[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2022

9. Schulen und Hochschulen

9.1. Datenschutz bei den SARS-CoV-2 Testungen in Schulen

Auch im Schulbereich war das Jahr 2021 stark von der COVID-19-Pandemie und den daraus resultierenden Herausforderungen geprägt. Während der Infektionswellen im vorangegangenen Berichtszeitraum standen aus schuldatenschutzrechtlicher Sicht neben Fragen rund um die Befreiung von der Pflicht zum Tragen einer Mund-Nasen-Bedeckung (siehe hierzu den Beitrag Nr. 1.1.4) insbesondere die Durchführung und Gestaltung des Distanzunterrichts im Vordergrund (siehe hierzu auch die Ausführungen in meinem 30. Tätigkeitsbericht 2020 unter Nr. 10.1.2). Im Berichtszeitraum verfolgte die Bayerische Staatsregierung zunehmend den Ansatz, den Präsenzunterricht in den Schulen bei Wahrung der Sicherheit und Gesundheit aller Angehörigen der Schulfamilie möglichst lange auch unter den Bedingungen eines dynamischen Infektionsgeschehens zu gewährleisten. Eine zentrale Maßnahme bildete dabei eine regelmäßige und kontinuierliche Testung der Lehrkräfte, des sonstigen schulischen Personals sowie der Schülerinnen und Schüler. Diese politische und schulfachliche Grundentscheidung war auch bei der Anwendung des Datenschutzrechtes in der Schule zu berücksichtigen. Im Berichtszeitraum erreichten mich, insbesondere als zunächst eine grundsätzliche Testobliegenheit sowie später der PCR-Pooltest als neues Testverfahren eingeführt wurden, eine Vielzahl von Beschwerden und Zuschriften Erziehungsberechtigter, die im Hinblick auf den Schutz der personenbezogenen Daten ihrer Kinder besorgt waren. Die an mich herangetragenen Fragestellungen habe ich - neben einigen Einzelkonstellationen, deren Darstellung den Rahmen dieses Berichts sprengen würde - im Wesentlichen so beantwortet, wie ich nachfolgend zusammengefasst habe.

9.1.1. SARS-CoV-2-Selbsttestungen in Schulen

Im Laufe des Berichtszeitraums kamen an den bayerischen öffentlichen Schulen regelmäßig Corona-Selbsttests zum Einsatz. Diese Tests führten Schülerinnen und Schüler unter Aufsicht einer Lehrkraft durch.

Die in Zuschriften an mich geäußerten Datenschutzbedenken zu diesem Verfahren konnte ich zwar nachvollziehen, weil so regelmäßig Mitschülerinnen und Mitschüler von einem positiven Testergebnis erfahren. Gleichwohl führte dies nicht dazu, dass eine Datenverarbeitung unzulässig war.

9.1.1.1. Rechtsgrundlage zur Datenverarbeitung

Nach Art. 6 Abs. 1 DSGVO darf auch eine Schule personenbezogene Daten der Schülerinnen und Schüler nur aufgrund einer Rechtsgrundlage verarbeiten. Dies gilt auch dann, wenn Schulen im Rahmen einer Testobliegenheit für den Präsenzunterricht personenbezogene Daten verarbeiten, wie etwa ein negatives Ergebnis eines PCR- oder PoC-Antigentests oder das Testergebnis des in der Schule unter Aufsicht durchgeführten Selbsttests. Auch Gesundheitsdaten dürfen aufgrund von gesetzlichen Rechtsgrundlagen verarbeitet werden (vgl. Art. 9 Abs. 2 Buchst. g oder i DSGVO).

Der Gesetzgeber hat in den im Berichtszeitraum erlassenen Bayerischen Infektionsschutzmaßnahmenverordnungen die rechtlichen Voraussetzungen für eine Datenverarbeitung durch die Schulen geschaffen. Hierzu habe ich das Bayerische Staatsministerium für Unterricht und Kultus teils sehr kurzfristig datenschutzrechtlich beraten.

Zwar wurden die Bestimmungen der Bayerischen Infektionsschutzmaßnahmenverordnungen kontinuierlich fortgeschrieben und in Details geändert. Jedoch lassen sich die zentralen normativen Vorgaben zu den Selbsttests in der Schule während des Berichtszeitraums wie folgt beschreiben:

"Die Teilnahme am Präsenzunterricht, an sonstigen Schulveranstaltungen oder schulischen Ferienkursen in Präsenz sowie an der Mittags- und Notbetreuung ist Schülerinnen und Schülern nur erlaubt, wenn sie drei Mal wöchentlich einen in der jeweiligen Bayerischen Infektionsschutzmaßnahmenverordnung näher geregelten Testnachweis (PCR-Test, PoC-PCR-Test, PoC-Antigentest) erbringen oder in der Schule unter Aufsicht einen über die Schule zur Verfügung gestellten und dort zu verwendenden Selbsttest mit negativem Ergebnis vorgenommen haben.

Die Schule verarbeitet das Testergebnis für die Zwecke der Aufrechterhaltung des Präsenzunterrichts. Eine Übermittlung von Testdaten an Dritte findet im Übrigen vorbehaltlich von Meldepflichten nach dem Infektionsschutzgesetz nicht statt. Das Testergebnis wird höchstens 14 Tage aufbewahrt."

Die Schulen konnten sich somit auf die gesetzliche Befugnis zur Datenverarbeitung nach Art. 85 Abs. 1 Satz 1 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) in Verbindung mit dieser Regelung der jeweils geltenden Bayerischen Infektionsschutzmaßnahmenverordnung berufen.

Beim Selbsttest im Klassenverband konnten Schülerinnen und Schüler bemerken, wenn bei einer oder einem anderen ein positives Testergebnis vorlag. In diesem Fall sollte sich die betroffene Person sofort absondern, und der Schulbesuch durfte nicht weiter fortgesetzt werden. Spätestens bei Abholung einer positiv getesteten Schülerin oder eines positiv getesteten Schülers durch einen Erziehungsberechtigten erfuhren die übrigen Schülerinnen und Schüler faktisch das Testergebnis.

Selbst wenn man in dieser eben geschilderten Möglichkeit der Kenntnisnahme nicht nur einen faktischen Umstand sieht, sondern rechtlich eine Datenverarbeitung der Schule, so war sie durch die gesetzliche Befugnis im Grundsatz nach Art. 85 Abs. 1 Satz 1 BayEUG in Verbindung mit der oben genannten Regelung der jeweiligen Bayerischen Infektionsschutzmaßnahmenverordnung gedeckt.

Soweit eine gesetzliche Befugnis die Datenverarbeitung - wie hier - erlaubt, ist die Einholung einer Einwilligung der betroffenen Personen nicht erforderlich.

9.1.1.2. Speicherung der Testergebnisse der Selbsttests

Abgesehen von der eben erwähnten zeitlichen Vorgabe zur Speicherung der Testergebnisse für höchstens 14 Tage machten die Bayerischen Infektionsschutzmaßnahmenverordnungen keine weiteren Vorgaben zur Aufbewahrung der Testergebnisse. Insofern gelten die allgemeinen Vorgaben des Datenschutzrechts. Nach dem Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Nach Art. 32 Abs. 1 DSGVO trifft der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Sachgerechte Lösungen waren vor dem Hintergrund dieser Vorgaben an den Schulen vor Ort zu entwickeln. Hierbei sollte die oder der behördliche Datenschutzbeauftragte eingebunden werden. Neben der Aufbewahrung der Dokumentation der Testergebnisse im Schultresor kam auch eine Ablage der Informationen zum Beispiel in einem verschließbaren Aktenschrank an einem allgemein nicht beliebig zugänglichen beziehungsweise absperrbaren Ort, etwa dem Sekretariat oder dem Büro der Schulleitung, in Betracht.

9.1.1.3. Alternative: externe PCR- oder PoC-Antigentests

In diesem Zusammenhang ist noch hervorzuheben, dass die oben dargestellten Regelungen der Bayerischen Infektionsschutzmaßnahmenverordnungen als Alternative zum Selbsttest in der Schule die Möglichkeit boten, ein aktuelles negatives Ergebnis eines außerhalb der Schule durchgeführten PCR- oder PoC-Antigentests vorzuweisen. Somit konnte jeder, der keinen Selbsttest in der Schule im Klassenverband durchführen wollte, selbst außerhalb der Schule einen PCR- oder PoC-Test durchführen lassen und dessen aktuelles (negatives) Ergebnis in der Schule vorweisen, um den Präsenzunterricht besuchen zu können. Das Ergebnis war von der Schule in geeigneter Weise zu dokumentieren (zum Beispiel durch einen Aktenvermerk). Die Aufbewahrung des Originals oder einer Kopie des PCR- oder PoC-Testergebnisses, etwa in der Schülerakte, war jedoch nicht erforderlich und somit datenschutzrechtlich grundsätzlich nicht zulässig (Art. 5 Abs. 1 Buchst. e DSGVO).

9.1.2. PCR-Pooltests an Grund- und Förderschulen

9.1.2.1. Testverfahren

Im Schuljahr 2021/22 wurden in den Jahrgangsstufen 1 bis 4 sowie an Förderschulen mit den Schwerpunkten geistige Entwicklung, körperliche und motorische Entwicklung sowie Sehen die Corona-Selbsttests in den Schulen grundsätzlich durch das PCR-Pooltestverfahren abgelöst. Bei einem PCR-Pooltest werden Speichelproben von mehreren Personen gemeinsam in einer Gesamtprobe (dem "Pool") untersucht. Dies geschieht, indem die Schülerinnen und Schüler für 30 Sekunden an einem Abstrichtupfer lutschen (wie an einem Lolli). Alle Abstrichtupfer einer Klasse kommen gemeinsam in einen Behälter. Es entsteht eine anonyme Sammelprobe. Im Anschluss werden die Speichelproben in ein Labor transportiert und mithilfe des PCR-Verfahrens ausgewertet. Zusätzlich zur Poolprobe wird noch eine Einzelprobe genommen. Diese wird ausschließlich dann ausgewertet, wenn der Pooltest positiv ausfällt. In diesem Fall kann schnell ermittelt werden, welches Kind betroffen ist. Ist der Pooltest negativ, werden die Proben entsorgt. Auch zu den PCR-Pooltests erreichten mich viele Anfragen und allgemeine Beschwerden. Insbesondere wurde dabei die Freiwilligkeit eingeholter datenschutzrechtlicher Einwilligungen und die Übermittlung der anonymisierten Daten von den Laboren an das Institut für Medizinische Informationsverarbeitung Biometrie und Epidemiologie (IBE) an der Ludwig-Maximilians-Universität München (LMU) thematisiert.

9.1.2.2. Wissenschaftliche Begleitstudie

Das Kultusministerium hat auf seiner Webseite weitergehende umfangreiche Informationen insbesondere zum Testverfahren, zur Ergebnisübermittlung an die Erziehungsberechtigten, zur Einwilligungserklärung und zum Datenschutz sowie zur wissenschaftlichen Begleitstudie veröffentlicht. Danach werde die Speichelprobe der Schülerinnen und Schüler selbst nicht an die Forschungsgruppe weitergegeben. Das Forschungsinstitut erhalte nur die Auswertungsergebnisse der Poolproben und gegebenenfalls der Einzelproben. Diese Daten würden vollständig anonymisiert an das Forschungsinstitut weitergegeben, eine Rückverfolgung hin zu den Poolteilnehmerinnen und Poolteilnehmern sei dem IBE oder der LMU nicht möglich. Es werde somit nicht - wie in einigen an mich herangetragenen Anfragen und Beschwerden befürchtet wurde - mit der DNA der Schülerinnen und Schüler geforscht.

9.1.2.3. Rechtsgrundlage zur Datenverarbeitung

Die Teilnahme an zwei wöchentlichen PCR-Pooltests, die nun an die Stelle der Selbsttestungen treten konnte, war - ebenso wie die Teilnahme an den vorstehend bereits beschriebenen Selbsttests - für die Schülerinnen und Schüler freiwillig. Schülerinnen und Schülern, die nicht am PCR-Pooltest teilnehmen wollten, blieb auch hier die Möglichkeit, den geforderten negativen Testnachweis alternativ durch die Vorlage externer PCR- oder PoC-Antigentests zu erbringen. Diese Tests waren für die betroffenen Schülerinnen und Schüler kostenlos (§ 4a Coronavirus-Testverordnung - TestV).

Die Verarbeitung der personenbezogenen Daten der Schülerinnen und Schüler bei der Teilnahme an den PCR-Pooltests wurde, auch im Hinblick auf die Beteiligung von Laboren, auf eingeholte datenschutzrechtliche Einwilligungen der betroffenen Schülerinnen und Schüler beziehungsweise der Erziehungsberechtigten gestützt. Die Freiwilligkeit dieser Einwilligungen habe ich wegen der verbleibenden alternativen Nachweismöglichkeiten grundsätzlich als gewährleistet angesehen. Bei der erfolgten Ausgestaltung habe ich im Berichtszeitraum somit keinen Anlass zu aufsichtsrechtlichen Maßnahmen gesehen.

Gleichwohl werde ich auch das Verfahren der PCR-Pooltests im Rahmen meiner Aufsichtszuständigkeit für die Verarbeitung personenbezogener Daten durch bayerische öffentliche Stellen weiter aufmerksam verfolgen.

9.1.3. Verarbeitung des Impf- oder Genesenenstatus

Mit zunehmendem Fortschritt der Impfkampagne und der Zulassung von Corona-Impfstoffen für jüngere Alterskohorten stellte sich auch die Frage, ob und wie die Schulen den Impf- oder Genesenenstatus der Schülerinnen und Schüler verarbeiten durften. Die hierzu im Berichtszeitraum eingegangenen Anfragen und Beschwerden habe ich auf Grundlage folgender Erwägungen beantwortet:

9.1.3.1. Status befreit von der Testobliegenheit

Die COVID-19-Schutzmaßnahmen-Ausnahmenverordnung stellte geimpfte Personen und genesene Personen mit negativ getesteten Personen gleich, wenn eine landesrechtliche Vorschrift vorgibt oder voraussetzt, dass eine Person negativ auf eine Infektion mit dem Coronavirus SARS-CoV-2 getestet ist. Somit konnten sich geimpfte oder genesene Schülerinnen und Schüler im Berichtszeitraum von der Testobliegenheit beziehungsweise Nachweispflicht eines negativen PCR- oder POC-Antigentests nach der oben genannten Regelung der jeweiligen Bayerischen Infektionsschutzmaßnahmenverordnung befreien, wenn sie der Schule ihren Impfstatus oder ihren Genesenenstatus offenbarten. Ohne entsprechend negative Testung oder einen gleichgestellten Status konnte der Präsenzunterricht nicht besucht werden.

9.1.3.2. Rechtsgrundlage zur Datenverarbeitung

Bayerische öffentliche Schulen konnten im Berichtszeitraum nach Art. 85 Abs. 1 Satz 1 BayEUG in Verbindung mit der oben genannten Regelung der jeweiligen Bayerischen Infektionsschutzmaßnahmenverordnung und der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung die Daten von Schülerinnen und Schülern verarbeiten, die erforderlich waren, um die bestehende Ausnahme vom Erfordernis eines negativen Testnachweises aufgrund des Status "geimpft" oder "genesen" festzustellen. Auch wenn es sich um Gesundheitsdaten handelte, konnten sie aufgrund von gesetzlichen Rechtsgrundlagen verarbeitet werden (vgl. Art. 9 Abs. 2 Buchst. g oder i DSGVO). Eine Einwilligung war nicht notwendig.

Aufgrund der Beschulung im Klassenverband war eine Kenntnisnahme des Status der anderen Schülerinnen und Schüler bereits durch die Abläufe nicht vermeidbar und insoweit auch von der gesetzlichen Regelung mitumfasst. Wer im Klassenverband nicht an der Testung teilnahm und auch keinen Testnachweis vorlegte, jedoch den Unterricht besuchte, war für die Mitschülerinnen und Mitschüler regelmäßig bereits dadurch als "geimpft" oder "genesen" erkennbar.

Datenschutzrechtlich war auch nichts dagegen einzuwenden, wenn die Schule Einsicht in den Nachweis des Impf- oder Genesenenstatus nahm und hierüber einen Aktenvermerk zwecks Dokumentation des Status in Bezug auf die Befreiung von der Testpflicht nach den Bayerischen Infektionsschutzmaßnahmenverordnungen anfertigte. Dies konnte etwa auch in Form der Führung einer Klassenliste (mit entsprechenden Markierungen zum Namen) geschehen. Eine solche Liste durfte aus Datenschutzsicht freilich nicht allgemein offen einsehbar sein.

9.1.3.3. Freiwillige Offenbarung des Impf- oder Genesenenstatus

Eine Auskunftspflicht der Schülerinnen und Schüler oder ihrer Erziehungsberechtigten über den Impf- oder Genesenenstatus gegenüber der Schule konnte ich allerdings nicht erkennen. Vielmehr erfolgte die Angabe des Impf- oder Genesenenstatus freiwillig. Für die Befreiung von der Testobliegenheit nach der jeweiligen Bayerischen Infektionsschutzmaßnahmenverordnung war die (freiwillige) Offenbarung des Impf- oder Genesenenstatus gleichwohl die Bedingung.

Aus Datenschutzsicht konnten mit diesem Befund daher grundsätzlich auch keine Einwände dagegen erhoben werden, wenn die Schule die Erziehungsberechtigten oder die Schülerinnen und Schüler nach dem Nachweis eines Impf- oder Genesenenstatus fragte, um auf diese Weise festzustellen, ob eine Befreiung von der Testobliegenheit vorliegt. Selbstverständlich sollte die Schule dabei nicht den Eindruck erwecken, dass eine Pflicht zur Offenbarung des Impf- oder Genesenenstatus bestehe. Den Schulen war daher zu empfehlen, die Erziehungsberechtigten vorab entsprechend zu informieren.

9.2. Elektronische Fernprüfungen und alternative Präsenzprüfungen bei Hochschulen

In meinem 30. Tätigkeitsbericht 2020 habe ich unter Nr. 10.1.4 über die Einführung von Regelungen für die Durchführung von elektronischen Fernprüfungen durch Hochschulen und meine diesbezügliche Beratung des zuständigen Bayerischen Staatsministeriums für Wissenschaft und Kunst berichtet. Auch im Jahr 2021 führten Hochschulen elektronische Fernprüfungen durch. Dies brachte es mit sich, dass einzelne Studierende Beschwerden bei mir eingereicht haben. Die Prüfung dieser Beschwerden gestaltet sich anspruchsvoll. Denn zum einen waren anzuwendende Gesetze, insbesondere die Bayerische Fernprüfungserprobungsverordnung (BayFEV), für alle Beteiligten neu. Hierzu bestehende Rechtsfragen müssen also erstmals geklärt werden. Zum anderen waren auch die Sachverhalte und die dadurch aufgeworfenen datenschutzrechtlichen Probleme teilweise komplex. Eine der von mir durchgeführten Untersuchungen einer elektronischen Fernprüfung und einer alternativen Präsenzprüfung an einer Hochschule greife ich im Folgenden heraus.

9.2.1. Sachverhalt

Eine Hochschule führte eine Prüfung unter Einsatz einer speziellen Prüfungssoftware durch. Die Prüfung konnte auf zwei Arten absolviert werden: zum einen als elektronische Fernprüfung und zum anderen als Präsenzprüfung im Hörsaal. Bei der Präsenzprüfung gab es zwar eine Aufsicht vor Ort. Gleichwohl fand auch die Prüfung im Hörsaal auf dem eigenen Rechner des jeweiligen Prüflings statt. Sowohl für die Fern- als auch für die Präsenzprüfung installierten die Prüflinge die Prüfungssoftware auf ihrem jeweils eigenen Rechner. Dabei konnten mittels dieser Software dort jedenfalls folgende Verarbeitungen durch die Hochschule vorgenommen werden:

  • Verifizieren der technischen Funktionalitäten des Prüfungsrechners, das heißt die Software prüft die korrekte Funktionalität, bevor die Prüfung beginnt;
  • Aufnahme-Werkzeuge (Bildschirm-Aufzeichnung, Nachweis der Aktivitäten auf dem Bildschirm des Prüflings; Webtraffic [Erkennen von angesteuerten Internet-Seiten]);
  • Sperr-Funktionalitäten (Full-Screen-Modus, nur 1 Bildschirm, zusätzliche Browser-Tabs verhindern, offene Tabs schließen, Drucken deaktivieren, Zwischenablage deaktivieren, Downloads verhindern, Cache [Zwischenspeicher] leeren, Rechtsklick der Computermaus verhindern, Wiedereintritt in die Prüfung ermöglichen).

Bei der elektronischen Fernprüfung kamen zu diesen Verarbeitungsvorgängen noch weitere hinzu (Verifizierung von Video und Audio, Identifizierung des Prüflings sowie Videoaufnahme des Prüflings und Audioaufnahme des Prüfungsraumes zum Nachweis von Gesprächen).

9.2.2. Rechtliche Bewertung

Aufgrund meiner Prüfung stellte ich mehrere Datenschutzverstöße der Hochschule fest. Diese betrafen den Einsatz der Software bei der Präsenzprüfung im Hörsaal sowie bei der elektronischen Fernprüfung. So konnte ich für einen Teil der dabei veranlassten Datenverarbeitungen keine Rechtsgrundlage nach der Bayerische Fernprüfungserprobungsverordnung erkennen, die Vorgaben der Bayerischen Fernprüfungserprobungsverordnung wurden überschritten oder die Hochschule hat deren Einhaltung bislang nicht nachgewiesen. Daneben wurden mehrere Mängel bei der Erfüllung der Informationspflichten nach Art. 13 DSGVO sowie der Gestaltung des vorgelegten Vertrags zur Auftragsverarbeitung (Art. 28 Abs. 3 DSGVO) offenbar. Auch gegenüber der Hochschule habe ich betont, dass eine umfassende und abschließende Prüfung des Einsatzes dieser Software durch die Hochschule mit meiner Untersuchung nicht verbunden war.

Die umfassende Darstellung der Datenschutzmängel würde den Rahmen dieses Berichts sprengen. Meine nachfolgenden Erläuterungen beschränke ich daher auf die zur elektronischen Präsenzprüfung festgestellten Defizite. Diese lagen darin begründet, dass keine Befugnis der Hochschule für die Datenverarbeitung auf den Rechnern der Prüfungsteilnehmerinnen und Prüfungsteilnehmer in der Präsenzprüfung bestand.

9.2.2.1. § 4 Abs. 1 Satz 1 BayFEV

Zwar erlaubt § 4 Abs. 1 Satz 1 BayFEV, dass die Hochschulen im Rahmen elektronischer Fernprüfungen personenbezogene Daten verarbeiten, soweit dies zur ordnungsgemäßen Durchführung der Prüfung zwingend erforderlich ist. In § 4 Abs. 4 BayFEV heißt es konkretisierend weiterhin:

"Bei elektronischen Fernprüfungen sind Lernmanagementsysteme, Prüfungsplattformen, Videokonferenzsysteme und andere technische Hilfsmittel so zu verwenden, dass notwendige Installationen auf den elektronischen Kommunikationseinrichtungen der Studierenden nur unter den folgenden Voraussetzungen erfolgen:

  1. Die Funktionsfähigkeit der elektronischen Kommunikationseinrichtung wird außerhalb der Prüfung nicht und währenddessen nur in dem zur Sicherstellung der Authentifizierung sowie der Unterbindung von Täuschungshandlungen notwendigen Maße beeinträchtigt,

[...]"

§ 4 Abs. 4 Nr. 1 BayFEV setzt den Einsatz technischer Hilfsmittel auf elektronischen Kommunikationseinrichtungen der Studierenden voraus; die Vorschrift kann im Zusammenspiel mit § 4 Abs. 1 Satz 1 BayFEV als Befugnis der Hochschulen verstanden werden, zur Sicherstellung der Authentifizierung sowie der Unterbindung von Täuschungshandlungen notwendige Installationen auf den Kommunikationseinrichtungen der Studierenden vorzuschreiben.

Die Vorschrift findet allerdings ausdrücklich nur auf Prüfungen Anwendung, die als elektronische Fernprüfungen durchgeführt werden. Als solche bestimmt § 1 Abs. 1 Satz 2 BayFEV Prüfungen, die ihrer Natur nach dafür geeignet sind, in elektronischer Form und ohne die Verpflichtung, persönlich in einem vorgegebenen Prüfungsraum anwesend sein zu müssen, durchgeführt werden. Die von der Hochschule alternativ angebotene und durchgeführte Präsenzprüfung im Sinne von § 8 Abs. 1 Satz 2 BayFEV stellte jedoch gerade keine solche elektronische Fernprüfung dar. Dies gilt auch dann, wenn diese nicht schriftlich, also auf Papier, sondern elektronisch auf einem PC oder Laptop abgenommen wird.

Mit anderen Worten: Für Eingriffe in die Datenverarbeitung auf Rechnern der Prüflinge, die diese bei der Präsenzprüfung im Hörsaal als Prüfungsmittel mitbringen, stellt § 4 BayFEV keine Grundlage dar.

9.2.2.2. Studienordnung

Auch der Studienordnung der Hochschule für das betroffene Studienfach war keine Rechtsgrundlage für diese Datenverarbeitungen zu entnehmen. Es wäre im Übrigen mit Blick auf die verfassungsrechtliche Wesentlichkeitstheorie auch sehr zweifelhaft, ob die Hochschulen überhaupt über die Befugnis verfügen, in Studienordnungen Rechtsgrundlagen für diese Datenverarbeitung zu schaffen (siehe hierzu bereits meinen 30. Tätigkeitsbericht 2020 unter Nr. 10.1.4). Diese verfassungsrechtliche Frage brauchte hier allerdings nicht weiter vertieft werden, da die in Rede stehende Studienordnung keine spezifisch datenschutzrechtliche Regelung, insbesondere keine datenschutzrechtliche Verarbeitungsbefugnis, enthielt.

9.2.2.3. Einwilligung

Zwar hatte die Hochschule zudem auch Einwilligungserklärungen der Prüfungsteilnehmerinnen und Prüfungsteilnehmer eingeholt. Diese waren nach dem Ergebnis meiner datenschutzrechtlichen Überprüfung jedoch unwirksam.

Nach der gesetzlichen Konzeption der Bayerischen Fernprüfungserprobungsverordnung soll die Präsenzprüfung nach § 8 Abs. 1 Satz 2, Abs. 2 BayFEV als "analoge" Alternative für die elektronische Fernprüfung verbleiben. Durch diese Alternative soll sichergestellt werden, dass die Absolvierung der elektronischen Fernprüfung für die Studierenden freiwillig ist (vgl. § 8 Abs. 1 Satz 1 BayFEV). Eine Alternative zur elektronischen Fernprüfung liegt jedoch nur dann vor, wenn sich die Präsenzprüfung von der elektronischen Fernprüfung - im Hinblick auf die betroffenen Grundrechte - deutlich unterscheidet. Diesem gesetzlichen Konzept widerspricht es jedoch, wenn die Hochschule die Präsenzprüfung durch die Einholung von Einwilligungen zu einer "halben" elektronischen Fernprüfung nach § 4 Abs. 4 und § 6 Abs. 4 BayFEV macht, indem sie mittels Software die Datenverarbeitung des privaten PCs des Studenten beeinflusst und blockiert und gegebenenfalls automatisiert überwacht (Bildschirm-Aufzeichnung, Webtraffic-Erkennen). Mit diesem Befund verstieß die Einholung von Einwilligungen zu dieser Art der Datenverarbeitung auf privaten Rechnern der Studierenden bereits gegen das Konzept des § 8 Abs. 1 Satz 2, Abs. 2 BayFEV.

Zugleich lag auch ein Verstoß gegen die "Sperrwirkung" der gesetzlich geregelten Datenverarbeitungsbefugnisse und den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) vor. Soweit der Zweck und der Umfang der Datenverarbeitung nicht im gesetzlichen Aufgabenbereich der Hochschule liegen, das heißt nicht von der Bayerischen Fernprüfungserprobungsverordnung gedeckt sind, scheidet auch eine flächendeckende allgemeine Verarbeitung auf der Grundlage einer Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO in Verbindung mit Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO) aus. Die Verarbeitung personenbezogener Daten auf Grundlage von Einwilligungen soll bei bayerischen öffentlichen Stellen (weiterhin) nur in Ausnahmefällen erfolgen. Sie stellt gerade kein Mittel dar, um den öffentlichen Stellen die Möglichkeit zu geben außerhalb ihres gesetzlich festgelegten Aufgabenbereiches tätig zu werden. Wurde die konkrete Datenverarbeitung bewusst aus Gründen der Datensparsamkeit nicht gesetzlich geregelt, verbietet sich mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO regelmäßig ein Rückgriff auf eine Einwilligung.

Unabhängig davon, dass Einwilligungen hier aus den genannten Gründen von vornherein nicht als Rechtsgrundlage herangezogen werden konnten, konnte ich bei der konkreten Verfahrensweise auch nicht feststellen, dass die Einwilligungen von allen Betroffenen freiwillig erklärt und ausreichend informiert eingeholt worden sind.

9.2.2.4. Fortgang

Die von der Hochschule angeforderte Stellungnahme zu meinen Feststellungen sowie zu erfolgten Änderungen und Anpassungen im Falle eines beabsichtigten weiteren Einsatzes dieser Software habe ich zum Redaktionsschluss dieses Berichts noch nicht erhalten. Die Thematik werde ich jedenfalls weiter im Blick behalten.

Über meine Feststellungen gegenüber der Hochschule habe ich das Wissenschaftsministerium mit Blick auf die gesetzlich vorgesehene Evaluation durch das Wissenschaftsministerium spätestens zum Jahresende 2024 sowie den Bericht hierzu an den Landtag (Art. 61 Abs. 10 Satz 4 Bayerisches Hochschulgesetz) informiert. Zudem hat das Wissenschaftsministerium gemäß Art. 3 Abs. 1 BayDSG in seinem Bereich die rechtskonforme Ausführung der Datenschutzvorschriften sicherzustellen.

  1. Vgl. etwa § 12 Abs. 2 15. BayIfSMV vom 23. November 2021 (BayMBl. Nr. 816). Die dortigen Normverweise wurden im Zitat paraphrasiert. [Zurück]
  2. Internet: https://www.km.bayern.de/allgemein/meldung/7451/haeufig-gestellte-fragen-faq-zu-den-pooltests.html (externer Link). [Zurück]
  3. Siehe auch Bayerischer Verwaltungsgerichtshof, Beschluss vom 11. Oktober 2021, 25 NE 21.2525, BeckRS 2021, 30069, Rn. 14, 26, 30; Verwaltungsgericht Regensburg, Beschluss vom 21. Oktober 2021, RN 5 E 21.1961, BeckRS 2021, 32314, insbesondere Rn. 37. [Zurück]