. Die Datenlöschung erfolgt nach Vorgabe der DGUV. Der Betrieb der Plattform muss mit gängigen Browsern (Edge, Chrome, Firefox, Safari) kompatibel sein. Die Plattform muss cloudbasiert sein und Transportverschlüsselung nach aktuellem Stand der Technik (mindestens TLS 1.2 AES256 mit ECDHE Cipher Suit) bieten. Eine Schaltfläche in Outlook zur Meldung verdächtiger E-Mails ist erforderlich. Single Sign-On und Anbindung an das Active Directory (Entra ID) der DGUV sind notwendig. Backup- und Wiederherstellungsmöglichkeiten bei Systemausfällen sind zu gewährleisten. Die Speicherung und Übertragung von Lernendendaten muss DSGVO-konform erfolgen. Optionale Schnittstellen zu MS Office Learning Viva, ILIAS und/oder anderen Anbietern sind möglich. Das Reporting umfasst Nachweise für ISO 27001 Audits, aggregierte Auswertungen von Phishing-Simulationen ohne Rückschlüsse auf Einzelpersonen, sowie statistische Nutzungszahlen. Nur abgeschlossene und erfolgreich absolvierte Lerneinheiten sowie der Zeitpunkt des Lernerfolgs dürfen gespeichert werden, keine genauen Bearbeitungszeiten oder Quiz-Antworten. Eine generalisierte Darstellung über Nutzer und Lernerfolge muss über ein Dashboard abrufbar und speicherbar sein. Die Plattform muss nachweislich barrierefrei gemäß BITV 2.0 und WCAG 2.1 sein, inklusive textueller Bildbeschreibungen, Untertiteln und optional Gebärdensprache für Videos sowie automatisierter Vorlesbarkeit von Text. Softwareergonomische Anforderungen gemäß ArbSchG, BildscharbV und DIN EN ISO 9241 sind zu erfüllen. Die grafische Oberfläche muss übersichtlich, einheitlich strukturiert und robust sein. Die Inhalte müssen sprachlich neutral oder geschlechtergerecht formuliert sein, Videos und Bilder farblich neutral und nicht rollenstereotypisch gestaltet sein, mit Berücksichtigung unterschiedlicher Herkunftstypen und ohne Diskriminierung. Die Plattform wird für ca. 1.400 Personen benötigt, mit Erweiterungsoptionen. Mindestens 6 Lizenzen für die Administration sind erforderlich. Support wird während der üblichen Geschäftszeiten (Montag bis Freitag, 8:00 - 16:00 Uhr GMT+1) telefonisch und per E-Mail angeboten, mit mindestens einem zentralen Ansprechpartner auf Deutsch (Sprachniveau C2).