Datenschutz

Datenschutzhinweis zur Elektronischen Fernprüfung

Hier erfahren Sie, wie die Hochschule München Ihre personenbezogenen Daten im Rahmen von Prüfungen im Wintersemester 2020/2021, die auf Grund der SARS-CoV-2-Pandemie ohne Präsenz online durchgeführt werden, verarbeitet.

Datenschutz ist für die Hochschule München (HM) ein großes Anliegen und ihre gesetzliche Verpflichtung. Um die Sicherheit persönlicher Daten angemessen bei der Übertragung zu schützen, verwendet die HM, orientiert am aktuellen Stand der Technik, entsprechende Verschlüsselungsverfahren (z.B. SSL/TLS) und gesicherte technische Systeme.

Sofern im Text der Begriff „Daten“ verwendet wird, sind ausschließlich personenbezogene Daten im Sinne der DSGVO gemeint.

Verantwortlicher

Hochschule für angewandte Wissenschaften München

Lothstr. 34
D-80335 München
Tel.: +49 89 12 65 - 0
Fax: +49 89 12 65 - 3000
E-Mail: kommunikation@hm.edu
Internet: www.hm.edu

Die Hochschule für angewandte Wissenschaften München ist eine Körperschaft des Öffentlichen Rechts. Sie wird durch ihren Präsidenten Prof. Dr. Martin Leitner gesetzlich vertreten.

Behördlicher Datenschutzbeauftragter

Der behördliche Datenschutzbeauftragte der Hochschule München ist per E-Mail unter der Adresse datenschutzbeauftragter@hm.edu und telefonisch unter +49 89 6080 7600 erreichbar.

Zweck und Umfang der Verarbeitung

Zweck

Wir verarbeiten Ihre personenbezogenen Daten zum Zwecke der Durchführung der elektronischen Fernprüfungen. Dies kann in Form von benoteten Semesterendprüfungen sowie semesterbegleitenden Nachweisen erfolgen.

Betroffene Prüfungsformen sind:

  • Schriftliche Prüfung auf Papier am Heimarbeitsplatz mit Videokonferenz-Aufsicht
  • Mündliche Prüfung per Videokonferenz
  • Referate / Kolloquien per Videokonferenz
  • Moodle-Klausuren am PC-Heimarbeitsplatz; mit Videokonferenz-Aufsicht
  • Remote-EXaHM; mit Videokonferenz-Aufsicht (nur für bereits angemeldete Nutzer)

Betroffene Personenkategorien sind:

  • Lehrende
  • Studierende
  • Aufsichtspersonen
  • sonstige Teilnehmer:innen an der elektronischen Fernprüfung


Umfang der Datenverarbeitung

Bei der Nutzung eines Videokonferenzsystems für die elektronische Fernprüfung werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Daten vor bzw. bei der Teilnahme an einer elektronischen Fernprüfung anfallen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Personenbezogene Daten des Organisators einer elektronischen Fernprüfung

  • Angaben zur/m Benutzer:in des jeweiligen Tools: E-Mail-Adresse und Passwort sowie Vor- und Nachname und optional, falls von dieser/m freiwillig angegeben, Profilbild und Telefon.
  • Meeting-Metadaten der jeweiligen Prüfung: Thema, IP-Adresse, Geräte- und Hardware-Informationen sowie optional, falls vom Organisator angegeben, Beschreibung.

Personenbezogene Daten der an einer elektronischen Fernprüfung teilnehmenden Studierenden
Um an einer elektronischen Fernprüfung teilzunehmen, sind von den Studierenden folgende Angaben erforderlich:

a. Zur Anmeldung am eingesetzten Tool:
Die unterschiedlichen Videokonferenzsysteme verlangen unterschiedliche Mindestangaben bei der Anmeldung. In der Regel werden jedoch die E-Mail-Adresse und das Passwort als Mindestangabe verarbeitet, um sich am Tool anzumelden. Nach der Anmeldung werden zusätzlich die Profildaten verarbeitet: Das sind in der Regel der Vor- und der Nachname sowie optional, falls von den Nutzer:innen gemacht, Profilbild und Telefon.

  • Zoom verlangt nach der Anmeldung den Namen als Mindestangabe.
  • BigBlueButton (BBB) ist über Moodle eingebunden, sodass hier der bei Moodle hinterlegte Name angezeigt wird.

b. Zur Teilnahme an einer elektronischen Fernprüfung:
Der genaue Umfang der Daten hängt davon ab, welche Daten für die Teilnahme an einer elektronischen Fernprüfung von den Prüfer:innen als erforderlich festgelegt werden. Studierende müssen, um an einer elektronischen Fernprüfung teilnehmen zu können, in jedem Fall die folgenden Angaben machen:

  • die eindeutige Authentifizierung bzw. Identitätsnachweis erfolgt durch die Aufsichtsperson entweder mit Hilfe des Studierendenausweises, der über die Webkamera gehalten wird, oder über den Abgleich der Prüfungsteilnehmer:iInnen mit den im Rahmen der Immatrikulation für die Herstellung der Studierendenausweise eingereichten Bilder.
  • Audio- und Videodaten: Zum Zwecke der Sicherung der persönlichen Leistungserbringung durch die Studierenden während der gesamten Prüfungsdauer und zur Verhinderung von Täuschungshandlungen (Unterschleif) werden während der Prüfung Video- und Audiodaten verarbeitet. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden während der gesamten Dauer der elektronischen Fernprüfung die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts bzw. einer mit dem Endgerät verbundenen Videokamera verarbeitet. Eine Aufzeichnung findet nicht statt. Die zur Prüfungsaufsicht eingesetzte Videokamera zeigt lediglich den Arbeitsplatz der zu Prüfenden. Es findet keine weitere Überwachung des Raumes, in dem sich die Prüfungsteilnehmer:innen befinden, statt, insbesondere keine 360°Beobachtung. Raumscans oder Kameraschwenks vor Prüfungsbeginn oder auch anlassbezogen sind untersagt. Prüfungsteilnehmer:innen müssen während der gesamten Dauer der elektronischen Fernprüfung von der Seite sichtbar sein, so dass Kopf, Oberkörper, Hände, Schreibzeug, Tastatur und PC für die Aufsicht erkennbar sind.
  • Textdaten: Zum Zwecke der Erreichbarkeit und Kommunikation während der Prüfung, insbesondere bei technischen Problemen, besteht die Möglichkeit, während einer elektronischen Fernprüfung die Chat- und die Fragenfunktion und zum Teil auch die Umfragen-Funktion zu nutzen. Insoweit werden die gemachten Texteingaben verarbeitet, um diese in der elektronischen Fernprüfung anzuzeigen und ggf. zu protokollieren.
  • Zur Gewährleistung der Kommunikation zwischen Empfänger und Sender und, zur Erkennung, Eingrenzung und Beseitigung von Störungen und zur Verhinderung von Täuschungshandlungen (Unterschleif) werden während der Prüfung auf den Prüfungsservern Logfiles gespeichert.
  • Zum Zwecke der Abnahme der Prüfung werden die Prüfungsunterlagen verarbeitet. Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.

Rechtsgrundlagen der Verarbeitung

Rechtsgrundlage für die Verarbeitung der elektronischen Semesterendfernprüfungen und semesterbegleitender Nachweise

a. Verarbeitung der personenbezogenen Daten von Studierenden zum Zwecke der Authentifizierung und des Identitätsnachweises:

Die Authentifizierung des Studierenden kann entweder durch einen Lichtbildausweis (im Regelfall Studierendenausweis mit Lichtbild) erfolgen, den dieser vor Beginn einer elektronischen Fernprüfung auf Aufforderung vorzeigen muss (Rechtsgrundlage für die Datenverarbeitung ist § 5 Abs. 1 S. 1 BayFEV iVm. Art 84 Abs. 6 S. 2 Nr. 3 BayHIG, Art. 6 Abs. 1 UAbs. 1 Buchstabe e, Abs. 2 und 3 DSGVO) oder über den Abgleich der Prüfungsteilnehmer:innen mit den für die Herstellung der Studierendenausweise bei der Studierendenverwaltung eingereichten Bilder stattfinden, soweit dies offensichtlich im Interesse der Prüfungsteilnehmer:innen liegt und kein Grund zu der Annahme besteht, dass sie ihre Einwilligung hierzu verweigern würden (Art. 6 Abs. 2 Nr. 1 BayDSG). Studierende können der letzteren Authentifizierungsmethode jederzeit widersprechen. Eine Speicherung der im Zusammenhang mit der Authentifizierung verarbeiteten Daten über eine technisch notwendige Zwischenspeicherung hinaus findet nicht statt.

b. Verarbeitung der personenbezogenen Daten von Studierenden zum Zwecke der Verhinderung von Täuschungshandlungen

Zum Zwecke der Verhinderung von Täuschungshandlungen werden Audio- und Videodaten der Studierenden über Videokonferenz verarbeitet.

Findet die Videokonferenz so statt, dass Audio- und Videodaten des/der Prüfungsteilnehmer:in nur an die jeweilige Aufsichtsperson übermittelt werden, dann ist Rechtsgrundlage für die Datenverarbeitung § 6 BayFEV iVm. Art 84 Abs. 6 S. 2 Nr. 4 BayHIG, Art. 6 Abs. 1 UAbs. 1 Buchstabe e, Abs. 2 und 3 DSGVO.

Wird hingegen während der Videokonferenz der Prüfungsarbeitsplatz nicht nur für die Aufsicht, sondern auch für alle Prüfungsteilnehmer:innen sichtbar, dann findet die Verarbeitung der Audio- und Videodaten auf der Rechtsgrundlage der datenschutzrechtlichen Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 Buchstabe a) in Verbindung mit Art. 7 DSGVO statt. Die Teilnahme an der elektronischen Fernprüfung ist prüfungsrechtlich nicht verpflichtend, sondern freiwillig, sodass hier von der datenschutzrechtlichen Freiwilligkeit als Voraussetzung für die Wirksamkeit der Einwilligung für die Verarbeitung der Audio- und Videodaten zur Verhinderung von Täuschungshandlungen auszugehen ist. Eine Einwilligung ist grundsätzliche dann freiwillig, wenn die einwilligende Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Ein Nachteil für die Studierenden bei Nichterteilung oder Widerruf der Einwilligung ist nicht zu befürchten, da die Hochschule München termingleiche Präsenzprüfungen (d.h. Prüfungen innerhalb desselben Prüfungszeitraums) ohne Aufsicht durch ein Videokonferenzsystem anbietet (§ 8 BayFEV).

c. Verarbeitung von Logfiles, Cookies und Sicherheitsupdates:

  • Protokolldateien, Cookies und Sicherheitsupdates sind für den „Dienst elektronische Fernprüfung“, für die Prüfung und/oder Wartung der Systeme und zur Gewährleistung der Netz- und Informationssicherheit der Hochschule München technisch erforderlich. Die Verarbeitung der personenbezogenen Daten erfolgt dabei nach dem BayFEV iVm. Art. 84 Abs. 6 BayHIG, Art. 6 Abs. 1 UAbs. 1 Buchstaben c) und e) DSGVO in Verbindung mit Art. 6 Abs. 1 BayDSG.
  • zur Verhinderung von Täuschungshandlungen (Unterschleif) werden sowohl die bei der Anmeldung im Moodle-Prüfungsserver als auch während der Prüfung anfallenden Logfiles auf den Prüfungsservern gespeichert und ausgewertet. Rechtsgrundlage ist § 4 Abs. 1 und 2 BayFEV iVm. Art. 6 Abs. 1 UAbs. 1 Buchstaben c) und e) DSGVO in Verbindung mit Art. 4 Abs. 1 BayDSG.


Rechtsgrundlage für freiwillige, unbenotete, semesterbegleitende Prüfungen

Die Verarbeitung personenbezogener Daten zum Zwecke des Ableistens von freiwilligen, unbenoteten und semesterbegleitenden Prüfungen (Übungsklausuren gem. § 10 BayFEV) erfolgt auf der Rechtsgrundlage der Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 Buchstabe a) in Verbindung mit Art. 7 DSGVO.

Empfänger:innen oder Kategorien von Empfänger:innen der personenbezogenen Daten

Studierendenausweis, Video- und Audiodaten werden ausschließlich im Rahmen der Durchführung der elektronischen Fernprüfungen verarbeitet und hochschulintern an folgenden Stellen weitergegeben:

  • Prüfungsaufsicht
  • ggf. Prüfungsteilnehmer:innen, sofern die Prüfungsaufsicht über Zoom stattfindet. Findet die Prüfungsaufsicht über BBB statt, haben andere Prüfungsteilnehmer:innen in der Regel keinen Einblick in die Videodaten des an der Prüfung teilnehmenden Studierenden.

Prüfungsunterlagen werden zur Korrektur und ggf. zu Überprüfung weitergebenen an:

  • Prüfer:innen (Erst-, gegebenenfalls Zweitkorrektor)
  • anlassbezogen Mitglieder von Prüfungsorganen (§ 3 RaPO)
  • anlassbezogen Rechtsabteilung / Justitiariat

Auf die Logfiles und deren Auswertungen zur Verhinderung von Täuschungshandlungen haben Zugriff:

  • Systemadministratoren
  • Prüfer:innen (Erst-, gegebenenfalls Zweitkorrektor)
  • anlassbezogen Mitglieder von Prüfungsorganen (§ 3 RaPO)
  • anlassbezogen Rechtsabteilung / Justitiariat

Eine externe Weitergabe findet nur wie folgt statt:

  • anlassbezogen gegenüber Prozessbeteiligten im Rahmen eines gerichtlichen Verfahrens (Prüfungsunterlagen und Protokolldaten)
  • evtl. für die Wartung des Prüfungsservers an den entsprechenden Dienstleister

Geplante Speicherdauer der personenbezogenen Daten

Eine Speicherung der im Zusammenhang mit der Authentifizierung verarbeiteten Daten über eine technisch notwendige Zwischenspeicherung hinaus findet nicht statt. Die personenbezogenen Daten aus der Zwischenspeicherung werden unverzüglich gelöscht. Die Löschung erfolgt daher spätestens nach Abgabe/Ende der Bearbeitungszeit der Fernklausur

Name und Prüfungsunterlagen, der an den elektronischen Fernprüfungen beteiligten Studierenden, werden i.d.R. nach der in §12 der RAPO festgelegten Aufbewahrungszeit für Prüfungen gelöscht. Demnach sind Prüfungsleistungen zwei Jahre aufzubewahren. Die Aufbewahrungsfrist beginnt mit Ablauf des Kalenderjahres, in dem den Studierenden das Ergebnis der jeweiligen Modulprüfung mitgeteilt worden ist. Zu einer Verlängerung der Löschfrist kommt es, wenn ein Verfahren anhängig ist. Da eine Aufzeichnung der Video- und Audiodaten nicht stattfindet, findet auch keine Speicherung dieser Daten statt.

Betroffenenrechte

Nach der Datenschutz-Grundverordnung stehen folgende Rechte zu:

  • Werden personenbezogene Daten verarbeitet, so haben Betroffene das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
  • Sollten unrichtige personenbezogene Daten verarbeitet werden, steht ein Recht auf Berichtigung zu (Art. 16 DSGVO).
  • Liegen die gesetzlichen Voraussetzungen vor, so können Betroffene die Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17, 18 DSGVO).
  • Wenn in die Datenverarbeitung eingewilligt wurde oder wenn ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Betroffenen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Betroffene haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt (Art. 7 DSGVO).
  • Betroffenen steht das Recht zu, Auskunft darüber zu verlangen, ob eine automatisierte Entscheidungsfindung einschließlich Profiling besteht (Art. 22 DSGVO).
  • Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. e oder f DSGVO erfolgt (Art. 21 Abs. 1 Satz 1 DSGVO).

Sollte von den oben genannten Rechten Gebrauch gemacht werden, prüft die öffentliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

Weiterhin besteht ein Beschwerderecht bei einer Aufsichtsbehörde. Die für die Hochschule München zuständige Behörde ist der Bayerische Landesbeauftragte für den Datenschutz.

Dieser ist unter folgenden Kontaktdaten erreichbar:

Postanschrift:
Postfach 22 12 19
80502 München

Adresse:
Wagmüllerstraße 18
80538 München

Tel.: +49 89 212672 - 0
Fax: +49 89 212672 - 50

E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de/

Sonstiges zu unserer Datenschutzerklärung

Die Hochschule München behält sich vor, diese Datenschutzerklärung gelegentlich anzupassen, damit diese stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen der Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für einen erneuten Besuch der Webseiten gilt dann die neue Datenschutzerklärung.

Bei Fragen können sich Interessierte vertrauensvoll an den Datenschutzbeauftragen (datenschutzbeauftragter@hm.edu) wenden oder auch eine E-Mail schreiben an: kommunikation@hm.edu.

Letzte Aktualisierung: 27. April 2023