Zum Inhalt springen

Operation am „offenen Herzen“ des Prüfungssystems?

Wie Coronaregeln an den Hochschulen umgesetzt worden sind

Onlineprüfungspraxis und Datenschutz am Beispiel Friedrich-Schiller-Universität Jena.

Bereits im April war klar, dass der Hochschulbetrieb im Sommersemester 2020 etwas Besonderes werden würde und eingespielte Regularien und Verfahren nicht mehr einzuhalten sein würden. Das betraf nicht nur die Frage der Präsenzlehre, sondern auch eine Vielzahl weiterer Themen: Wahlen, Prüfungen, Verwaltungsverfahren, Termine, die Einreichung von Unterlagen oder auch ganz banale Absprachen zu Qualifikationsarbeiten usw.

Zugleich ist das Studium in hohem Maße verrechtlicht und normativ geregelt: von bestehenden Prüfungsordnungen kann nicht spontan abgewichen werden, auf eine festgelegte Prüfungsform oder ein Lehrveranstaltungsformat haben die Studierenden ein Anrecht und es besteht nach dem Hochschulgesetz die Pflicht, diese Angebote sicherzustellen – selbst bei einer möglichen Änderung war der lang nachwirkende Vertrauensschutz zu beachten. Gleiches galt für Wahlen, die in bestimmter Form abzuhalten waren oder Amtszeiten, die nicht einfach (über das Notmaß von einem halben Jahr nach § 24 Abs. 1 Satz 3 ThürHG (Thüringer Hochschulgesetz) hinaus) verlängert werden konnten. Auch für das virtuelle Zusammentreten von Gremien brauchte es Regelungen, die diese nicht mehr rechtzeitig verabschieden konnten oder zu deren Erlass sie ohnehin nicht ohne Weiteres befähigt oder berechtigt waren.

Sondervollmachten für die Hochschulen mit hoher Tragweite

Aus diesem Grunde hatte der Landtag im Rahmen des Coronasonderrechts („Thüringer Gesetz zur Abmilderung der Folgen der Corona-Pandemie im Hochschulbereich“) nach einer recht dürftigen Anhörung und de facto ohne Diskussion beschlossen, den Hochschulen eine ganze Reihe Sondervollmachten einzuräumen, die sie ohne die sowieso schon marginale Kontrolle durch das Ministerium in Form von Satzungsermächtigungen nutzen können sollten. Dabei wurde nicht nur in einer Reihe von, situationsbedingt vielleicht nachrangigen, Berichtspflichten abgewichen1, sondern auch eine Norm zu „Online-Prüfungen“ erlassen, deren Tragweite sich aus dem schmalen Normtext und der noch ärmeren Begründung zunächst kaum erschließt und die es ermöglicht, die eigentlich zuständigen Hochschulgremien zu übergehen. Das Gesetz lässt dabei einen weiten Spielraum und schreibt für diese grundlegende Veränderung keine Mindeststandards vor, lediglich die „technischen Voraussetzungen“ und, womit auch immer, „vergleichbare Prüfungsbedingungen“ sollen gesichert sein. Auch konnten die Hochschulen Dritte mit den praktischen Durchführungen beauftragen, obwohl beim Prüfungsgeschehen sensible personenbezogene Daten anfallen. Ob dieses Gesetz ausreicht, um den Gesetzesvorbehalt für die Einführung einer solchen Prüfungsform zu erfüllen („Bestimmtheitsgebot“), werden erfahrungsgemäß erst künftige Rechtsstreits zeigen.

Der Umgang der FSU Jena mit diesen Sondervollmachten

Entsprechend nutzten die Universitäten dann auch diese Ermächtigung, so z. B. die Friedrich-Schiller-Universität (FSU) Jena mit der „Rahmensatzung zur Regelung der Auswirkungen der Corona-Pandemie vom 25. Juni 2020“, die pauschal die Ersetzung von Prüfungsformaten durch andere, bereits normierte vorsieht. Es dürfte klar sein, dass die in einer mündlichen Prüfung nachzuweisenden Kompetenzen keinesfalls mit denen einer Hausarbeit vergleichbar sind und eine kurzfristige Änderung sowohl hinsichtlich der Verhältnismäßigkeit, dem Vertrauensschutz und der Gleichbehandlungsmaxime starke Zweifel hinterlässt. Sowohl für diese Abweichung als auch für die Einführung von Onlineprüfungen wurde lediglich eine begrenzte „Testkaninchenklausel“ eingeführt, die ein einmaliges Rücktritts- bzw. Annullierungsrecht im Sommersemester 2020 vorsieht.

Online-Prüfungen und damit verbundene Schwierigkeiten

Der Kern dieser Neuregelungen dürfte aber die Einführung der Online-Prüfungen sein, die einmal ohne großen Widerstand und Diskussion etabliert, faktisch permanent sein werden, ohne dass dem eine Test- und Evaluierungsphase oder gar tief greifende Überprüfung dieses neuen Systems vorausging. Weder stand (nur anfangs?) eine technisch und datenschutzmäßig ausgereifte Plattform zur Verfügung, noch wurden die Prüfer*innen in irgendeiner Weise auf diese Aufgabe vorbereitet. Von den Studierenden wurde selbstverständlich verlangt, dass sie neben der nötigen Hard- und Software auch eine Breitbandanbindung besitzen (was schon in Deutschland recht vermessen ist) und auch nutzen können.2

Auch wurden, wie schon bei der Einführung der Onlinewahlen, schlicht proprietäre oder partikuläre Lösungen zum Standard erhoben. In den Satzungen wurden keine technischen Anforderungen spezifiziert und in der Umsetzung durfte letztlich jede*r Lehrende das nutzen, was ihm*ihr gerade in die Hände oder von Freund*innen empfohlen worden/gefallen war. Datenschutzbedenken wurden teils per Intervention beim Präsidium kurzgeschlossen und Studierende wurden faktisch zur Aufgabe ihrer Bedenken gezwungen.

Einhaltung des Datenschutzes mindestens fraglich

So setzte sich an der FSU in der Lehre u. a. der US-Anbieter zoom durch, mit dem eine Auftragsdatenverarbeitung auf Basis der mittlerweile für ungültig erklärten privacy shield-Übereinkunft3 vereinbart wurde. Wenigstens in Einzelfällen wurde zoom und auch Cisco-Webex für die Durchführung von Prüfungen genutzt, für Online-Klausuren ist derzeit ein auf Moodle basierender Server im Einsatz. Es ist weiterhin nicht bekannt, ob die Uni in einem der Datenschutzgrundverordnung (DSGVO) ausreichendem Maße die Datenverarbeitung absichert und wie die weiteren Rechte auf Berichtigung, Löschung und Übertragbarkeit und vor allem Auskunft in einer in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 12 Abs. 1 DSGVO) sichergestellt sind.4

Aufgrund des Improvisationscharakters bleibt aber die Befürchtung, dass die derzeit am “offenen Herzen“ des Prüfungssystems an den Studierenden erprobten Modalitäten auch dann noch angewendet werden, wenn die Präsenzlehre wieder verstärkt zu Einsatz kommen sollte. Dafür spricht allein schon der Ressourcenaufwand der Einführung, der Schein der Modernität einer jeden digitalen Lösung sowie die Unmengen zusätzlich erhobener Daten, die tief greifendere individualisierte Kontrollen ermöglichen. 

Auch nachdem der Europäische Gerichtshofs (EuGH) die Rechtsgrundlage für diese „Datenverarbeitung außerhalb der Europäischen Union“ (aus den „Hinweise[n] zum Datenschutz – Online-Prüfungen“ der FSU) bereits vor anderthalb Monaten aufgehoben hat, beruhen Online-Prüfungen an der FSU noch immer darauf – ohne dass erkennbar wäre, dass sich die Datenschützer von Uni und Land mit der neuen Realität befasst hätten. 

Ist Einsicht in die Daten möglich?

Daneben bleibt als eine von vielen Fragen beispielsweiseoffen, wie die Uni sicherstellt, dass nur Berechtigte Einsicht in die erhobenen Daten nehmen können (bei einer Videokonferenz von daheim werden z.B. auch Bilder aus dem höchstpersönlichen Lebensbereich der Studierenden übermittelt), oder dass die eingegebenen Daten auch unverändert gespeichert werden. Wie können bei der von der Uni eingesetzten proprietären Software die Integrität, Validität und Sicherheit der Daten überhaupt jemals geschützt werden und wie ist zu sichern, dass sie nach Wegfall eines legitimen Speichergrundes auch vertrauenswürdig gelöscht werden – auch bei den beauftragten Unternehmen?

Bereits heute wissen die Hochschulen nicht, auf welchen „Privatrechnern“ der Lehrenden und Prüfenden personenbezogene Daten der Studierenden lagern. Die die Datenverarbeitungsverzeichnisse, die schon zu Zeiten der alten Datenschutzgesetzgebung anzufertigen waren, sind reine Makulatur. Kommen nun aktuell die Auftragsdatenverarbeiter*innen und, zum Beispiel bei Gruppenprüfungsarbeiten, auch noch die Rechner der anderen Studierenden dazu, vervielfältigt sich die angesprochene Problematik noch einmal um ein Vielfaches. Von einer allgemeinen Wahrnehmung oder Debatte an den Hochschulen ist jedoch nichts zu erkennen.

Was die Gewerkschaft tun müsste

Schon diese wenigen Anmerkungen lassen für die kommenden Anpassungen im Hochschulrecht also wenig Gutes hoffen. Zu oft wurden bereits vorher Gremien mit Verweis auf knappe Ressourcen, Sachzwanglogik, Alternativlosigkeitsgerede oder einfachen Leitungsentscheidungen über den nun virtuellen Tisch gezogen. Auch bei beiden Studierendenvertretungen scheint die Tiefe des Problems noch nicht in ausreichendem Maße angekommen zu sein, Widerstand ist bestenfalls in kleinstem Maße zu vernehmen. Es bleibt meist der individuellen Auseinandersetzung mit der Hochschule überlassen, die diese oft über ein halbes Studium zu ziehen weiß.

Eine gewerkschaftliche Aufgabe wäre es daher, das unter der Hülle der Coronavirenfolgenbekämpfung umgesetzte Sonderrecht in der Öffentlichkeit kritisch zu prüfen, den Datenschutz und entsprechende Bedenken zu verteidigen und nachdrücklich auf allen Ebenen einzufordern und die gleichberechtigte Beteiligung aller Betroffenen bei der Virtualisierung und Auslagerung ganzer Hochschulfunktionen zu sichern – diese Aufgabe jedoch wird nicht weniger komplex und intensiv sein als die Herausforderungen des letzten halben Jahres. 

Für alle Betroffenen ist zu hoffen, dass nicht erst die Gerichte die Verantwortlichen zum Handeln zwingen müssen und bis dahin hunderttausendfache Verstöße gegen das Datenschutzrecht einfach hingenommen werden.

Der Vollständigkeit halber sei aber auch auf die positive Verlängerung der Sanktionsfristen für einen Studienabschluss und die Aussetzung von Langzeitstudiengebühren für ein Semester hingewiesen, die abzuschaffen die GEW und zahlreiche andere bildungspolitische Akteur*innen allerdings seit längerem fordern. Auch wurde die Möglichkeit von Videokonferenzen statt Präsenzsitzungen eröffnet.

Dass die Plattformen auch für Menschen mit Seh- oder Gehörproblemen nutzbar sind, wurde schlicht vorausgesetzt, ebenso dass sie auch international verfügbar ist (Internationale Studierende konnten nicht ohne weiteres nach Deutschland zurückkommen).

Absprache zwischen der EU und der USA von 2016, nach der die EU bestimmte Zusicherungen der USA in Bezug auf den Datenschutz als gleichwertig zu den EU-Regelungen betrachtet (vgl. Art. 45, 46 DSGVO; Angemessenheitsbeschluss der Kommission), wodurch Datenverarbeitungen außerhalb der EU ermöglicht wurden. Der EuGH bemängelte u.a. die fehlende Möglichkeit zu effektivem Rechtsschutz und die Möglichkeit der USA, auf Daten umfassend zuzugreifen, die in Einrichtungen (Server, Infrastruktur wie Switches, Router und Seekabel) verarbeitet werden, welche unter US-Recht fallen (dazu Urteil im Verfahren C-311/18 - Facebook Ireland und Schrems, 16. Juli 2020). Insofern auch die sog. „Standardvertragsklauseln“ der Kommission keinen weitergehenden Schutz bieten, sind Datenverarbeitungen jedenfalls dann unzulässig, wenn sie allein auf diese Klauseln gestützt werden und nicht weitere Sicherungen vorgesehen sind (ebd. Rn. 137ff.).

Prüfungsdaten sind grundsätzlich personenbezogene Daten. Eine Auskunft nach Art. 15 DSGVO ist kostenlos innerhalb eines Monats zu erteilen. Sie umfasst neben den weiteren Auskunftsrechten bei Prüfungen u.a. die Antworten und die darauf bezogenen Korrekturen (vgl. EuGH, Rechtssache C-434/16 vom 20.12.17, ECLI:EU:C:2017:994).