Pioniergeist vs. Datenschutz | #Corona

Zugegeben, alles ist anders. Dass ein Semester, das nach der Hälfte aufgrund einer Pandemie von der klassischen Präsenzlehre in ein digitales Format überführt werden muss, nicht vollkommen problemlos abläuft, war zu erwarten. Hingegen ist das Resümee nach sieben Wochen Distantlearning von Seiten der Studierenden – mit Ausnahme einiger rebellierender Zweitsemester – wie auch der Lehrenden und der Verwaltung rundum positiv. Digitale Lehre kann funktionieren und technische Probleme kommen vor. Die Studierenden erfreuen sich an netten nächtlichen Statusupdates und die Verwaltung kann ohne Probleme einen digitalen Campus bauen, der mittlerweile sogar von Studentischen Initiativen für digitale Veranstaltungsformate erprobt ist. Ein Student Research Day, der höhere Besucherzahlen als zuvor am Fallenbrunnen verzeichnet und mit spannenden Präsentationen intensive Einblicke in die Studentische Forschung gibt, unterstreicht das positive Bild.

Dabei muss man anerkennen, dass Big Blue Button die wohl beste Lösung der verfügbaren Software zur Realisierung von Videokonferenzen ist. Eine freie und quelloffene Software, die zudem Features mitbringt, die ideal für den Lehrbetrieb sind. Der Betrieb auf eigenen Servern entspricht zudem dem Anspruch von Datenschützern, die zeitweiliges Ausweichen der Dozierenden auf Zoom oder Microsoft Teams eher mit einem weinenden Auge begleitet hätten.

Umso erstaunlicher sind die Geschehnisse der letzten Tage, die ein ganz anderes Bild zeichnen und mal wieder für ordentlich Gesprächs- und Diskussionsstoff in diversen WhatsApp-Gruppen oder dem zentralen Facebook-Forum gesorgt haben. 

Pures Glück oder progressive Innovation? 

Wo die Kurse enden, fangen die Prüfungen an. Die nahezu reibungslos funktionierende digitale Lehre sah sich mit fortschreitender Zeit dem Nadelöhr einer digitalen Prüfungsphase entgegenkommen. Lange war nichts über die Prüfungsform bekannt, die Studierendenschaft wartete ungeduldig auf einen Prüfungsplan, der verständlicherweise länger als üblich auf sich warten ließ. Denn der Umzug von der physischen zur digitalen Lehre war soweit geglückt, Videokonferenzen an der ZU zwar noch nicht erprobt, Lösungen auf dem Markt aber soweit vorhanden und schnell einsatzfähig.

Im Gegenteil hierzu ist die Anzahl der verfügbaren Tools für Prüfungen eher gering und die Erfahrungswerte von anderen Universitäten und vergleichbaren Einrichtungen sind dürftig. Noch nicht mal ein kalifornisches Softwareunternehmen hat sich diesem Teilgebiet der fortschreitenden Digitalisierung angenommen, sodass etwa Spekulanten aufgeweckt wären und Datenschützer auf Probleme hinweisen würden. Kurzum: Die Zeppelin Universität betritt Neuland, kehrt damit zu ihren Wurzeln zurück, ist wieder Pionierin in der deutschen Universitätslandschaft. Das Anderssein schreiben die Medien dieser Universität am Bodensee als Grundkapital zu: „Hier studiert man anders, denkt man anders und stellt man andere Fragen – so zumindest der eigene Anspruch.“

Innovativ könnte man also die über ILIAS geplanten Prüfungen bezeichnen, als pures Glück wohl den erst seit Januar bindenden Einsatz des Systems als Lernplattform. Innovativ im besten Sinne, die der Universitätslandschaft gegebenen Systeme in ihren Möglichkeiten auszureizen und die Lernfortschrittskontrollen von ILIAS zu verwenden. Mag man über Probleme, etwa in der Eingabe von mathematischen Formelzeichen hinwegsehen, scheint die Situation wieder einmal den Umständen entsprechend bestens gelöst. Während anderorts Prüfungen auf Unbestimmt verschoben oder abgesagt werden, holt die Zeppelin Universität im Eiltempo Schritte der Digitalisierung nach.

Auch die Lern- und Prüfungsplattform ILIAS ist eine freie und quelloffene Software, bei der Realisierung der Instanz für die ZU hat sich die Verwaltung dabei kompetente externe Hilfe eingekauft. Ein Schweizer IT-Unternehmen zeichnet sich verantwortlich für ILIAS an der ZU, selbst bezeichnet man sich dort als „E-Learning Spezialisten“.

Aufmerksamkeit auf den Datenschutz

Doch zurück zu den eigentlichen Prüfungen, die ab Montag (11.05.2020) von der Studierendenschaft abgelegt werden dürfen. Am Dienstag (05.05.2020) versandte das Prüfungscenter eine Mail mit allerlei Informationen zur anstehenden Prüfungsphase, in der im letzten Absatz die Rede ist von einer ehrenwörtlichen Erklärung zum Datenschutz. Dort heißt es:

„Bei einem At-Home-Exam wird vor dem Öffnen des Tests in Ilias eine ehrenwörtliche Erklärung angezeigt. Sie versichern mit dem Fortfahren des Tests, dass Sie die Prüfung selbst und ohne Hilfe Dritter bearbeitet haben. Sie stimmen zu, dass Sie mit der angebotenen Prüfungsform und den in diesem Semester geltenden prüfungsrechtlichen Bedingungen einverstanden sind. Ebenso stimmen Sie zu, dass Meta-Informationen wie die Bearbeitungsdauer und der Browser-Verlauf aufgezeichnet und vorübergehend gespeichert werden zum Zwecke der Sicherstellung eines geordneten Prüfungsablaufs. Ihre Prüfung selbst wird zwischengespeichert und in ausgedruckter Form archiviert.Bei Take-Home-Exams erklären Sie mit dem Antreten der Prüfung, dass Sie mit der angebotenen Prüfungsform und den in diesem Semester geltenden prüfungsrechtlichen Bedingungen einverstanden sind. Die Prüfung wird in elektronischer Form archiviert.“

Dass Metadaten gespeichert werden würden, hatte man über die Dozierenden schon mitbekommen können. Doch dass der „Browser-Verlauf aufgezeichnet und vorübergehend gespeichert“ wird, das war an dieser E-Mail neu. Etwas irritiert über diesen Hinweis und auch die Tatsache der ungenauen Formulierung des Zeitraums „vorübergehend“ – wie lange ist denn nun vorübergehend? – rutschte die Mail zunächst in mein Archiv.

Zwei Tage später kam die Thematik dann doch wieder hoch, durch eine E-Mail der Studentischen SeantorInnen. Dort wiederum war überraschender Weise erstmalig auch von einem rückwirkenden Auslesen des Browserverlaufs die Rede, weshalb man empfahl den Browserverlauf doch vor jedem Prüfungsantritt aus Datenschutzgründen zurückzusetzen. Der Wortlaut der E-Mail: 

„Wie ihr sicherlich schon gelesen habt, findet sich unter dem Punkt „Ehrenwörtliche Erklärung und Datenschutz“ die Notwendigkeit, eure Browserverläufe temporär zu speichern.Wir raten euch dringend, im Sinne des persönlichen Datenschutzes euren Browserverlauf vor Prüfungsantritt zu löschen, wenn ihr nicht möchtet, dass auch vorherige Einträge ausgelesen werden können. Diese Prozedur solltet ihr vor jedem Prüfungsantritt wiederholen. Das ist alles natürlich auf freiwilliger Basis, im Sinne einer transparenten Klausurenphase möchten wir euch trotzdem drauf hinweisen.“

Dieser Hinweis verwunderte mich stark, handelt es sich doch beim Browserverlauf um einen hochsensiblen Datensatz. Nicht umsonst steht etwa Facebook in der Kritik durch den Einsatz eines sogenannten Pixels, das Browserverhalten von Surfenden über die eigenen Seiten des Konzerns hinweg zu tracken, um Werbekunden Conversiontracking anbieten zu können. Dabei hat sich die Rechtslage hierzu jüngst dank der DSGVO verändert, die eine Nutzung von Facebooks Trackingmechanismus der Opt-In-Pflicht unterwirft, sodass NutzerInnen nicht gezwungen sind Ihr Nutzungsverhalten, etwa beim Besuchen des Webangebots einer Lokalzeitung, mit dem Internetkonzern zu teilen.

Das rückwirkende Auslesen des Browserverlaufs ermöglicht dabei einen vollumfassenden Datensatz über das Internetnutzungsverhalten des Studierenden. Bei Facebooks Pixelmechanismus werden nur alle Seiten erhoben, deren Betreiber Facebooks-Dienste aktiv in Anspruch nehmen. Das sind mehr als man denkt, ein rückwirkendes Auslesen dieser Daten ist immer noch ein deutlich stärkerer Eingriff in die Intimsphäre.

Metadaten & Browserverlauf – wen interessiert’s?

In den Diskussionen zu der Thematik taucht hin und wieder das Argument auf, dass Metadaten keine große Aussagekraft besäßen und die Betroffenen doch ohnehin „nichts zu verbergen hätten“. Dem möchte ich widersprechen und zur Einordnung der Sensibilität und Relevanz aus dem Urteil des Bundesverfassungsgerichts (BvR 256/08, Rn. 211) zur Vorratsdatenspeicherung vom 2. März 2010 zitieren. Dort wird die Brisanz von Metadaten beschrieben.

„Die Aussagekraft dieser Daten ist weitreichend. Je nach Nutzung von Telekommunikationsdiensten seitens der Betroffenen lassen sich schon aus den Daten selbst […] tiefe Einblicke in das soziale Umfeld und die individuellen Aktivitäten eines jeden Bürgers gewinnen. Zwar […] nur die Verbindungsdaten […] festgehalten, nicht aber auch der Inhalt der Kommunikation. Auch aus diesen Daten lassen sich jedoch bei umfassender und automatisierter Auswertung bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse ziehen. Adressaten […] Daten, Uhrzeit und Ort von Telefongesprächen erlauben, wenn sie über einen längeren Zeitraum beobachtet werden, in ihrer Kombination detaillierte Aussagen zu gesellschaftlichen oder politischen Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen derjenigen, deren Verbindungsdaten ausgewertet werden. […] Je nach Nutzung der Telekommunikation und künftig in zunehmender Dichte kann eine solche Speicherung die Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile praktisch jeden Bürgers ermöglichen. […]“

Der Browser als lokale Software, die den Internetzugang möglich macht, speichert aus Gründen des Komforts etwa die besuchte Internetseite und die entsprechenden Zeitstempel. So lernt die Autovervollständigung dazu und der Browser lernt den Nutzenden kennen. In der Regel werden diese Daten zeitlich unbegrenzt lokal auf dem Rechner gespeichert. Anbieter wie Google mit Chrome oder Apple mit Safari bieten, mitunter aus Eigeninteresse an diesem so wertvollen Datensatz, die Möglichkeit zur Synchronisation über mehrere Geräte hinweg, sodass Vorteile wie Autovervollständigung oder Synchronisation der Tabs auch auf die mobile Geräte mitgenommen werden können. Die Sensibilität ist den Anbietern dabei durchaus bewusst, nicht umsonst sind Browserdaten gut geschützt entweder lokal abgelegt, oder zusammen mit dem Account der NutzerInnen verbunden.

Ein kurzer Blick in meinen eigenen Browser offenbart, dass dort aktuell 35.392 Einträge meiner Historie gespeichert sind. Eine potenziell automatisierte Analyse dieses Datensatzes könnte somit ein wohl ziemlich genaues Profil von meinen Interessen, Verhaltensmustern, Problemen – meiner Persönlichkeit – abbilden.

An dieser Stelle sollte klar sein, wieso die Mail der Studentischen Senatoren, über das potenzielle rückwirkende Auslesen eine neue Qualität in die Thematik gebracht hat. Sollten die gegebenen Informationen korrekt sein, wäre genauestens zu hinterfragen, ob die Prüfungsplanungen und -voraussetzungen mit einem datenschutzrechtlichen Verhältnismäßigkeitsgebot zu vereinbaren sind.

Datenschutzerklärung – 404 Not Found

Wird die DSGVO von vieler Seite als wohl lästigste aus Brüssel stammende Verordnung des Jahres 2018 gesehen, so bringt sie doch auch viele positive Effekte mit sich. Datenverarbeitende Stellen sind nach Artikel 13 und Artikel 14 der Datenschutzgrundverordnung dazu verpflichtet über die erhobenen Daten, die Zwecke, die Empfänger, die Dauer der Speicherung, das Auskunftsrecht etc. zu informieren. Üblicherweise wird dies in Form einer Datenschutzerklärung getan, wie sie etwa im Zuhause der Zeppelin Universität vorbildlich unter dem Menüpunkt „Datenschutz“ einsehbar ist.

Die Datenschutzerklärung im ILIAS müsste also die aufgeworfenen Fragen durch die Mail des Prüfungscenters und der weitergehenden Informationen der SenatorInnen problemlos aufklären können und etwas Licht ins Dunkle bringen. Die Universität Hannover stellt etwa eine DSGVO-konforme Datenschutzerklärung für ihre ILIAS-Instanz zur Verfügung. Dort wird etwa die Speicherdauer beschrieben und auch die erhobenen Daten im Prüfungsmodul werden wie folgt beschrieben.

Guter Hoffnung wird man im ILIAS der Zeppelin Universität hingegen schlicht enttäuscht. Eine Datenschutzerklärung ist nicht verknüpft, nicht vorhanden und nicht verlinkt. Lediglich im Impressum spricht ein kurzer generischer Absatz von Datenschutz. Den Informationspflichten nach DSGVO kommt man hier definitiv nicht nach.

Das ist dahingehend fatal, da eine schnelle Klärung der aufgeworfenen Fragen so nicht möglich ist, die Verletzung von geltendem Recht mal außen vorgelassen.

Immerhin ist auf der Webseite der ZU der extern bestellte Datenschutzbeauftragte angegeben, den meine Auskunftsanfrage nach DSGVO zu der Verwendung von personenbezogenen Daten im ILIAS noch am Donnerstagabend erreicht. Freitagmorgen bestätigt dieser den Eingang meiner Anfrage und erklärt mit der Bearbeitung zu beginnen, laut gesetzter Frist hat er dazu einen Monat Zeit.

Viel Luft um nichts?

Doch die Sache möchte so noch nicht enden, gegen Freitagmittag erreicht diversen WhatsApp-Gruppen die Kopie einer E-Mail eines (ehemaligen) Dozierenden, dem laut seiner eigenen Aussage nach Kritik an der Datenerhebung seinen Vertrag aufgekündigt wurde, ebenfalls auf die Brisanz der formulierten Speicherung des Browserverlaufs hinweist und die Studierenden auffordert sich an die Aufsichtsbehörden zu wenden und sich zu beschweren. Diese sind für die Universität als solche das Wissenschaftsministerium, aus datenschutzrechtlicher Sicht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit. Eine gewisse Anzahl an Beschwerden sind dort mit Sicherheit eingegangen, eine Antwort wird wohl noch etwas auf sich warten lassen.

Mit etwas zeitlicher Verzögerung schwappt die Empörungswelle auch in das übliche große Facebook-Forum, wo ebenfalls heiß diskutiert wird. Die Studentischen Senatoren versprechen Aufklärung und noch am Freitagnachmittag erreicht die Studierendenschaft folgende Mitteilung:

„Die ZU zeichnet auf Grundlage dieser Zustimmung nicht den gesamten Browserverlauf Ihres Computers auf und nimmt insofern auch keine Auswertung der Nutzerdaten vor. Bei einigen Prüfungsformen ist es aufgrund einer technischen Einstellung von ILIAS lediglich nicht möglich, innerhalb des Browserfensters weitere Tabs zu öffnen. Es wird also nicht der Browserverlauf aufgezeichnet, sondern nur eine Beschränkung bei der Nutzung des Browsers geschaltet. Die Formulierung ist an dieser Stelle also missverständlich und wir hoffen, dass wir mit dieser Erläuterung die Irritationen auflösen konnten.“

Mit dieser Erklärung scheint die Thematik sich in Luft aufzulösen, da der Browserverlauf nicht aufgezeichnet wird, geschweige denn rückwirkend ausgelesen werden soll. Stattdessen würde von einer technischen Möglichkeit, das Öffnen weiterer Tabs zu verhindern, Gebrauch gemacht. Dieses Vorgehen hört sich datenschutzrechtlich deutlich besser an, bildet es doch die Einschränkungen eins für solche Prüfungssituationen üblichen Safe-Browsers ab.

Viel Luft um nichts also? Das Präsidium erklärt die Thematik als missverständliche Formulierung. Zwischen einem Sperren von neuen Tabs bzw. Fenstern und dem Auslesen eines Browserverlaufs liegt eine große Kluft des technisch Möglichen und vor allem der datenschutzrechtlichen Verhältnismäßigkeit.

Einerseits würde ich nach Beratung mit Webentwicklern absolut in Frage stellen, dass es technisch möglich ist den Browserverlauf auszulesen ohne Installation einer Drittsoftware, das oben skizzierte Verfahren ist technisch schlicht nicht machbar. Andererseits steht in meinen Augen – selbst bei der Möglichkeit eines solchen Auslesens – der kollektive Eingriff in die Privats- und Intimsphäre der Studierenden in keinem Vergleich zu der hinzugewonnenen Sicherheit bzgl. der digitalen Prüfungssituation. Die Nutzung eines weiteren Computers, eines anderen Browsers, eines Tablets oder eines Smartphones lässt sich bei einer digitalen Prüfung nicht verhindern. Die einzige Möglichkeit Täuschungsversuche bei digitalen Prüfungen nachhaltig zu verhindern besteht in einer entsprechenden Konzeption der Prüfungen dahingehend, dass auswendig gelerntes Wissen, das in wenigen Sekunden ergoogelt werden kann, nicht mehr prüfungsentscheiden ist. Vielleicht wäre eine Veränderung hin zu solchen Prüfungsinhalten der wahre Pioniergeist, der dem Anspruch der Zeppelin Universität und einer digitalisierten Gesellschaft entspricht, in der Google und Wikipedia ohnehin permanent nur einen Griff in die Hosentasche entfernt sind.

Die Corona-Krise ist auch eine Krise des Datenschutzes

Spannend ist dieser Vorfall dahingehend, dass mit der erzwungenen Digitalisierung durch COVID-19 nicht nur die Zeppelin Universität vor vielen Fragen und Abwägungen des Datenschutzes steht. Wir haben es hier mit dem Mikrokosmos der ZU zutun, der lediglich knapp 1000 Studierende umfasst. Damit ist er auf keinen Fall weniger relevant, aber der Blick auf die Makroebene lohnt. Denn auch auf globaler Ebene sind solche Fragen wichtiger denn je. Kontrolle von Ausgangsbeschränkungen mit Drohnen, Verpflichtungen zum regelmäßigen Senden von Selfies in den eigenen vier Wänden zur Einhaltung von Quarantänebestimmungen sind keine Utopie mehr. Große Datenmengen waren schon vor der Corona-Krise bares Geld wert, so ist es nicht überraschend, dass Unternehmen wie Google und Apple liebend gerne ihre Algorithmen staatlichen Akteuren anbieten, um eine datengetriebene Bekämpfung der Pandemie zu ermöglichen. Im Aktionismus der Krise fallen dabei Grenzen und Linien, die vorher aus bürgerrechtlicher Sicht wie Festungen schienen.

In Frankreich hat das Start-Up Two-I der Regierung angeboten die Datenmengen von Tausenden in Parks installierten Kameras anhand der unternehmenseigenen Algorithmen zu analysieren, um so Verstöße gegen Abstandsregeln automatisiert erkennen zu können. Gesichtserkennung, deren Verbot die EU-Kommission vor Ausbruch der Pandemie in Erwägung gezogen hat, um sich klar abzugrenzen von chinesischen Verhältnissen des Überwachungsstaats, scheinen so auf einmal als adäquates Mittel der Krisenbekämpfung. Um es mit dem französischen Soziologen Félix Tréguer zu sagen: „Man braucht nicht viel Fantasie, um sich auszumalen, wie sich eine solche Infrastruktur nach Abklingen der Coronakrise für weniger hehre Ziele der politischen Überwachung umfunktionieren ließe. Von Krise zu Krise greift die Sicherheitsgesellschaft unter dem Deckmantel von Staatsräson und Public-private-Partnerships weiter um sich.“


Den hier ausgeführten Fragen des Datenschutzes im Kontext von Corona werde ich am 20. Mai um 17 Uhr zusammen mit zwei ausgewiesenen ExpertInnen des Fachs im Rahmen einer digitalen Diskussionsrunde weiter thematisieren. Eine herzliche Einladung zusammen mit Prof. Dr. Jeanette Hofmann, Direktorin des Alexander von Humboldt Instituts für Internet und Gesellschaft (HIIG) und Principal Investigatorin Forschungsgruppe „Demokratie und Digitalisierung“ am Weizenbaum-Institut für die vernetzte Gesellschaft, Berlin sowie dem Bundesbeauftragten für den Datenschutz a.D. und Vorstandsvorsitzenden der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar zu diskutieren. Weiterhin kann ich den Beitrag „Wenn die Polizei dein Fieber misst“ von Félix Tréguer empfehlen, erschienen in der deutschen Ausgabe der LE MONDE diplomatique vom 07. Mai 2020.