[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

10. Schulen, Hochschulen, Kultur

10.1. Beratung bei der Änderung schulrechtlicher Vorschriften

Auch in diesem Berichtszeitraum beriet ich das Bayerische Staatsministerium für Unterricht und Kultus intensiv zu Änderungen schulrechtlicher Vorschriften. Datenschutzrechtlich relevante Änderungen betrafen das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen sowie die Bayerische Schulordnung. Zudem veröffentlichte das Kultusministerium zwei neue Bekanntmachungen im Bereich des Schuldatenschutzes.

10.1.1. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen

Im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen ist vor allem die Einfügung von Bestimmungen zum Distanzunterricht hervorzuheben.

Mit der Einfügung des neuen Art. 30 Abs. 2 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) kam der Gesetzgeber meiner früh zu Beginn der COVID-19-Pandemie erhobenen Forderung (siehe hierzu Beitrag Nr. 10.1.2 in meinem 30. Tätigkeitsbericht 2020) nach, den bislang in § 19 Abs. 4 Bayerische Schulordnung (BaySchO) nur auf Ebene einer Rechtsverordnung geregelten Distanzunterricht dem Wesentlichkeitsgedanken des Bundesverfassungsgerichts entsprechend in einem formellen Gesetz zu verankern. Die nun erfolgte Umsetzung begrüße ich, weil damit der unmittelbar demokratisch legitimierte Gesetzgeber die wegen der Eingriffsintensität vor allem auch unter dem Blickwinkel des Datenschutzes bedeutsame Entscheidung zum Distanzunterricht ausdrücklich getroffen hat.

Zudem bewerte ich die Klarstellung in Art. 30 Abs. 2 Satz 1 BayEUG positiv, dass der Präsenzunterricht der Regelfall ist (und bleibt). Die Beschränkung des Distanzunterrichts auf den Ausnahmefall, wie es die derzeitige Regelung des § 19 Abs. 4 Satz 1 BaySchO vorsieht, halte ich für geboten, weil beim Distanzunterricht verschiedene Grundrechte betroffen sein können (Recht auf informationelle Selbstbestimmung, Gleichheitsgebot, unter Umständen auch Unverletzlichkeit der Wohnung). Nach meiner derzeitigen Einschätzung birgt der Distanzunterricht wegen der Natur der Sache stets gewisse Risiken für die Rechte der betroffenen Personen, insbesondere für das Recht auf informationelle Selbstbestimmung.

Für den Fall des Distanzunterrichts hat der Gesetzgeber sowohl für die Lehrkräfte als auch für die Schülerinnen und Schüler die Pflicht zu einer Bild-und-Ton-Übertragung geregelt. Die entsprechenden Normen lauten:

Art. 56 BayEUG

Rechte und Pflichten

[...]

(4) [...] 4Erfolgt die Teilnahme am Distanzunterricht im Wege einer Videoübertragung, sind die teilnehmenden Schülerinnen und Schüler zur Übertragung des eigenen Bildes und Tones verpflichtet, soweit die Aufsicht führende Lehrkraft dies aus pädagogischen Gründen fordert und die technischen Voraussetzungen vorliegen. [...]

Art. 59 BayEUG

Lehrkräfte

[...]

(2) [...] 2Erteilen Lehrkräfte Distanzunterricht im Wege einer Videoübertragung und liegen die technischen Voraussetzungen vor, sind sie in der Regel zur Übertragung des eigenen Bildes und Tones verpflichtet. [...]

Zuvor war nach der bis dahin allein relevanten Regelung des § 46 Abs. 1 BaySchO in Verbindung mit Anlage 2 Abschnitt 7 Nr. 3.2 BaySchO die Freigabe des Videobilds oder der Bildschirmanzeige freiwillig.

Die Notwendigkeit dieser aus Sicht der betroffenen Person strengeren Regelung durch Art. 56 Abs. 4 Satz 4 BayEUG und Art. 59 Abs. 2 Satz 2 BayEUG ließ ich mir vom Kultusministerium ausführlich erläutern. Es legte mir daraufhin nachvollziehbar dar, die bestehenden Erfahrungen hätten gezeigt, dass die Videobildübertragung von Schülerinnen und Schülern sowie Lehrkräften regelmäßig von essenzieller Bedeutung für einen funktionierenden Distanzunterricht sei. Denn auch der Distanzunterricht würde sich durch schulisches Miteinander und synchrone soziale Interaktion auszeichnen. Gegen diese aus schulfachlicher Sicht gut begründete Auffassung zur Erforderlichkeit der Neuregelung hatte ich daher aus datenschutzrechtlicher Sicht keine Einwände.

10.1.2. Bayerische Schulordnung

Im Berichtszeitraum wurden in der Anlage 2 der Bayerischen Schulordnung zum einen punktuelle Änderungen im Abschnitt 7 "Digitale Kommunikations- und Kollaborationswerkzeuge" vorgenommen. Zum anderen wurde ein neuer Abschnitt 8 "Zentrale vom Freistaat Bayern über das Staatsministerium bereitgestellte Nutzerverwaltung und Anmeldeinfrastruktur" aufgenommen. Dieser neue Abschnitt 8 ist im Zusammenhang mit dem Projekt des Kultusministeriums "BayernCloud Schule (ByCS)" zu sehen. Die BayernCloud Schule wird vom Kultusministerium als Plattform für Unterricht, Kommunikation, Zusammenarbeit, Fortbildung, Organisation und Verwaltung entwickelt. Der neue Abschnitt 8 schafft in Verbindung mit § 46 BaySchO die normative Grundlage für ein Identitäts-Management-System (IDM), welches eine zentrale Nutzerverwaltung und Anmeldestruktur innerhalb des Programms BayernCloud Schule gewährleistet. Wie mir das Kultusministerium darlegte, sei die zentrale Bevorratung der Daten im IDM aus technischer Sicht zwingend notwendig. Eine gemeinsame Datenbasis für alle an das IDM angeschlossenen Anwendungen (etwa ein Videokonferenztool) sichere die Integrität der Daten durch die Minimierung von Redundanzen. Vor diesem Hintergrund trat ich der neuen Regelung nicht entgegen.

Allerdings konnte ich durch meine Hinweise deutliche Verbesserungen des Datenschutzes erreichen, die ich hier auswahlweise vorstelle:

  • In Abschnitt 7 von Anlage 2 der Bayerischen Schulordnung, der die Datenverarbeitung durch digitale Kommunikations- und Kollaborationswerkzeuge umfasst, wurde der Umfang der nach Nr. 3.1.4 zulässig zu verarbeitenden Inhaltsdaten um die Information "- auf den Einzelfall bezogene und im Einzelfall auf Veranlassung der betroffenen Person erzeugte Standortdaten" erweitert. In der Begründung wurde erläutert, dass damit vor allem im Notfall ein Schüler seinen Standort per Messenger für andere Schüler oder Lehrkräfte freigeben oder übermitteln könne. Ich ließ mir vom Kultusministerium bestätigen, dass diese neue Regelung nur Datenverarbeitungen auf Initiative der betroffenen Person, also auf freiwilliger Basis, erfasst. Zudem wurde dieser Aspekt der Freiwilligkeit durch die Nachbemerkung "(freiwillig)" deutlicher im Normtext hervorgehoben.
  • Auf mein Anraten hin begrenzte das Kultusministerium Abschnitt 8 von Anlage 2 der Bayerischen Schulordnung zum IDM normtextlich und damit tatbestandlich auf "Zentrale vom Freistaat Bayern über das Staatsministerium bereitgestellte Nutzerverwaltung und Anmeldeinfrastruktur". Denn hierdurch wird klargestellt, dass von Abschnitt 8 nur das vom Kultusministerium geprüfte und freigegebene IDM erfasst wird und die Schulen aus datenschutzrechtlicher Sicht nur dieses IDM verwenden dürfen, weil (nur) insoweit eine Verarbeitungsbefugnis nach § 46 BaySchO in Verbindung mit Anlage 2 Abschnitt 8 BaySchO besteht.
  • In Abschnitt 8 von Anlage 2 der Bayerischen Schulordnung zum IDM wird als neues Datum auch ein sogenanntes "Ordnungsmerkmal" für Schülerinnen und Schüler sowie Lehrkräfte eingeführt (Nrn. 3.2.1 und 3.3.1). Ich ließ mir vom Kultusministerium ausführlich erläutern, dass es sich bei diesem Ordnungsmerkmal nicht um eine Art Schüler-Identifikationsnummer oder Schüler-ID handelt (siehe dazu auch Beitrag Nr. 10.1. in meinem 24. Tätigkeitsbericht 2010 sowie die Entschließung "Keine Schülerstatistik ohne Datenschutz" der 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. Oktober 2006 in Naumburg), sondern nur um ein technisches Ordnungsmerkmal. Damit dieses - rein technische - Ordnungsmerkmal nicht zu einer eindeutigen und für die gesamte Schullaufbahn gültigen Personenkennziffer wird, drängte ich auf eine geeignete Klarstellung. Erfreulicherweise konnte ich die ausdrückliche Aufnahme in den Normtext erreichen, dass dieses Ordnungsmerkmal weder für die Schulen noch für die internen und externen Empfänger einsehbar ist, sondern nur eine rein technische Speicherung bzw. Verarbeitung umfasst.

10.1.3. Bekanntmachungen

Schließlich beriet ich das Kultusministerium intensiv zu seiner neuen Bekanntmachung über den Vollzug des Datenschutzrechts an staatlichen Schulen sowie zu seiner neuen Bekanntmachung über Hinweise zur Nutzung der IT-Infrastruktur und des Internetzugangs an Schulen. Diese neuen Bekanntmachungen lösen die Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen sowie die Bekanntmachung über rechtliche Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen ab. Bei den Bekanntmachungen handelt es sich um Verwaltungsvorschriften, die zumindest für staatliche Schulen bindend sind und wichtige Vorgaben für die Schulen zur Umsetzung des Datenschutzes vor Ort enthalten.

Die Bekanntmachung zum Vollzug des Datenschutzes an staatlichen Schulen enthält in Nr. 4.2 Vorgaben zu Foto-, Ton- und Videoaufnahmen. Wie mir meine Beratungspraxis immer wieder vor Augen führt, ist dies ein Thema, das Schulen gerade unter dem Blickwinkel des Datenschutzes sehr beschäftigt. Meine Erfahrung zeigt auch, dass die Schulen ganz überwiegend bemüht sind, die Vorgaben des Datenschutzrechts einzuhalten. Gleichwohl bestehen an Schulen noch Unsicherheiten, wie die Gestaltung eines lebendigen Schulalltags und Schulunterrichts im Einzelfall auch unter Einsatz von Foto- oder Videoaufnahmen rechtskonform mit dem Datenschutz in Einklang zu bringen ist.

Vor diesem Hintergrund begrüße ich, dass die Bekanntmachung diese wichtige Thematik behandelt. Bei meiner Beratung zu dieser Bestimmung achtete ich darauf, dass meine Auffassung dort abgebildet wird. Dabei nutzte ich die Gelegenheit, meine Auffassung zum Datenschutz bei Fotoaufnahmen sowie bei Videoaufnahmen in der Schule zu konsolidieren.

10.2. Datenverarbeitung bei der elektronischen Fernprüfung an Hochschulen (Videoaufsicht)

Über eine Prüfung der Datenverarbeitung einer Hochschule bei einer elektronischen Fernprüfung berichtete ich bereits (siehe Beitrag Nr. 9.2. in meinem 31. Tätigkeitsbericht 2021). Die Hochschule teilte mir zwischenzeitlich mit, dass sie nach Erhalt meiner Bewertungen Sofortmaßnahmen ergriffen und noch im laufenden Prüfungsbetrieb des Wintersemesters 2021/2022 auf die aufgezeigten Datenschutzverstöße reagiert habe. So habe die Hochschule etwa umgehend die Informationen für Studierende ergänzt, die Organisation von Leih-Laptops aufgebaut und bestimmte Software-Funktionen bei Fernklausuren teilweise, bei Präsenzklausuren grundsätzlich komplett abgeschaltet.

Ich konnte nachvollziehen, dass sich im laufenden Prüfungsbetrieb Fernprüfungen mit der eingesetzten Software nicht sofort durch ein anderes Prüfungsformat ersetzen ließen. Die ergriffenen Sofortmaßnahmen begrüßte ich ebenso wie die Entscheidung der Hochschule, die zuvor verwendete Prüfungssoftware seit dem Sommersemester 2022 nicht mehr einzusetzen. Die Hochschule wollte ihre Erfahrungen bewerten und daraus eine neue Strategie für digital unterstützte Präsenz- und Fernprüfungen entwickeln. Dazu bot ich der Hochschule meine Beratung an.

Während ich in meinem letzten Bericht vor allem auf die Datenverarbeitung bei der zur Fernprüfung als Alternative angebotenen Präsenzprüfung einging, steht die Prüfung von Datenverarbeitungen bei der elektronischen Fernprüfung in Form der (menschlichen) Videoaufsicht im Zentrum dieses Beitrags.

Bei dieser Prüfungsform findet die Prüfung auf dem eigenen Computer des Prüflings mit menschlicher (Video-)Aufsicht statt. Die Prüflinge wählen dabei den Raum selbst aus, in dem sie die Fernprüfung ableisten. Meist wird dies ein privater Wohnraum sein. Die Videoaufsicht findet über eine Webcam (eine etwa im Smartphone oder im Laptop integrierte Kamera) statt. Nachfolgend beschränke ich mich auf einige Punkte meiner umfangreichen Prüfung.

10.2.1. Videoaufsicht bei der elektronischen Fernprüfung

10.2.1.1. Rechtsgrundlage

Die von mir geprüfte Hochschule konnte sich im Hinblick auf die Datenverarbeitung bei der Videoaufsicht grundsätzlich auf § 4 Abs. 1 in Verbindung mit § 6 Abs. 1, Abs. 2 Bayerische Fernprüfungserprobungsverordnung (BayFEV) berufen (siehe dazu auch Beitrag Nr. 10.1.4 in meinem 30. Tätigkeitsbericht 2020). Die Bayerische Fernprüfungserprobungsverordnung trat gemäß § 13 Abs. 1 BayFEV rückwirkend zum 20. April 2020 in Kraft. Des Weiteren hatte sich die Hochschule zusätzlich auf eine datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO) der Prüflinge gestützt, da sie mit der Durchführung elektronischer Fernprüfungen noch vor Erlass der Bayerischen Fernprüfungserprobungsverordnung begonnen hatte.

10.2.1.2. § 1 Abs. 2 Satz 2 BayFEV

Nach § 1 Abs. 2 Satz 2 BayFEV kann die elektronische Fernprüfung auch als Alternative zu einer Präsenzprüfung angeboten werden, wenn und soweit diese als Folge von Einschränkungen und Hindernissen aufgrund einer Pandemie, Epidemie oder eines anderen erheblichen Infektionsgeschehens nicht oder nicht für alle Studierenden durchgeführt werden kann. In ihrer Stellungnahme trug die Hochschule vor, dass die Hochschulleitung nach ausführlicher Prüfung aller Möglichkeiten, insbesondere der Anmietung von Zelten, Messe- oder Sporthallen, zu dem Ergebnis gekommen sei, dass selbst unter Ausschöpfung aller räumlichen und personellen Ressourcen eine Durchführung der Prüfung in Präsenzform gemäß den infektionsschutzrechtlichen Rahmenbedingungen nicht bewältigt werden hätte können. Die Hochschule hätte eine fünfstellige Zahl an Prüflingen und das gesamte Aufsichtspersonal im Stadtgebiet konzentrieren müssen. Ausweichmöglichkeiten hätten der Hochschule nicht zur Verfügung gestanden.

Die elektronische Fernprüfung ist nach § 1 Abs. 2 Satz 2 BayFEV - jedenfalls nach datenschutzrechtlichen Maßstäben - eine rechtfertigungsbedürftige Ausnahme vom Regelfall. Nach Art. 5 Abs. 2 DSGVO liegt es in der datenschutzrechtlichen Verantwortung der Hochschule, die Einhaltung der zentralen datenschutzrechtlichen Grundsätze, unter anderem der Rechtmäßigkeit, der Datenminimierung, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchst. a, c, e und f DSGVO zu gewährleisten.

Die Hochschulen haben also nach Art. 5 Abs. 1 Buchst. c DSGVO unter anderem zu prüfen, inwiefern eine elektronische Verarbeitung personenbezogener Daten von Prüflingen in Gestalt einer elektronischen Fernprüfung tatsächlich erforderlich ist. Diese Verpflichtung besteht nach Art. 25 Abs. 1 DSGVO nicht nur bei Festlegung des Verarbeitungsmittels, sondern auch zum Zeitpunkt der eigentlichen Verarbeitung.

Auch nach § 8 Abs. 2 Satz 1 BayFEV haben die Hochschulen festzustellen, ob und für wie viele Studierende eine Präsenzprüfung unter Beachtung der jeweils geltenden infektionsschutzrechtlichen Vorgaben und Empfehlungen angeboten werden kann.

Dem genügte der pauschale Vortrag der Hochschule nicht. Vielmehr wäre nötig gewesen, dass die Hochschule für jede konkrete Prüfung, die sie als elektronische Fernprüfung durchführen wollte, eine individuelle Kalkulation erstellt hätte, wonach unter den jeweils geltenden infektionsschutzrechtlichen Vorgaben eine Präsenzprüfung auch unter Einsatz erhöhter personeller und sachlicher Mittel für die Prüflinge nicht bzw. nicht für alle Prüflinge durchführbar gewesen wäre (vgl. auch § 8 Abs. 2 Satz 1 BayFEV).

Gleichwohl war nicht zu verkennen, dass die Hochschule bei der Planung und Durchführung der hier in Rede stehenden elektronischen Fernprüfung zu Beginn der Pandemie und noch vor Erlass der Bayerischen Fernprüfungserprobungsverordnung mit ganz erheblichen rechtlichen und praktischen Schwierigkeiten konfrontiert war. Vor diesem Hintergrund nahm ich für die damalige Ausnahmesituation den doch recht pauschalen Vortrag zur Kenntnis und wies die Hochschule darauf hin, dass sie diese Vorgaben bei eventuellen zukünftigen elektronischen Fernprüfungen zu beachten hat.

10.2.1.3. § 4 Abs. 1 Satz 1, § 6 Abs. 1 BayFEV

§ 4 Abs. 1 Satz 1 BayFEV erlaubt, dass die Hochschulen im Rahmen elektronischer Fernprüfungen personenbezogene Daten verarbeiten, soweit dies zur ordnungsgemäßen Durchführung der Prüfung zwingend erforderlich ist. Dies gilt nach § 4 Abs. 1 Satz 2 BayFEV insbesondere für Zwecke der Authentifizierung nach § 5 BayFEV und der Videoaufsicht nach § 6 BayFEV.

§ 6 Abs. 1 BayFEV sieht Folgendes vor:

§ 6 BayFEV

Videoaufsicht bei Fernklausuren

(1) 1Zur Unterbindung von Täuschungshandlungen während einer Fernklausur sind die Studierenden verpflichtet, die Kamera- und Mikrofonfunktion der zur Prüfung eingesetzten Kommunikationseinrichtungen zu aktivieren (Videoaufsicht). 2Eine darüberhinausgehende Raumüberwachung findet nicht statt. 3Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen nicht mehr als zu den berechtigten Kontrollzwecken erforderlich eingeschränkt werden.

Die Begründung zur Vorschrift führt Folgendes aus:

"Abs. 1 Satz 1 regelt die Verpflichtung der Studierenden, während der Prüfung die Kamera- und Mikrofonfunktion der zur Prüfung eingesetzten Kommunikationseinrichtungen zu aktivieren, und beinhaltet insoweit eine Legaldefinition des Begriffes der Videoaufsicht. Dies wird im Regelfall die in modernen Computern eingebaute Kamera ("Webcam") und das interne Mikrofon, kann aber auch die Kamera und/oder das Mikrofon eines Smartphones sein, das zu Kontrollzwecken genutzt wird. Letzteres gilt insbesondere in den Fällen, in denen kein Computer mit Kamerafunktion vorhanden ist oder die interne Kamera (wie bei einem Tabletcomputer) bei bestimmungsgemäßem Gebrauch zur Videoaufsicht ungeeignet ist."

Die Videoaufsicht erfolgt durch Aufsichtspersonal der Hochschulen (§ 6 Abs. 2 Satz 1 BayFEV). Somit sieht das Gesetz das sogenannte live-proctoring als Normallfall vor. Die automatisierte Videoaufsicht nach § 6 Abs. 4 BayFEV ist dagegen die Ausnahme "im Sinne einer ultima ratio-Maßnahme" (vgl. Begründung zur Bayerischen Fernprüfungserprobungsverordnung). Dies entspricht der verfassungsrechtlichen Lage und dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO). Die von mir geprüfte Hochschule hatte - was ich aus datenschutzrechtlicher Sicht sehr begrüßte - von einer automatisierten Videoaufsicht Abstand genommen.

Vor diesem Hintergrund waren die Videoaufnahmen des Prüflings und die Audioaufnahme des Prüfungsraumes (Nachweis von Gesprächen) von § 4 Abs. 1, § 6 Abs. 1 und Abs. 2 BayFEV gedeckt.

10.2.1.4. Freiwilligkeit

Zentrales Kriterium für die gesetzliche Befugnis in § 4 Abs. 1 in Verbindung mit § 6 BayFEV ist die Freiwilligkeit der elektronischen Fernprüfung. In der Bayerischen Fernprüfungserprobungsverordnung findet sich das Kriterium in § 8 BayFEV. Aber auch für die datenschutzrechtliche Einwilligung als Rechtsgrundlage (Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO) ist die Freiwilligkeit eine maßgebliche Bedingung. § 8 BayFEV regelt hierzu Folgendes:

"(1) 1Die Teilnahme an elektronischen Fernprüfungen erfolgt auf freiwilliger Basis. 2Die Freiwilligkeit der Teilnahme ist grundsätzlich auch dadurch sicherzustellen, dass eine termingleiche Präsenzprüfung als Alternative angeboten wird. 3Termingleich sind Prüfungen, die innerhalb desselben Prüfungszeitraums unter strenger Beachtung der Grundsätze der Chancengleichheit stattfinden.

(2) [...]2Kann eine Präsenzprüfung nicht durchgeführt werden oder melden sich zu viele Studierende für die Alternative der Präsenzprüfung an, können die Hochschulen Studierende auf den voraussichtlich nächstmöglichen Präsenzprüfungstermin verweisen. 3Prüfungsrechtliche Nachteile dürfen dadurch nicht entstehen. [...]"

10.2.2. Übermittlung des Bildes an Mitprüflinge

Die von mir geprüfte Hochschule hatte zur Durchführung der Videoaufsicht bei der Fernprüfung unter anderem eine Software eingesetzt, welche die Problematik einer Datenübermittlung in die USA aufwarf, die ich in diesem Beitrag nicht weiter vertiefe. Bei Einsatz dieser Software wurde zudem jedenfalls das Bild des Prüflings durch die Webcam nicht nur an die Aufsicht übermittelt, sondern auch an alle anderen Mitprüflinge.

Dies stellt eine Datenübermittlung des Bildes durch die Hochschule an die Mitprüflinge dar, für welche die Hochschule eine Rechtsgrundlage benötigte (vgl. Art. 6 Abs. 1 UAbs. 1DSGVO).

10.2.2.1. Aufnahmen durch Mitprüflinge möglich

Damit im Zusammenhang steht auch das Problem, dass Prüflinge von den anderen Mitprüflingen (unbefugt) Aufnahmen machen oder speichern konnten. Zwar hatte die Hochschule versucht, dieses Risiko durch technisch-organisatorische Maßnahmen zu verringern. Zum einen hatte sie in der Musteranleitung darauf hingewiesen, dass die Prüfungen weder von der Aufsicht noch von den Prüflingen aufgezeichnet werden dürfen. Auch hatte die Hochschule mitgeteilt, dass technisch mittels zentraler Vorgabe die Aufnahmefunktion deaktiviert worden sei. Gleichwohl ist damit nicht ausgeschlossen, dass Prüflinge mit einer (Foto-/Handy-)Kamera die auf dem Bildschirm angezeigten Mitprüflinge fotografieren oder filmen.

10.2.2.2. Keine gesetzliche Befugnis

Auf die gesetzliche Befugnis zur Datenverarbeitung nach § 4 Abs. 1, § 6 Abs. 1 BayFEV konnte sich die Hochschule nicht stützen. Denn die Übermittlung des Bildes an die Mitprüflinge war weder für die Kontrollzwecke der Aufsicht noch für die Durchführung der Klausur erforderlich. Im Gegenteil: § 6 Abs. 1, Abs. 2 BayFEV sieht bei der Videoaufsicht nur eine Übermittlung an das Aufsichtspersonal der Hochschule vor. Zudem ist die Videoaufsicht so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen nicht mehr als zu den berechtigten Kontrollzwecken erforderlich eingeschränkt werden (Art. 6 Abs. 1 Satz 3 BayFEV). Dem widerspricht die Übermittlung des Bildes an die Mitprüflinge.

Auch den in der Sache wenig substantiierten Vortrag der Hochschule, wonach diese Software erforderlich gewesen sei, da die Kapazitätsgrenze der On-Premise-Systeme ohne Einbindung weiterer Alternativen einen regulären Prüfungsbetrieb bei weitem nicht zugelassen hätte, konnte ich aus Datenschutzsicht nicht gelten lassen. Denn auch nach der Rechtsprechung des Bundesverfassungsgerichts gilt: "Die Anforderungen an die technische Datenverarbeitung haben insoweit den Anforderungen des Grundrechts auf informationelle Selbstbestimmung zu genügen und nicht umgekehrt."

10.2.2.3. Keine wirksame Einwilligung

Die Hochschule hatte für die hier in Rede stehende Datenverarbeitung auch eine Einwilligung der Prüflinge unter anderem zur Übermittlung des Bildes an die Mitprüflinge eingeholt. Diese Einwilligung war nach meiner Auffassung jedoch unwirksam.

Denn mit der Einwilligung darf eine öffentliche Stelle nicht die Bindungen der gesetzlichen Verarbeitungsbefugnisse unterlaufen. Vorliegend sieht - wie vorstehend erläutert - die gesetzliche Konzeption gerade nicht vor, dass das Bild an die Mitprüflinge übermittelt wird. Dies ist im Übrigen auch ein Gebot des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO).

Überdies fehlte es bei den Einwilligungen wohl auch an der notwendigen Freiwilligkeit. Denn eine gleichwertige Alternative zu dieser Datenverarbeitung (etwa die Nutzung eines Videokonferenztools, bei dem das Bild nicht an die Mitprüflinge übermittelt wird) wurde nicht angeboten. Insoweit genügte der Verweis auf eine alternative Präsenzprüfung nicht, da er einen anderen Bezugspunkt hat, nämlich nicht die hier in Rede stehende Datenübermittlung an die Mitprüflinge, sondern die insgesamt mit der elektronischen Fernprüfung verbundene Datenverarbeitung.

Da somit keine Rechtsgrundlage für die Übermittlung des Bildes an die Mitprüflinge vorlag, rügte ich gegenüber der Hochschule einen Datenschutzverstoß.

10.3. Öffentliche Theater und Museen: Online-Ticketkauf mit Kundenkonto

Bereits im Beitrag Nr. 11.4 meines 28. Tätigkeitsberichts 2018 äußerte ich mich zum Datenschutz beim Online-Ticketkauf. Die zentralen Aussagen dieses Beitrags lauten zusammengefasst:

  • Ein Kundenkonto ist für die Abwicklung des Online-Ticketverkaufs nicht erforderlich. Das heißt, das Theater kann sich - für die Speicherung eines Kontos über den Verkauf hinaus - insoweit nicht auf die gesetzliche Befugnis nach Art. 4 Abs. 1 BayDSG bzw., wenn dem Online-Kartenverkauf ein Vertrag zwischen dem Kunden und einem Theater zugrunde liegt, nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO stützen.
  • Ein Kundenkonto muss nach der Abwicklung des Ticketverkaufs gelöscht werden.
  • Eine Beibehaltung des Kontos aus Servicegründen - etwa um zukünftige Käufe zu erleichtern - ist nur aufgrund einer wirksamen Einwilligung denkbar.

Diese Aussagen lassen sich auch auf den Online-Ticketverkauf von - staatlichen oder kommunalen - Museen übertragen.

Im Ergebnis bedeutet dies, dass ein öffentliches Theater oder Museum für den Online-Ticketverkauf zwingend ein Gastkonto oder einen Gastzugang anbieten muss. Der Kauf im Webshop muss ohne die dauerhafte Anlegung eines Kundenkontos durchzuführen sein, das typischerweise die E-Mail-Adresse und ein Passwort sowie weitere personenbezogene Daten enthält (wie etwa Name, Anrede, Adresse, Telefonnummer, Kaufhistorie).

Seit dem oben erwähnten Beitrag gingen weitere Beschwerden von Bürgerinnen und Bürgern gegen bayerische staatliche Theater und Museen ein, die insbesondere rügten, dass die betreffenden öffentlichen Einrichtungen beim Online-Ticketkauf keinen Erwerb über ein Gastkonto erlauben. Bei der Durchsetzung der Rechte betroffener Bürgerinnen und Bürger musste ich feststellen, dass sich einzelne öffentliche Theater und Museen mit verschiedenen Argumenten gegen ein Gastkonto "sträuben". Daher verdeutliche ich im Folgenden nochmals meine Auffassung:

  • Eine zwingende Erstellung eines Kundenkontos kann nicht etwa mit der Berufung auf die mitunter langen Zeiträume zwischen Kauf und Erfüllung, Unwägbarkeiten bezüglich der Leistungserfüllung, möglichen Leistungsstörungen oder Problemen bei der Zahlungsabwicklung gerechtfertigt werden. Gleiches gilt für die Geltendmachung von Anfechtungs-, Widerrufs- oder Widerspruchsrechten bezüglich der gewählten Zahlungsart.

    Eine Kontaktierung der Kundinnen und Kunden kann in diesen Fällen auch mittels eines Gastzugangs erfolgen. Auch bei einem Gastzugang muss ein Kunde personenbezogene Daten angeben, die für die Abwicklung des Onlinekaufs erforderlich sind. Diese Daten werden bei einem Gastzugang vom Theater oder Museum in einem Kundendatensatz gespeichert. Für diese Datenverarbeitungen gibt es grundsätzlich gesetzliche Befugnisse (Art. 4 Abs. 1 BayDSG bzw. Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO). Mit einer in diesem Zusammenhang erhobenen E-Mail-Adresse können die Kundinnen und Kunden - ohne die Anlage eines dauerhaften Kundenkontos - kontaktiert werden.

  • Die Berufung auf eine "unternehmerische Entscheidung", keinen Gastzugang anzubieten, trägt nicht. Die unternehmerischen Entscheidungen müssen sich selbstverständlich im Rahmen der geltenden Datenschutzgesetze bewegen. Gleiches gilt in Bezug auf das zuweilen vorgebrachte Argument, ein Kundenkonto sei für die Marketingstrategie des Betriebs nötig.
  • In Bezug auf ein Kundenkonto genügt es auch nicht, wenn der Webshop vorsieht, dass Neukunden in die Anlage eines Kundenkontos einwilligen, und er dabei einen Hinweis auf die anonyme Kaufmöglichkeit an der Tages- oder Abendkasse gibt.

    • Ein vorliegender Hinweis im Online-Ticketshop auf die anonyme Bezahlmöglichkeit an der Tages- und Abendkasse ist zwar zu begrüßen und notwendig. Dies alleine genügt aber nicht, um die Anlage eines Kundenkontos auf eine Einwilligung stützen zu können.
    • Denn die Wirksamkeit der Einwilligung setzt insbesondere voraus, dass sie freiwillig ist. Die Freiwilligkeit bedingt vor allem, dass der Einwilligende eine echte oder freie Wahl haben muss und somit in der Lage sein muss, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 DSGVO). Auch das sogenannte Koppelungsverbot ist von Bedeutung. Dieses wird in der Datenschutz-Grundverordnung wie folgt erläutert: Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind (Art. 7 Abs. 4 DSGVO). Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist (Erwägungsgrund 43 DSGVO).

      Wie eben dargelegt, ist ein Kundenkonto im Grundsatz für den Verkauf von Online-Tickets für Theateraufführungen oder Museumsbesuche nicht erforderlich.

      Eine echte, freie Wahl beim Kauf eines Online-Tickets hat ein Kunde nur, wenn ein Online-Kauf auch über einen Gastzugang oder ein Gastkonto möglich ist.

      Der Verweis auf eine Kaufmöglichkeit an der Tages- oder Abendkasse ist dagegen keine gleichwertige Alternative zum Angebot eines Gastzugangs oder Gastkontos. Denn um diese Möglichkeit zu nutzen, muss der Kunde die Verkaufsstellen zu den (eingeschränkten) Öffnungszeiten persönlich aufsuchen, während im Online-Ticketshop ein Kauf "rund um die Uhr" möglich ist. Ein Kauf an der Abendkasse ist regelmäßig auf ein geringeres Angebot (Restposten) reduziert.

    • Um Missverständnissen vorzubeugen: Das Erfordernis eines Gastzugangs zur Sicherstellung der Freiwilligkeit eines Kundenkontos beim Online-Ticketverkauf bedeutet nicht, dass auf das Angebot einer anonymen Kaufmöglichkeit an der Tages- oder Abendkasse verzichtet werden kann. Diese anonyme Bezahlmöglichkeit ist unabhängig von der Frage eines Kundenkontos notwendig, um überhaupt eine anonyme Kaufmöglichkeit von Theater- oder Museumstickets und damit eine anonyme Besuchsmöglichkeit von Theatern oder Museen zu erhalten. Denn bei einem Online-Ticketkauf werden - unabhängig davon, ob mit Kundenkonto oder Gastzugang - stets personenbezogene Daten verarbeitet. Mit anderen Worten: Die Tages- oder Abendkasse sichert somit im Sinne des Datenschutzes die Einhaltung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) beim Ticketverkauf.
    • Zahlreiche Online-Webshops sehen mittlerweile die Möglichkeit des Kaufs mittels Gastkonto oder Gastzugang vor. Dies belegt, dass ein Online-Ticketvertrieb auch mittels Gastkonto faktisch realisierbar ist.
    • Öffentliche Stellen, wie die staatlichen oder kommunalen Theater und Museen, sind - anders als private Organisationen (wie etwa ein privat betriebenes Kino) - unmittelbar grundrechtsgebunden, also auch in Bezug auf das Recht auf informationelle Selbstbestimmung. Mit diesem Befund kommt öffentlichen Stellen im Umgang mit personenbezogenen Daten eine besondere Verantwortung zu. Auch sollten öffentliche Stellen in Bezug auf den Datenschutz eine Vorbildfunktion ausüben und somit allein schon aus diesem Grund den Online-Kauf als Gast ermöglichen.

Die zentrale datenschutzrechtliche Botschaft lautet somit kurz gefasst: Die Einräumung der Möglichkeit eines Kaufs über einen Gastzugang ist notwendige Bedingung, damit eine Einwilligung in die Datenverarbeitung zur Anlage eines Kundenkontos aus Datenschutzsicht freiwillig ist und damit für das Anlegen eines Kundenkontos eine datenschutzrechtliche Befugnis vorliegt.

Diese Auffassung wird auch von den anderen Datenschutzaufsichtsbehörden vertreten. So hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 24. März 2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang beschlossen.

Mir ist freilich bewusst, dass die öffentlichen Theater und Museen für eine Implementierung eines Gastkontos auf die Kooperation des Softwareanbieters angewiesen sind oder den Anbieter wechseln müssen. Allerdings erinnere ich in diesem Zusammenhang wiederholt an den - im Rechtsstaat selbstverständlichen - Grundsatz, dass die Anforderungen an die technische Datenverarbeitung dem Datenschutzrecht zu folgen haben und nicht umgekehrt. Gegen Ende des Berichtszeitraums teilten mir erfreulicherweise mehrere öffentliche Stellen mit, dass sie mit ihren Dienstleistern nach technischen Lösungen suchen, um Gastzugänge anzubieten. Ich werde weiterhin darauf drängen, dass die bayerischen öffentlichen Theater und Museen beim Online-Ticketkauf zeitnah einen Gastzugang anbieten.

  1. Vom 14. Juli 2022 (BayMBl. Nr. 435). [Zurück]
  2. Vom 14. Juli 2022 (BayMBl. Nr. 436). [Zurück]
  3. Bundesverfassungsgericht, Beschluss vom 13. Mai 2015, 1 BvR 99/11, BeckRS 2015, 52585. [Zurück]
  4. Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 09/2021, Rn. 19 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Einwilligung". [Zurück]
  5. Internet: https://www.datenschutzkonferenz-online.de (externer Link), Rubrik "Infothek - Beschlüsse". [Zurück]