9. DFN Konferenz Datenschutz

30.11.2022 9. DFN-Konferenz Datenschutz wieder als Präsenzveranstaltung und Hybrid (archive.org)

eigene Anmerkungen in […], Mitschrift nach meinen Wahrnehmungen und noch ohne Zugriff auf die Foliensätze - damit natürlich subjektiv gefärbt und ggf. mit eigenen Schwerpunktsetzungen

(Stefan Brink)

• Evaluierung und (dringend notwendige) Weiterentwicklung der DSGVO fehlgeschlagen,
• auch keine pandemiegetriebene Anpassung „im Guten wie im Schlechten“,

• Kulminationspunkt von Social Media überschritten, evtl. schon Mitte der 2010´er Jahre
• Zentrifugalkräfte der Gesellschaft wurden durch Social Media befördert
• Twitter exemplarisch: Verständnis als Privateigentum, großer Einfluss des Eigentümers steht im Widerspruch zur hohen gesellschaftlichen Relevanz
• „Social Media Plattformen haben ihre Zeit“
• „Facebook schon lange mausetot, sie merken es nur nicht, wenn Sie dabei sind“
• TikTok der neueste Hype
• „Wir[?] sind diejenigen, die die Regeln machen“ - keine Hinnahme technischer Entwicklungen, gilt auch für Microsoft365
• Microsoft365 nicht per se rechtswidrig aber Verpflichtung der Verantwortlichen nachzuweisen(!), dass der Einsatz datenschutzkonform ist - „eine Menge zu tun“, Dokumente von Microsoft reichen nicht aus für den Nachweis, „Microsoft hat sich unbestreitbar auf den Weg gemacht“ aber es reicht noch nicht, kommendes EU-Boundary (Datenverarbeitung in Europa) wichtiger Schritt, Problem der „offensiven“ amerikanischen Gesetzgebung bleibt

• rein private Plattformen mit Gewinnerzielungsabsicht und eigener Agenda
• öffentliche Verwaltung unterliegt Bindungen, denen die Privatwirtschaft nicht unterliegt, insbesondere keine Anwendung des berechtigten Interesses (Art. 6 Abs. 1 UA 1 lit. f) sowohl wegen Art. 6 Abs. 1 UA 2 aber auch aus verfassungsrechtlichen Gründen(Bindung an Recht und Gesetz, gesetzliche Grundlagen für Eingriffe) und auch nur eingeschränkte Anwendung der Einwilligung
• allgemeine Betonung, dass Einwilligung ein Tatbestand unter mehreren ist und anders als in der (deutschen) Debatte auch nicht so gedacht ist
• Werbung außerhalb eines Über-/Unterordnungsverhältnisses [damit doch berechtigtes Interesse?]
• vermisst gesetzliche Regelungen zur Öffentlichkeitsarbeit [aber in Thüringen § 5 ThürHG insb. Abs. 2, 9, 10?]
• Social Media zur Versorgung von Studierenden mit Informationen und als Kommunikationskanal –> Rechtsgrundlage?
• Einsatz von Social Media auch vergaberechtliches/wettbewerbsrechtliches Thema (Ausschreibungen) auch Presserecht und Haushaltsrecht relevant [schlägt das über Art. 5 DSGVO auf Datenschutz durch?]
• Gemeinsame Verantwortlichkeit
  • Vor 2018: Tools wurden einfach genutzt mit Verweis auf Verantwortlichkeit der Betreiber
  • Seit 2018: Gemeinsame Verantwortlichkeit, Betroffene können „nicht mehr weggeschickt werden“
  • Insights: Facebook lieferte und liefert an Betreiber der Fanpage Informationen über das Nutzungsverhalten der Seite [wohl wichtiges Argument für gemeinsame Verantwortlichkeit]
  • Facebook weigerte[weigert?] sich mit Seitenbetreibern einen Vertrag gem. Art. 26 zu schließen
  • Bundesdatenschutzbeauftragter mit Bundespresseamt in einer Auseinandersetzung, die vermutlich gerichtlich eskalieren wird - eher unglücklich gewähltes Beispiel, da hier Kommunikation Kernaufgabe ist
    • Facebook hat wohl Abschalten der Insights angeboten - „cleverer Schritt“ auch wenn es nicht automatisch zur Rechtmäßigkeit führen wird [Hebel in Richtung C2C?]
• Verantwortlichkeit: Trotz Eigenständigkeit der Lehrstühle und Freiheit der Forschung bleibt Hochschule verantwortlich
• Risiko des Abwartens: Art. 82 DSGVO mit Schadenersatz - „hohe Durchschlagskraft und entlastende Wirkung für die Aufsichtsbehörden“ derzeit schon im Beschäftigtendatenschutz, „es gibt für alles Schadenersatz auch für kleine Verstöße“, Erheblichkeit analog Allgemeines Persönlichkeitsrecht nicht erforderlich, psychische Unsicherheit über unsichere Datenverarbeitung kann reichen
• TTDSG für Insights keine Ausnahme nach § 25 Abs. 2 TTDSG

• „Datenschutz IST eine Fortschrittsbremse“ im Sinne von Hinterfragen des rein technisch getriebenen Fortschritts
• Cookiebanner für technisch notwendige Verarbeitungen ist nicht notwendig - „die Cookiebanner stehen da, weil jemand Daten über das technisch notwendige Maß hinaus verarbeiten möchte“ [FAQ mit LFDI BW?]
• Twitter: massiver Auszug zu verzeichnen[Ist das so?], starker Wechsel zu Mastodon, BaWü hat eigene Mastodon-Instanz eingerichtet mit inzwischen über 100 teilnehmenden öffentlichen Stellen (ähnliches auch für Youtube/Peertube)

• Frage: Gründe für schnelles Handeln anstatt auf anstehende Gerichtsentscheidungen zu warten?
  • Schadenersatz: „Die Klagen kommen.“, Verbandsklagerecht/Musterklagerecht soll ausgebaut werden
  • drohende Untersagungen: wohl beim Bundespresseamt,
  • „EuGH gibt Gas“,
  • Änderungen der DSGVO sind nicht zu erwarten;
  • dringende Empfehlung Alternativkanal aufzubauen
• Gegenmeinung Prof Gerling: „Anders als bei Like-Button oder Google-Maps Einbindung ist bei Fanpages jedem klar, worauf er sich einlässt“ daher nur begrenzte Übertragbarkeit, Kritik an Gewinnerzielungsabsicht unverständlich. Konzentration auf intransparente oder verpflichtende Angebote, im Übrigen Eigenverantwortung der Nutzer
  • Stellungnahme: Probleme sind Profilbildung und Manipulation - neue, auch politisch relevante Dimension [Ändert das etwas am möglichen eigenverantwortlichen Handeln?]

(Tabea Steinhauer, Ruhr-Universität Bochum, Vorstandsmitglied Bundesverband Hochschulkommunikation)

• auch wenn namentlich die Rede meist von Fanpages ist, geht es letztlich um alle sozialen Netzwerke
• Beispiele
  • Twitter: scintific communities, Hochschulöffentlichkeit, Politik, Wirtschaft, Medien
  • Instagramm: Studierende, Studieninteressierte
  • LinkedIn: Politik, Wirtschaft, Medien, Alumni, Talente
  • YouTube: Interessierte Öffentlichkeit, Studierende, Studieninteressierende
  • Facebook: interessierte Öffentlichkeit, Studierende (dreistellige Klickzahlen)[Bei der Größe der RUB mE eher ein Zeichen, dass Facebook tot ist.]
• Musteranschreiben mit Mustervertrag (Art. 26 DSGVO) für Anfrage an Meta
  • Beteiligung mindestens 40, eher 60-60 Hochschulen haben sich beteiligt
  • Meta Deutschland fühlt sich nicht zuständig aber offensichtlich Weiterleitung nach Irland
  • Rückantwort:
    • Seitenbetreiber können Insights einsehen, alles was nicht einsehbar ist, ist keine gemeinsame Verantwortlichkeit
    • gemeinsame Verantwortlichkeit wird weiter abgelehnt
    • Schlussfolgerungen aus dem Kurzgutachten vom 18. März 2022 der DSK werden nicht geteilt
  • Argument von Brink, dass Hochschulen Fanpages betreiben, kann nicht nachvollzogen werden, vielmehr sehr vielschichtige Gründe -
    • neben Marketing auch
    • Forschung,
    • Krisenkommunikation zB bei Stromausfall, gemeingefährlichen TikTok-Challenges, Bombenentschärfungen
    • demokratische Aufgabe [?]
    • Bekämpfung FakeNews, Verschwörungstheorien

• Gegenmeinung: Verweis auf andere Stellen zB Ministerien geht fehl [Klar: keine Gleichheit im Unrecht, zumal bei Grundrechtsverpflichteten], generell kein Grund, Social Media noch zu unterstützen
  • Stellungnahme: Webseitennutzung außerhalb Social Media deutlich abhängig von Bewerbung in Social Media, Gefahr der Bildung eines Vakuums, dass durch unerwünschte Stellen genutzt wird
• (Gegen-)Meinung: Wissenschaftskommunikation läuft international über Social Media, durch eigene (deutsche) Lösungen nicht ersetzbar, Verwendung Social Media zT in Förderrichtlinien vorgeschrieben
• Gegenmeinung: Verzicht auf Social Media entzieht Legitimität, „harter Kern“ von zB Verschwörungsideologen ohnehin nicht erreichbar
  • Stellungnahme: öffentliche Stellen werden vermutlich nicht den entscheidenden Einfluss ausüben, dennoch: Alternativen wie Mastodon müssen versucht werden, ggf. auch Klärung wer Instanzen einrichtet (einzelne Hochschule? Landesebene?), Moderation etc. bei Mastodon schwierig-nur im Rahmen der einzelnen Instanz möglich aber (faktische) Deförderierungen wurden bereits umgesetzt, kompletter Ersatz kommerzieller Plattformen ist unrealistisch
• Meinung: Meta ein Fall für besonders große Kooperationsunwilligkeit, bei Google zB trotz gegenteiliger Auffassungen zumindest Kommunikation möglich

(Ursula Hilgers, Datenschutzbeauftragte der Heinrich Heine Universität Düsseldorf)

(Siehe Auftragsverarbeitung)

• Begriffsbestimmung, Art. 4 Nr. 8 DSGVO
• inhaltliche Anforderungen, Art. 28 DSGVO

• Prüfung der Verträge sehr zeitaufwendig
• Bisher Mustervertrag der NRW-Hochschulen
  • Akzeptanzprobleme, langwierige Verhandlungen
  • hochschulinterne Vorbehalte gegen Muster
  • Nutzung in Verbundprojekten mehrerer Hochschulen
• Alternative: Prüfung der Verträge der Dienstleister
  • sehr zeitaufwendig
  • häufig unzureichende Qualität

• NICHT: Standardvertragsklauseln über Drittlandstransfer
• Durchführungsbeschluss EU 2021/915 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Art. 28 Abs. 7 DSGVO, Anhang Standardvertragsklauseln mit Verweisen auf die Folgeanhängen I-IV
• Nach Klausel 2 Abs. a sind Ergänzungen und Konkretisierungen unter bestimmten Voraussetzungen (Abs. b) zulässig
• Zielsetzung
  • Nutzung für einen Vertrag für die Verarbeitung im Auftrag
• Redaktionelle Änderungen
  • Umwandlung in Text-Dokument
  • Ausfüllhinweise/Erläuterungen
  • Ergänzungen am Ende des Vertragstextes (Neuer Abschnitt IV, Klausel 11), somit Beibehaltung des EU-Vertragstextes als Ganzes aber Grundverständnis dieses Vertrages damit notwendig, weil jeweils in den feststehenden Vertragstext verwiesen wird
• Inhaltliche Anpassungen (ua)
  • Aufbewahrungsfrist für erteilte Weisungen
  • Dokumentation - VVT
    • Unterstützung bei Erstellung und Prüfung
    • Mitteilung der erforderlichen Angaben
  • Vorgaben zur Kommunikation mit Dritten
  • Vorgaben zur Fernwartung (falls relevant)
  • Sicherheit der Verarbeitung
    • Anpassung der TOM´s während der Vertragslaufzeit - bei Gewährleistung des Sicherheitsniveaus
    • Mobile Arbeit - Ergänzung optionaler Regelungen (Ausschluss bestimmter Tätigkeiten durch den Auftragsverarbeiter im HomeOffice)
    • Pflicht zur Vertraulichkeit der Beschäftigten des Auftragsverarbeiters - auch nach Beendigung des Vertrages und/oder Beschäftigungsverhältnisses
  • Kategorien betroffener Personen: Standardisierung/Checkboxen [!]
  • Ergänzung Angabe zur Nutzung Fernwartung
• in Anhang III Technisch-Organisatorische Maßnahmen
  • müssen konkret beschrieben werden - Checkboxen unerwünscht [?]
  • Änderungen
    • konkrete Bennenung der Maßnahmen
    • Maßnahmen zur Sicherstellung der Betroffenenrechte
• Fazit
  • Neues Vertragsmuster zur stärkeren Vereinheitlichung
  • Erarbeitung eines Vorschlages von einer kleinen Gruppe DSB dann Ausrollen in NRW wohl recht erfolgreich

• Frage: Akzeptanz durch Auftragsverarbeiter?
  • Antwort: „Verhaltene“ Reaktion, je größer desto schwieriger, Bekanntheit der EU-Vorlage ist eher gering
• Anmerkung: Zwei Anbieter nehmen Beschluss in Bezug und drucken den Text nicht im Vertrag ab
  • Problem: Was ist bei einer Änderung der Beschlusslage? [statische Verweisung und ggf. Anpassungsklausel?]
• Anmerkung: Praktische Umsetzung schwierig, vor allem bei Bezugnahmen
• Anmerkung: Standardvertragsklauseln gem. Beschluss EU 2021/915 wurde von Microsoft abgelehnt, dennoch sollte es weiter versucht werden

[Ganz grundsätzlich stellt sich mir die Frage, ob vom Auftraggeber vorgegebene Auftragsverarbeitungsverträge nicht vorzugsweise von solchen Auftragnehmern unterzeichnet werden, die einfach eine Unterschrift leisten, um Ruhe zu haben, während Auftragnehmer mit einem durchdachten Ansatz sich das Paket aus den eigenen TOM´s und dem dazugehörigen AV nicht zerstören lassen wollen. Der vorgestellte Ansatz würde damit tendenziell zur Konfrontation genau mit den falschen Auftragnehmern führen.]

(Fruzsina Molnár-Gábor, Heidelberg University/Faculty of Law, BioQuant Centre)

[Alteinwilligungen im Sinne von Einwilligungen, die vor Wirksamwerden der DSGVO erteilt wurden.]

• Einleitung: Weiterverarbeitung von Daten
  • Erwägungsgrund 171 Satz 3 DSGVO: Einwilligungen gemäß der Richtlinie 95/46/EG weiter verwendbar, wenn die Art der Einwilligung den Bedingungen der DSGVO entspricht
  • 1. Schritt: Entspricht die Alteinwilligung der DSGVO (Vereinbarkeit)?
  • 2. Schritt: Vereinbarkeit der Verarbeitungskontexte?
• Anforderungen an Einwilligung
  • freiwillig
  • informiert
  • „Sachverhalt und Risiken –> Anforderungen an die Informationspflichten“ [?]
  • Widerruf
• Vereinbarkeit der Alteinwilligung mit den Vorgaben der DSGVO
  • Erwägungsgrund 171 S. 3 DSGVO
  • vergleichbares Schutzniveau –> Überschaubarkeit der Tragweite der Datenverarbeitung; Art. 13,14,7,5 [mE auch Transparenz, Art. 12] DSGVO
  • Prüfung: Ist der Informationsgehalt der Daten vergleichbar?
  • Prüfung: Ist der Verarbeitungszweck vergleichbar?
  • Prüfung: Vergleichbarkeit der verantwortlichen Verarbeiter?
  • Anforderungen an die Weiterverarbeitung
    • Vergleichbarkeit der Risikobewertung
    • Vergleich der Risikobeurteilung und Anpassungsmaßnahmen
    • Problem bspw. Deanonymisierung der betroffenen Person [Was natürlich auf erhebliche Probleme bei der ursprünglichen Anonymisierung hinweist]

• Frage: Praxisrelevanz? Wie oft können ältere Einwilligungen tatsächlich weiterverwendet werden?
  • Antwort: Relevanz eher bei jüngeren Einwilligungen aus der Übergangszeit

[Bei öffentlichen Hochschulen in anderen Bundesländern als Baden-Württemberg sollte geprüft werden, ob das das Landesrecht spezifische Regelungen zur Zweckbindung vorsieht. Siehe § 28 Thüringer Datenschutzgesetz.]

(Philipp Quiel, Piltz Rechtsanwälte PartGmbB, Berlin)

• Auskunftsrecht das praxisrelevanteste aber auch umstrittenste Betroffenenrecht
• Daueraufgabe für Verantwortliche, die Ressourcen bindet
• Erwägungsgrund 63 Satz 1: „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“ - Rechtsprechung sieht weitere Zwecke, zB Nowak-Entscheidung
• Wann liegt ein Missbrauch vor?
  • Fallbeispiel: Student geht nicht zur Einsichtnahme sondern stellt Antrag nach Art. 15 und will auch die Prüferanmerkungen sehen. Rechtsmissbrauch? [unendliche Geschichte, siehe Recht auf Kopie bei Prüfungsleistungen.]
  • BGH [in Vorlagebeschluss?] „nur wenn von der Rechtsordnung missbilligte Ziele verfolgt, arglistig oder schikanös“, aktuelle Rechtsprechung sehr uneinheitlich, Verweis auf § 242 BGB sehr fragwürdig
  • Art. 12 Abs. 5 DSGVO „offenkundig unbegründete oder exzessive Anträge“ - grundsätzlich keine Begründung erforderlich, historische Analyse weder eindeutig für noch gegen Missbrauch als Form von offenkundig unbegründeten Anträgen
  • ABER: Missbrauchsverbot allgemeiner Rechtsgrundsatz gilt damit für jede unionsrechtliche Vorschrift auf Ebene des Primärrechts
  • Wann liegt ein Missbrauch vor?
    • Subjektives Element? Ziel des Betroffenen ABER AUCH Erlangung eines ungerechtfertigten Vorteils - letzteres nicht, wenn andere Erklärung möglich ist (so GÄ im Fall Nowak)
    • Objektives Element? Verfehlt die Regelung ihr Ziel? –> Wann kann eine Auskunft NICHT dazu führen, dass sich Betroffener der Verarbeitung bewusst ist [wird?], Rechtmäßigkeit prüfen und Betroffenenrecht ausüben kann?
    • EuGH könnte Vorlage des BGH folgen
    • Praxis: Zurückhaltend mit Annahme Missbrauch umgehen, in der Praxis Standard-Antworten so optimieren, dass die Mehrzahl der Anfragenden zufriedengestellt sind und ggf. in den übrigen Fällen vorläufig[im Wissen um die Brisanz] auch Missbrauch einwenden
  • Was ist eine Kopie?
    • Nicht mehr nur Mitteilungspflicht wie in RL 95/46/EG
    • „Eine Kopie ist eine Kopie“, Härting CR 2019, 219 ff. Rn. 47 - mehr als eine bloße Abschrift bei der Echtheitsbeweis verloren geht. [Bei Datenbankauszügen greift das freilich nicht.]
    • Kopie erstreckt nicht nicht auf Sortierung/Aufbereitung von Daten - uU einfacher in der Umsetzung
  • Was muss kopiert werden?
    • Nicht Dokumente sondern Daten - Argument aus Art. 15 Abs. 3 Satz 1 DSGVO
    • Wichtig: Was ist [überhaupt] in einem Dokument ein personenbezogenes Datum?
    • Praxis: Unsicher wie EuGH entscheiden wird. JEDENFALLS keine Veränderung der Daten vor Überführung in Excel o.ä.
  • Empfänger oder Kategorien von Empfängern?
    • Umstritten, ob Wahlrecht und wenn ja, wessen Wahlrecht
    • GA: So präzise wie möglich, wenn Wahlrecht, dann beim Empfänger, Ausübung von Rechten bei Kategorien von Empfängern erschwert, siehe auch Art. 19 Abs. 2 DSGVO; Ausnahmen: Geplante aber noch nicht umgesetzte Offenlegung, keine uneingeschränkte Geltung (Verweis auf Art. 12 Abs. 5 DSGVO) –> aber Annahme unverhältnismäßigen Aufwands nur sehr schwer möglich
    • Praxis: EuGH wird grundsätzlich Nennung konkreter Empfänger verlangen –> Für Verarbeitungen sollten bei neuen Verarbeitungen jetzt schon konkrete Listen von Empfängern angelegt werden
    • Auswirkungen auf Art. 14 und 14 DSGVO? Kein Vorzug erkennbar aber andere Funktion, daher hier Annahme Wahlrecht des Verantwortlichen denkbar
  • Ausnahme aus Abs. 4?
    • Getrennte Betrachtung von Anspruch und Ausnahmen
    • Anspruchsvoraussetzungen sind extrem niedrig –> sicherer Umgang mit Ausnahmen wichtig
    • keine Einschränkung über „Gegenstand der Verarbeitung“ - Art. 4 Nr. 2 (Backups) (aA Wybitul)
    • Rechte und Freiheiten anderer Personen?
      • alle im Unionsrecht und im nationalen Recht garantierte Rechte und Freiheiten
      • Beispiele: LAG BaWü, Urt. v 17.3.21 - 21 Sa 43/20
      • EDSA auch Art. 7, 8 GRC
      • Erwägungsgrund 63 nur Beispiele
    • „nicht beeinträchtigen“?
      • NICHT Abwesenheit jeglicher Beeinträchtigung
      • Umfassende Abwägung notwendig
      • EDSA:
        • Führt Erfüllung zur Beeinträchtigung?
        • Möglichkeit widerstreitende Rechte in Einklang zu bringen?
        • ggf. Abwägung?
    • Geltung von Abs. 4 auch für Abs. 1?
      • EDSA und LAG BaWü: Kopie ist Art und Weise, wie Auskunft erteilt wird –> Anwendbarkeit von Abs. 4 für Abs. 1
      • aA BGH, Urt. v. 22.2.22 VI ZR 14/21: Geltung nur für Kopie
      • Beschränkung über allgemeine Rechtsgrundsätze? Derzeit offene Frage
    • Praxis: Nur für Kopie anwenden [Frage ist natürlich, ob Auskunft dann zB personenbezogene Daten Dritter offenlegen kann - mE nein]

• Frage: Offenlegung personenbezogener Daten von Gutachtern?
  • Einzelfallabhängig, genaue Prüfung erforderlich, was überhaupt personenbezogen ist.
• Frage: Fragen nach Systemen/Wie tief bei Dutzenden Systemen? Protokolldateien etc.
  • Auf Anspruchsebene alles. Ausnahmen prüfen. Konkretisierung verlangen aus Erwägungsgrund 63 S. 7 aber zumindest bei Konkretisierung muss erfüllt werden und Verantwortlicher muss sich ggf. mit den Auftragsverarbeitern auseinandersetzen

(Owen Mc Grath und Nicolas John, Westfälische-Wilhelms Universität Münster, Forschungsstelle Recht im DFN)

• Prüfungsarten
  • Digital
    • überwacht
    • nicht überwacht
  • hybrid (Analoge Klausur über digitales Portal)
  • analog (in Präsenz)
• Kern des Vortrages: überwachte, digitale Klausuren, also mit Proctoring
• Exkurs: Prüfungsrechtliche Chancengleichheit, Art. 12 Abs. 1, 2, Art. 3 GG
  • gleiche Prüfungsbedingungen
  • Unterbindung von Betrugsversuchen
• Datenarten beim Proctoring
  • Video: Videokamera
  • Audio: Mikrophon
  • Sonstiges: Prüfungsdaten (eigentliche Prüfung), Metadaten(Name, Matrikelnummer, Beginn, Ende etc.)
• Erlaubnistatbestände
  • Einwilligung?
    • großes Problem wegen fehlender Freiwilligkeit, Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO,
    • Alternativen: Präsenzprüfung (in Pandemie mit Restrisiko Ansteckung), Präsenzprüfung später –> Erheblichkeit der Nachteile?
    • „nicht optimal“ [mE außerhalb Pandemiesituation Einwilligung nur in absoluten Ausnahmefällen denkbar]
  • Verarbeitung für die Wahrnehmung einer Aufgabe?
    • Gewährleistung des Grundsatzes prüfungsrechtlicher Chancengleichheit –> öffentliches Interesse
    • Öffnungsklausel, Art. 6 Abs. 2,3 DSGVO erfordert gesetzliche Regelungen [mE muss nur das öffentliche Interesse/ die öffentliche Aufgabe geregelt sein; Details nur je nach Eingriffstiefe]
    • im Ergebnis jedenfalls Prüfungen grundsätzlich umsetzbar
• Grundsätze der Verarbeitung, insb. Datenminimierung
  • Art. 5 Abs. 1 lit. c Notwendigkeit und Verhältnismäßigkeit
  • Video- und Audioüberwachung grdsl. ok [mE spätestens bei Audio fragwürdig, dazu Sonderproblem des Ausnahmen.]
  • 360°-Raumscan
    • problematisch: Rechte Dritter, sensible personenbezogene Daten (evtl. sogar Besondere Kategorien personenbezogener Daten)
    • Nutzen ggf. fragwürdig, Problem für Abwägung
  • Erfassen des Bildschirms: fragwürdig
  • generell: Abwägung Schutz der Prüflinge gegen Wahrung des öffentlichen Interesses [Das für jeden Einzelfall zu prüfen und zu entscheiden dürfte praktisch nicht umsetzbar sein.]

• Frage: Lockdownbrowser in Prüfungsordnungen?
  • Antwort: Im Einzelfall sehr schwierig zu begründen
• Frage: Präsenzprüfung als Vorlage wird problematisch durch Aufnahmen von privater Umgebung. Wo ist die Grenze?
  • Antwort: Daher zB 360°-Überwachung problematisch

[An meinen grundsätzlichen Zweifeln am Proctoring - Wie kann eine letztlich leicht umgehbare Maßnahme angemessen sein? - ändert sich nichts. Siehe proctoring.]