Das Corona-Jahr 2020 ist fast vorbei. Aus datenschutzrechtlicher Sicht blickt man auf einige Besonderheiten und Kuriositäten und auch auf den Umgang der Hochschulen mit der Pandemielage zurück. Welche datenschutzrechtlichen Fallstricke z.B. die Durchführung von Online-Prüfungen mit sich bringt, soll am Beispiel der US-amerikanischen Plattform Proctorio verdeutlicht werden.
Wo Studierende sonst Klausuren in der Universität oder Hochschule geschrieben haben, kommen nun mancherorts Fernüberwachungslösungen zum Einsatz. So hat das Bayerische Staatsministerium für Wissenschaft und Kunst mit der Verordnung zur Erprobung elektronischer Fernprüfungen an den Hochschulen in Bayern (Bayerische Fernprüfungserprobungsverordnung – BayFEV) seit September 2020 den gesetzlichen Rahmen geschaffen, um Studierenden die freiwillige Teilnahme an einer Klausur außerhalb der üblichen Prüfungsorte zu ermöglichen. Doch ist der Einsatz solcher Überwachungssoftware, am Beispiel von Proctorio, datenschutzkonform überhaupt möglich?
Proctorio bietet als Fernüberwachungsplattform unter anderem die Überwachung von Prüfungen an. Nach eigenen Angaben werden fortschrittliche Technologien für maschinelles Lernen und Gesichtserkennung verwendet um eine genaue und zuverlässige Prüfungskontrolle zu gewährleisten, die menschliche Kontrollpersonen übertrifft. Hierbei sollen alle Analysedaten und verdächtige Verhaltensweisen während der Prüfung erfasst und Integritätsberichte nach der Klausurabgabe zur Verfügung gestellt werden. Auch bietet Proctorio Unterstützung bei der Analyse der Prüfungsaufzeichnungen im Hinblick auf akademische Unredlichkeit an.
Hierbei treten unter anderem folgende Fragestellungen und Probleme auf:
Umfang der Überwachung
Laut der privacy policy von Proctorio erklären sich die Betroffenen bei der Verwendung von Proctorio damit einverstanden, dass sie per Webcam, Mikrofon, Browser, Desktop oder mit anderen Mitteln, die zur Wahrung der Integrität notwendig sind, überwacht werden. Zudem steht es im Ermessen des Prüfungsadministrators, ebenfalls einen Scan der Umgebung und der Computeranzeige des Prüfungskandidaten zu verlangen. Die Überwachung der Prüfung wird maschinell oder durch eine Live-Person durchgeführt. Die Informationen aus der Prüfungsüberwachung können aufgezeichnet und der Hochschule bzw. verantwortlichen Stelle zur Einsicht durch autorisierte Personen zur Verfügung gestellt werden.
Wie genau gestaltet sich also diese Fernüberwachung? Wird jede Kopf-, Augen- und Körperbewegung des Prüfungskandidaten maschinell oder durch eine natürliche Person analysiert und ggf. als Täuschungshandlung gewertet? Kann sich die betroffene Person zu angeblichen Täuschungshandlungen äußern? Kann unter solchen Bedingungen von einer gleichwertigen Prüfungsatmosphäre wie zu pandemielosen Zeiten gesprochen werden? Hier erscheint es notwendig, dass der jeweilige Prüfungsverantwortliche oder die Prüfungsämter den Studierenden transparente Informationen zur Prüfungsüberwachung und auch ggf. Verhaltensanalysen während der Prüfung an die Hand geben, um den Betroffenen so eine informierte Entscheidungsgrundlage für oder gegen eine Onlineprüfung nebst Fernüberwachung zu bieten.
Transparenzproblem bei der Einwilligung der Prüfungskandidaten
Die Teilnahme an elektronischen Fernprüfungen ist z.B. in Bayern freiwillig. Die Datenverarbeitung durch eine entsprechende Software wie z.B. Proctorio basiert auf der Rechtsgrundlage der Einwilligung des Prüfungskandidaten. Doch kann diese tatsächlich informiert, freiwillig und somit wirksam erteilt werden?
Auf dem ersten Blick scheint sich hierbei unter anderem ein Transparenzproblem im Hinblick auf die Datenspeicherung zu ergeben:
Proctorio gibt an, sich an die Vorgaben der DSGVO zu halten, um deren Anforderungen und Standards erfüllen zu können. Insbesondere die Datenaufbewahrung soll den Grundsätzen der „Datenminimierung“ und der „Speicherbeschränkung“ entsprechen. Als Cloud-Speicher setzt Proctorio auf Microsoft Azure mit Rechenzentren in diversen Regionen, u.a. Deutschland, ein. In diesen Rechenzentren sollen alle prüfungsbezogenen Daten mit Null-Knowledge-Verschlüsselung gesichert werden, wodurch niemandem außerhalb der zugelassenen Fakultätsmitarbeiter und Administratoren der Einrichtung Zugang zu den prüfungsbezogenen Daten erhalten soll (selbst Proctorio-Mitarbeiter seien von diesem Zugriff ausgeschlossen). Beim näheren Blick fällt jedoch auf, dass Microsoft Azure eine Datenspeicherung nur für ruhende Daten in beispielsweise Deutschland anbietet. Der Begriff ruhende Daten wird hierbei nicht näher definiert, sorgt für Unklarheit und lässt Zweifel an der Transparenz und einer informierten Einwilligung zu. Auch werden Proctorio-Mitarbeiter vom Zugriff auf die prüfungsbezogenen Daten zwar ausgeschlossen, gleichzeitig bietet Proctorio jedoch Unterstützung bei der Analyse der Prüfungsaufzeichnungen an – ein weiterer Widerspruch.
Entgegen einer theoretischen Annahme, dass personenbezogene Daten über Microsoft Azure nur in einer bestimmten Region, wie beispielsweise Deutschland, gespeichert werden, führt Proctorio in seiner privacy policy weiter aus, dass Betroffene mit Sitz im Europäischen Wirtschaftsraum oder der Schweiz anerkennen und zustimmen, dass ihre personenbezogenen Daten an Proctorio und dessen Einrichtungen in den Vereinigten Staaten und anderen Standorten übertragen werden dürfen. Auch dahingehend lässt der Speicherort der Daten Fragen offen und bietet für Betroffene keinen klaren Einblick für eine informierte Einwilligung.
Fazit:
Proctorio verspricht zwar die Einhaltung von DSGVO-Grundsätzen. Im Falle von Datenverarbeitungen außerhalb der EU sollen hierfür robuste Verfahren und Schutzmaßnahmen zum Einsatz kommen sowie kontinuierliche Überprüfungen der Länder mit Angemessenheitsbeschlüssen. Wo diese fehlen, kämen Standardvertragsklauseln zum Einsatz. Dennoch bleiben hinsichtlich des Umfangs der Datenübertragung in die USA – vor allem im Hinblick auf die Schrems-II-Problematik – Fragen offen, mit denen sich die Verantwortlichen auseinandersetzen und welche sie in die Abwägung, ob ein Dienst wie Proctorio zum Einsatz kommen soll, einbeziehen müssen. Neben den vorgenannten Ausführungen können zudem die Drucksituation der Studierenden auf Grund der Pandemielage einerseits und einer vollüberwachten Prüfung andererseits, gegen eine freiwillige Nutzung und somit rechtmäßige Datenverarbeitung sprechen.