„Bis zu drei Jahre Gefängnis für Schummeln“
Welche Software dürfen Hochschulen für Online-Prüfungen nutzen? Wie können sie die Aufsichtspflicht einhalten? Was ist bei der Korrektur zu beachten? Unser Gastautor Prof. Dr. Rolf Schwartmann erklärt, worauf Hochschulen rechtlich achten müssen.
Auch das Wintersemester wird in diesem Jahr unter dem Diktat der Corona-Pandemie stehen, Hochschulen und andere Bildungseinrichtungen weiter auf digitale Angebote angewiesen sein. Das heißt auch, dass viele Einrichtungen ihre Studierenden online prüfen werden. Um da für die Akteure der Hochschulen (von den Dozenten über die IT-Experten und das Präsidium bis zu den Studierenden) Rechtssicherheit zu schaffen, muss die Möglichkeit, Online-Prüfungen durchzuführen, rechtlich verankert werden. Wie Studierende per IT-Kommunikationsnetzwerk, sprich Internet, geprüft werden, muss geregelt sein – im Rahmen von Gesetzen oder Verordnungen zum Hochschulrecht oder in den Prüfungsordnungen der Hochschulen. Man muss das Neben- und Miteinander von Prüfungs- und Datenschutzrecht kennen. Auf diese Weise können Unsicherheiten und am Ende prüfungs- und datenschutzrechtliche Rechtsstreitigkeiten vermieden werden.
Zugleich muss jede Hochschule die Regeln vorgeben, nach denen von ihr zur Verfügung gestellte Software und Lernplattformen zu nutzen sind. Hinsichtlich des Datenschutzes ist der Hinweis für Lehrende wie Studierende wichtig, dass nur von der Hochschule zur Verfügung gestellte Angebote genutzt werden dürfen. Diese Vorgabe klingt zunächst wenig kompliziert, doch im Detail stößt man auf Probleme, die kaum von den Hochschulen selbst gelöst werden können: Digitale Angebote setzen in der Praxis oft einen internationalen Datenverkehr voraus. Das ist wegen des „Schrems II-Urteils“ wichtig, in dem der Europäische Gerichtshof (EuGH) das „EU-US ‚Privacy Shield‘“ für ungültig erklärt hat, das den Transfer personenbezogener Daten aus der EU an zertifizierte US-amerikanische Unternehmen zu kommerziellen Zwecken ermöglicht hatte. Danach gilt auch für Hochschulen: Seit Juli 2020 sind sie datenschutzrechtlich nur noch dann sicher, wenn sie Angebote europäischer Anbieter nutzen, bei denen jeglicher Datentransfer in sogenannte unsichere Drittstaaten wie die USA, ausgeschlossen ist.
Diese Entscheidung kann für Hochschulen weitreichende Konsequenzen haben, zum Beispiel, wenn sie pandemiebedingt digitale Kommunikationsangebote im Internet zur Verfügung stellen. Die Mehrheit der deutschen Datenschutzaufsichtsbehörden hat entschieden, dass die flächendeckend eingesetzte Software Microsoft 365 (ehemals Office 365) aktuell nicht datenschutzkonform eingesetzt werden kann. Betroffen sind Angebote wie Word, Excel, PowerPoint, Teams und OneDrive. Die Datenschutzbehörden verlangen mehrheitlich, dass Unternehmen und Behörden, also auch Hochschulen, jetzt alternative Angebote nutzen, die ausschließlich in Europa betrieben werden. Nicht alle Bundesländer haben da mitgemacht: Die Aufsichtsbehörden in Baden-Württemberg, Bayern, Hessen und dem Saarland haben sich der Mehrheit nicht angeschlossen, deren Gesamtbewertung sei ohne rechtsstaatlich erforderliche, formale Anhörung erfolgt, undifferenziert und beziehe sich auf zwischenzeitlich zweimal nachgebesserte Vertragsbedingungen. Welche der Positionen zutreffend ist, ist offen. Vor diesem Hintergrund sind Rechtsstreitigkeiten mit Aufsichtsbehörden nicht auszuschließen.
Andere Probleme können die Hochschulen leichter lösen. Sie betreffen etwa Online-Klausuren, die in den Prüfungsordnungen nach der gängigen Definition Aufsichtsarbeiten sind. Im „Machtbereich“ der Studierenden kann man schriftliche Aufsichtsarbeiten nicht rechtskonform beaufsichtigen.
Bayern hat Regelungen eingeführt, die „Videoaufsicht bei Fernklausuren“ zulassen. Studierende müssen sie in ihren häuslichen Bereichen umsetzen. Doch das dürfte datenschutzrechtlich auch dann nicht haltbar sein, wenn die Hochschulen den Studierenden die Wahl zwischen Präsenz- und Online-Prüfungen lassen. Denn tatsächlich ist Studierenden, die aufgrund der Pandemie Kontakte scheuen, damit keine freiwillige Entscheidung möglich. Sie müssen sich online prüfen lassen. Willigen sie ein, kann diese Zustimmung aber in Zukunft widerrufen werden und ist damit datenschutzrechtlichproblematisch. Unabhängig davon, dürfte das Konstrukt wohl auch prüfungsrechtlich spätestens dann scheitern, wenn Studierende während der digitalen Klausur Nebenräume aufzusuchen, wo unerlaubte Zusammenarbeit droht. Auch aus prüfungsrechtlichen Gründen kann man die hoheitlich durchzuführende Aufsicht nicht an die Studierenden delegieren. Schon deshalb dürfte eine solche Prüfung angreifbar sein – unabhängig von der offenen Frage: Wirkt sich ein Verstoß gegen den Datenschutz im Rahmen der Prüfung als „prüfungsrechtlich beachtlicher Verfahrensfehler“ auf die Bewertung der Prüfung aus?
Mit Online-Prüfungen insgesamt haben die Hochschulen gute Erfahrungen gemacht. Man kann zwar technische Schwierigkeiten beim Down- und Upload auf den Prüfungsportalen nicht ausschließen, aber oft durch technischen Support überwinden. Prüfungsrechtlich zulässig sind die Prüfungen, wenn sie ohne Aufsicht auskommen. Das ist etwa bei mündlichen Prüfungen oder „Open-Book-Ausarbeitungen“ der Fall. Weil die Aufsicht unterbleibt, sind, wie bei jeder häuslichen Arbeit, Täuschungsversuche ein Problem. Diese unterscheiden sich aber kaum von Täuschungsversuchen bei Präsenztests. Hier lässt sich durch die Gestaltung der Aufgabenstellung und enge zeitliche Vorgaben gegensteuern.
Eine weitere Option für Hochschulen: In Ländern, deren gesetzliche Vorgaben ermöglichen, das Prüflinge per eidesstattlicher Versicherung erklären, die Online-Arbeit regelkonform erstellt zu haben, können Hochschulen diese Möglichkeit nutzen. Da eine falsche eidesstaatliche Versicherung eine Straftat ist, wird Schummeln auf diese Weise zu einer kriminellen Handlung. Es drohen bis zu drei Jahren Gefängnis. Hochschulen, die das nicht wollen, können sich auf die Sanktionsmöglichkeiten der Prüfungsordnungen bis hin zur Exmatrikulation beschränken. Dafür spricht viel.
Auch die Korrektur von Prüfungen braucht rechtliche Grundlagen. Zwar ist es möglich, online abgelegte Prüfungen digital zu verteilen und zu speichern, doch das verlangt ein belastbares Datenschutzkonzept. Hochschulen sollten sich Zeit nehmen, um eine solche Lösung zu erarbeiten. Bis dahin ist es aufwendig, aber machbar, die Arbeiten in den Prüfungsämtern oder Fakultäten entgegenzunehmen und sie nach datenschutzrechtlicher Weisung etwa in den Hausdruckereien ausdrucken zu lassen, um sie dann den internen und externen Prüfenden zur „körperlichen Korrektur“ zur Verfügung zu stellen. Am Ende gelangen sie wieder in eine körperliche Akte und können im Streitfall dem Verwaltungsgericht übergeben werden. Das ist bei digital gespeicherten Arbeiten und Korrekturen problematischer, weil die Verfahren auf Seiten von Behörde und Gericht nicht erprobt sind.
Rolf Schwartmann
Prof. Dr. Rolf Schwartmann leitet die Kölner Forschungsstelle für Medienrecht und ist Professor an der TH Köln. Er ist Vorsitzender des Prüfungsausschusses der dortigen Fakultät für Wirtschafts- und Rechtswissenschaften, Sachverständiger des Deutschen Hochschulverbandes für IT und Datenrecht und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit.
DUZ Magazin 12/2020 vom 18.12.2020