Unis stehen vor dem Problem, Klausuren wegen der Corona-Pandemie nicht in gewohnter Form abhalten zu können. Dieser Artikel wirft einen kritischen Blick auf alternative Prüfungsformen und auf die datenschutzrechtlichen Fragestellungen, die sich daraus ergeben.
Auch der Lehrbetrieb an den Hochschulen hat sich dem Leben unter Pandemie-Bedingungen angepasst. Statt der Hörsäle füllen sich nun schon lange Online-Konferenzen, Diskussionen finden in Chats oder Breakout-Rooms statt. Für viele Student:innen bedeutet das, dass sie spätestens seit dem Sommersemester 2020 keine Präsenzveranstaltungen mehr besuchen konnten. Um den Student:innen weiterhin zu ermöglichen, ihr Studium fortzuführen, und um Studienpläne nicht stark zu verzögern, versuchen viele Unis und Dozent:innen, auf elektronische Kommunikation auszuweichen. Oft werden hierfür verschiedene Systeme nebeneinander bereitgestellt. So intensivierte sich die Nutzung bereits bestehender Lernplattformen wie Moodle und deren angeschlossene Foren. Inhalte von den Bibliotheken werden seither vermehrt elektronisch angeboten und die Lehre über Videokonferenzen oder Podcasts synchron (als Livestream) oder auch asynchron (zum On-Demand-Abrufen) realisiert. Viele Lehrende haben sich trotz der Widrigkeiten in der Corona-Pandemie bemüht, Lehre unter diesen Umständen anzubieten und die Student:innen möglichst mitzunehmen. Es bleibt aber trotzdem viel zu tun. Es ist zwar unklar, wie lange wir noch auf digitale Lehre angewiesen sein werden, früher oder später wird sich aber die Frage stellen, wie sehr sich innovative Lehrformen auch in die Präsenzlehre übernehmen lassen werden.
Schwierigkeiten tun sich derzeit vor allem bei den Prüfungen auf. Bei Hausarbeiten und anderen Abgaben, die von den Student:innen ohnehin selbstorganisiert bearbeitet werden, liegen die Probleme in dem beschränkten Zugang zu entsprechenden Ressourcen oder dem fehlenden Ersatz für die geschlossenen Bibliotheken. Einigen fehlen auch brauchbare Internetzugänge oder gleichwertige Arbeitsplätze zu Hause.
Überwachung ist nicht alternativlos
Das Nachstellen klassischer Präsenzprüfungen wie Klausuren begegnet anderen Herausforderungen: So ist das kontrollierte Setting einer Präsenzklausur nur mit einigem Aufwand nachzubilden. Dafür sollen die Student:innen durch Menschen oder Software überwacht werden (sogenanntes „Proctoring“). Der Einsatz wird mit der Verifikation von Personen zu Beginn und während der Klausuren sowie mit dem Aufdecken der Verwendung etwaiger unerlaubter Hilfsmittel begründet. Je nach Hersteller kommen unterschiedliche Technologien wie zum Beispiel Gesichtserkennung oder Verhaltenskontrollen durch Menschen zum Einsatz.
Anders als oft suggeriert wird, können Prüfungen in den meisten Fällen auch in einer anderen Form abgelegt und müssten nicht unverändert vom analogen in den digitalen Raum (als „Closed-Book Exams“) verlagert werden. Die Präsenzklausuren ließen sich zum Beispiel durch nicht überwachte Klausuren ersetzen. Bei diesen können Student:innen die Aufgaben in einer vorgegebenen Zeit ohne Aufsicht bearbeiten. Wahlweise unterzeichnen sie eine Erklärung, die Aufgaben ohne Hilfsmittel erledigt zu haben oder sie dürfen von vornherein alle Hilfsmittel einsetzen (sog. „Open-Book Exams“). Bestehen Bedenken, dass Aufgabentypen für diese Bedingungen nicht geeignet sind, können andere Arten von Aufgaben gewählt werden. So lassen sich bloße Wissensabfragen durch Klausuren ersetzen, die den Student:innen Transferleistungen abverlangen.
Eine Umstellung auf neue Aufgabentypen war jedoch keinesfalls der Regelfall. Darunter sind viele Prüfungen, bei denen eine pandemiekonforme Neugestaltung möglich gewesen wäre. Auch aus unserer Uni, der HU Berlin, sind uns Fälle bekannt, in denen Student:innen Prüfungen angekündigt wurden, die verpflichtend mit dauerhaft eingeschalteter Webcam und Mikrofon via Zoom abgenommen werden sollen bzw. wurden. Die Prüflinge müssen dabei alleine im Raum sein, ihren Ausweis in die Kamera halten oder auf Aufforderung ihren Bildschirm freigeben. Wir möchten im Folgenden auf die sich hieraus ergebenden datenschutzrechtlichen Fragestellungen und Problematiken eingehen.
Klares Ungleichgewicht zwischen Uni und Student:in
Gerade zu Beginn der Pandemie wurde die damit einhergehende Verarbeitung personenbezogener Daten wohl meistens (zumindest implizit) auf eine Einwilligung der betroffenen Personen gestützt. Was personenbezogene Daten sind, ist dabei weit zu verstehen: Hierunter fallen alle Daten, die sich auf eine natürliche Person beziehen und ihr zugeordnet werden können, wie zum Beispiel Name, Anschrift, Telefonnummer und Bilder oder Videos der Person. Die Verarbeitung personenbezogener Daten muss den Regeln der Datenschutz-Grundverordnung (DSGVO) genügen. Die Einwilligung als Rechtsgrundlage für die Datenverarbeitung ist in Art. 6 Abs. 1 lit. a DSGVO geregelt. Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung freiwillig erteilt worden sein. Wann eine Erklärung als freiwillig zu bewerten ist, kann den Erwägungsgründen der DSGVO entnommen werden. So steht in Erwägungsgrund 42 S. 5, dass die betroffene Person eine echte und freie Wahl haben muss. Sie muss somit in der Lage sein, die Einwilligung, auch ohne Nachteile befürchten zu müssen, verweigern oder zurückziehen zu können.
Erwägungsgrund 43S. 1 sieht weiter vor, dass bei einem klaren Ungleichgewicht zwischen betroffener Person und Verantwortlichem davon auszugehen ist, dass die Einwilligung keine Rechtsgrundlage für die Verarbeitung liefern soll, wenn es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Dies gilt insbesondere dann, wenn Behörden, also auch öffentliche Unis, beteiligt sind.
Bei elektronischen Prüfungen wird es den Student:innen wohl kaum möglich sein, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen, weil sie dann faktisch an der Prüfung nicht teilnehmen könnten. Außerdem sollte die Uni, wie aus Erwägungsgrund 43 S. 1 deutlich wird, im Regelfall gar nicht auf eine Einwilligung zurückgreifen können. In Anbetracht dessen, dass das Weiterkommen im Studium und das spätere Berufsleben an das Bestehen von Prüfungen geknüpft sind, kann von einem klaren Ungleichgewicht zwischen betroffener Person und Verantwortlichem ausgegangen werden.
Erzwungene Einwilligungen sind keine Einwilligungen
Dieses Ergebnis wird auch durch den Europäischen Datenschutzausschuss gestützt. Dieses offizielle und mit Vertreter:innen der nationalen Datenschutz-Aufsichtsbehörden besetzte Gremium wird durch die DSGVO errichtet und soll für die einheitliche Anwendung der DSGVO sorgen.[1] Dem Datenschutzausschuss zufolge sei klar, dass die betroffene Person meistens keine realistische Alternative dazu habe, der Verarbeitung personenbezogener Daten durch die öffentliche Stelle zuzustimmen. Daher seien andere Rechtsgrundlagen generell besser für die Datenverarbeitung durch öffentliche Stellen geeignet. Eine staatliche Stelle soll sich nur dann auf eine Einwilligung stützen können, wenn der betroffenen Person bei Nichterteilung keinerlei Nachteile entstehen und die Behörde das auch transparent mitteilt.[2]
Im Regelfall stellen elektronische Prüfungen derzeit für die Student:innen die einzige Option dar, Prüfungen abzulegen. Wie bereits festgestellt können die Einwilligungen in die damit einhergehende Datenverarbeitung daher nicht freiwillig und im Ergebnis auch nicht wirksam erteilt werden. Möglich könnte allenfalls sein, den Student:innen auch eine Präsenzprüfung anzubieten, auf die ohne Nachteile (also zum Beispiel unter Einhaltung strikter Infektionsschutzvorgaben) zurückgegriffen werden kann.[3] Sollten solche Bedingungen nicht zu realisieren oder eine entsprechende Prüfung gesetzlich untersagt sein, sehen wir keinen Raum für elektronische Prüfungen mit quasi-verpflichtender Einwilligung in die Verarbeitung von Video- oder Audiodaten. Auf die Unterscheidung, ob die Aufnahmen aufgezeichnet oder „nur“ durch die Prüfer:innen betrachtet bzw. durch Proctoring-Software ausgewertet werden, kommt es nicht an, da eine Verarbeitung personenbezogener Daten in allen Fällen einer geeigneten Rechtsgrundlage bedürfte.
Datenverarbeitung auf gesetzlicher Grundlage
Kann eine Einwilligung mangels Freiwilligkeit aber keine taugliche Rechtsgrundlage liefern, ist die Verarbeitung nur über eine gesetzliche Grundlage i.V.m. Art. 6 Abs. 1 S. 1 lit. e, Abs. 3 DSGVO möglich. Anstatt einer Einwilligung wäre die Datenverarbeitung in diesem Fall also durch das Zusammenspiel von nationalem Recht und der DSGVO zulässig. Die Rechtsgrundlagen werden von den Mitgliedsstaaten erlassen und müssen sich nach deren verfassungsrechtlichen Vorgaben richten, in diesem Fall am Vorbehalt des Gesetzes und am Wesentlichkeitsgrundsatz.[4] Diese beiden miteinander verwandten Grundprinzipien des öffentlichen Rechts verlangen vom Staat für Eingriffe in Grundrechte stets eine formell-gesetzliche Eingriffsgrundlage, die hinreichend bestimmt ist und in der der Gesetzgeber wesentliche Entscheidungen selbst trifft. Seit dem Volkszählungs-Urteil des BVerfG[5] ist allgemein anerkannt, dass die Verarbeitung personenbezogener Daten durch den Staat einen Eingriff in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1, 1 Abs. 1 des Grundgesetzes darstellt. Daher ist hier eine entsprechende Rechtsgrundlage zu verlangen. Die Videoüberwachung stellt dabei offensichtlich auch noch einen besonders intensiven Eingriff in dieses Recht dar. Deswegen erfordert der Wesentlichkeitsgrunds ein Parlamentsgesetz, das heißt die Hochschulen können sich die Rechtsgrundlage für diese Verarbeitung nicht selbst durch Satzungen schaffen.
Erlaubt, aber trotzdem problematisch
Der Landesgesetzgeber müsste also eine Regelung schaffen, die solche Prüfungen ausdrücklich ermöglicht. Einige Bundesländer haben solche Rechtsgrundlagen bereits erlassen. Sofern die Rechtsgrundlagen selbst hinreichend bestimmt und verhältnismäßig sind, können in diesen Ländern Prüfungen also grundsätzlich auch mit Videoüberwachung am eigenen PC durchgeführt werden. Dass diese Form der Prüfungen sinnvoll ist, lässt sich mit guten Gründen anzweifeln, auf Alternativen dazu haben wir bereits oben hingewiesen. Problematisch ist auch, dass unklar ist, was mit den einmal erhobenen Daten passiert. Die Universitäten greifen für die Videokonferenz- bzw. Proctoringsoftware oft nach wie vor auf private Unternehmen zurück. Diese fielen auch in der Vergangenheit bereits damit auf, nicht offenlegen zu wollen, wie ihre Programme arbeiten und die Daten verarbeitet werden.
Auch ist die Videoüberwachung, der sich Student:innen aussetzen, nicht gerade angenehmer als mit einer unfreiwilligen Einwilligung; das Zeigen des eigenen Zuhauses bleibt ein Eindringen in die Privatsphäre. Ebenso löst das ungewohnte Überwachtwerden während der Klausur per Webcam bei Vielen Sorgen aus, jeder abschweifende Blick und jedes Ruckeln der oft unzuverlässigen Internetverbindung könnte als Täuschungsversuch gewertet werden. Deswegen ist selbstverständlich auch mit tauglicher Rechtsgrundlage zurückhaltend von überwachten Closed-Book-Prüfungen Gebrauch zu machen. Allerdings sind diese im Falle einer tauglichen Rechtsgrundlage nicht per se verboten.
Error 20 III: Rechtsgrundlage not found
Anders sieht die Situation in den Ländern ohne taugliche Rechtsgrundlage aus, wofür wir beispielhaft Berlin betrachten: Dort käme als Rechtsgrundlage zunächst § 6 Abs. 1 Nr. 1 des Berliner Hochschulgesetzes (BerlHG) i.V.m. § 1 Nr. 47 der Studierendendatenverordnung in Betracht. Danach können personenbezogenen Daten verarbeitet werden, die zur Durchführung elektronischer Prüfungen erforderlich sind, insbesondere elektronische Benutzerkennung (UserID), Passwort, individuelle Prüfungsantworten und deren Einzelbewertungen, Bewertungskommentare und die Gesamtbewertung der Prüfung. Zwar regelt diese Vorschrift die Arten von Daten nicht abschließend, offensichtlich sind hier aber ähnliche wie die genannten Daten gemeint. Zudem sind die genannten Datentypen alle nicht besonders privatsphäresensibel. Für besonders sensible Daten hingegen, wie Videobilder oder Tonaufnahmen aus der Wohnung der Prüflinge, kann hier nicht von einer tauglichen Rechtsgrundlage ausgegangen werden; dafür wäre eine bestimmtere Regelung zu verlangen.
Die Humboldt-Universität Berlin möchte Online-Prüfungen mit Videoüberwachung demgegenüber auf § 32 Abs. 8 BerlHG i.V.m. den Regelungen der Fächerübergreifenden Satzung zur Regelung von Zulassung, Studium und Prüfung der Uni (ZSP-HU) stützen.[6] Allerdings stellt der neu eingefügte § 32 Abs. 8 BerlHG offensichtlich auf solche elektronischen Klausuren ab, die auch bisher schon zulässig waren, also zum Beispiel Multiple-Choice-Online-Klausuren.[7] Die dort enthaltene Verweisung auf die Regelungen in den Rahmenstudien- und -prüfungsordnungen der Uni ist wohl prüfungs- und nicht datenschutzrechtlich gemeint. Überdies ist § 32 Abs. 8 BerlHG nicht bestimmt genug für eine so eingriffsintensive Maßnahme wie das Abfilmen der Wohnung.
Was wollen wir für Lehre, Studium und welche Prüfungen?
Wir stellen fest, dass Einwilligungen mangels Freiwilligkeit den Vorgaben der DSGVO nicht genügen. Der Eingriff durch die Bild- und Tonüberwachung während der Klausur ist nur auf einer hinreichend bestimmten Rechtsgrundlage und nur dann möglich, wenn die Überwachung unbedingt erforderlich ist. Daher ist es sinnvoll, weiter über alternative Prüfungsleistungen nachzudenken und an den Unis anzubieten. Eine gute, datensparsamere Alternative können zum Beispiel Open-Book Exams darstellen. Wir sehen die digitale Lehre als Chance, selbstorganisierte Lernformate und Prüfungsleistungen endlich anzuerkennen und verstaubte Prüfungsformate aus den Prüfungsordnungen zu streichen.
Weiterführende Literatur:
Leonie Ackermann / David Werdermann, Online-Prüfungen & Procotoring aus juristischer Perspektive, Vortrag beim Freien Zusammenschluss von Studen*innenschaften am 02.02.2021, https://www.youtube.com/watch?v=YR2GcUsFMqo.
Jana Ballweber, Netzpolitik.org v. 22.08.2020, https://netzpolitik.org/2020/proctoring-hochschule-ueberwacht-studierende-bei-online-klausuren/.
[1] Agentur der Europäischen Union für Grundrechte und Europarat, Handbuch zum europäischen Datenschutzrecht, 2018, 237 ff.
[2] European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679, 7 ff.
[3] Vgl. § 32a Abs. 1 LHG BaWü, der eine vergleichbare Regelung schafft.
[4] Sebastian Schulz, in: Peter Gola (Hrsg.), DSGVO – Kommentar, 2018, Art. 6, Rn. 198.
[5] BVerfGE 65, 1.
[6] HU Berlin, Handreichung zur Online-Durchführung von Closed-Book-Prüfungen, https://www.cms.hu-berlin.de/de/dl/e-assessment/guide/vorlagen/art-13-dsgvo (Stand: 14.03.2021).
[7] Vgl. die Gesetzesbegründung in AGH-Drs. 18/2869, 5, wonach die Regelung nur klarstellende Funktion haben soll und die ausdrücklich auf die bisher gem. StudDatVO Bln zulässigen Datenkategorien verweist.
