Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) entschied über eine Datenschutzbeschwerde eines anwaltlich vertretenen Prüflings gegen eine private Hochschule aus Hessen (vertreten durch teipel.law)

Strittig war:

• die Nutzung der Software „Canvas“ im Prüfungsprozess,
• die Einträge in den Leistungsübersichten des Beschwerdeführers (v. a. „NB“ bzw. „endgültig nicht bestanden“).

Der Prüfling war seit Juli 2023 mit Täuschungsvorwürfen in drei Prüfungen konfrontiert. Er meinte, den Behauptungen der Beschwerdegegnerin zufolge habe er Text in Antwortfelder des von dieser zu Prüfungszwecken genutzten Lernmanagementsystems kopiert (Produktname „Canvas" der Firma Instructure, Inc. mit Sitz in 6330 South, 3000 East Suite, 700 Salt Lake City, USA) und vertrat die Ansicht, dass die technischen Ereignis- und Aktionsprotokolle (sog. Question Essays und Action Logs) der rein webbasierten Canvas-SaaS zum Nachweis des Verhaltens von Prüflingen als Beweismittel völlig ungeeignet seien. Diesen Protokollen zufolge solle der Beschwerdeführer u.a. Antwortfelder von Fragen in der Canvas-Webanwendung ausgefüllt haben, ohne sich zu diesen Zeitpunkten auf der Prüfungsseite selbst befunden zu haben. In der technischen API-Dokumentation von Canvas finde sich zudem der Haftungsausschluss („disclaimer"), dass die serverseitigen Logs „für Rollups und Gesamtanalysen gedacht seien, nicht jedoch für isolierte Überprüfungen oder andere folgenschwere Auswertungen, bei denen es um die Betrachtung einzelner Nutzer oder kleiner Stichproben gehe."

Seine Argumentation lautete:

• Canvas-Protokolle seien technisch ungeeignet, fehleranfällig und nicht valide,
  gestützt auf Aussagen des Herstellers, externer Prüfungen und Universitäten.
• Die Leistungsübersichten im Transcript of Records (ToR) müssten korrigiert/ergänzt werden, insbesondere:
• kein Anschein der Endgültigkeit („NB“ bzw. „endgültig nicht bestanden“ sei irreführend),
• er habe dadurch Nachteile bei Bewerbungen.
• Er forderte einen Vorläufigkeitsvermerk („Überprüfung ausstehend“).

Der Beschwerdeführer stützt seine Kritik maßgeblich auf die angebliche Unzuverlässigkeit der Canvas-Daten, die Grundlage der Täuschungsvorwürfe waren:

• Fehlerhafte Zeitstempel und Messdaten:
• Aus Herstellerangaben ergebe sich, dass Canvas‑Protokolle nicht für Individualanalysen konstruiert seien.
• Zeitstempel könnten falsch, unpräzise oder durch Pufferungen bzw. Serverlast beeinflusst sein.
• Ungeeignetheit für Prüfungszwecke:
• In unabhängigen Tests (z. B. Universitäten, Gutachter) habe sich gezeigt:
• Die Protokolle seien nicht manipulationssicher.
• Sie eigneten sich nicht zum Nachweis individueller Täuschungshandlungen.
• Schlussfolgerung des Beschwerdeführers:
• Die Canvas-Daten dürften nicht zur Begründung schwerwiegender Vorwürfe verwendet werden.
• Die Hochschule habe dennoch auf diese Daten maßgeblich zurückgegriffen.

Der Beschwerdeführer rügt einen Verstoß gegen den Richtigkeitsgrundsatz (Art. 5 Abs. 1 lit. d DSGVO):

• Unzutreffende Verarbeitung:
• Die fehlerhaften Canvas‑Protokolle seien in die Bewertung eingeflossen.
• Damit seien personenbezogene Leistungsdaten unrichtig verarbeitet worden.
• Unvollständigkeit:
• Kontextinformationen (z. B. Systemlatenzen, technische Störungen) seien nicht berücksichtigt worden.
• Konsequenz:
• Die Hochschule habe ein falsches Gesamtbild konstruiert, das ihn zu Unrecht belaste.

Der Beschwerdeführer vertrat die Auffassung, dass die Beschwerdegegnerin durch das vorstehend beschriebene Verhalten fortwährend gegen das Recht des Beschwerdeführers auf Berichtigung gemäß Art. 16 Sätze 1 und 2 DS-GVO und den dieses Recht flankierenden Grundsatz der Richtigkeit personenbezogener Daten gemäß Art. 5 Abs. 1 lit. d DS-GVO verstoße. Die Beschwerdegegnerin missachte insoweit auch die sie treffende, zweckbezogene Aktualisierungspflicht aus Art. 5 Abs. 1 lit. d DS-GVO. Seiner Ansicht nach habe die Beschwerdegegnerin durch den seines Erachtens zweckwidrigen Einsatz der als bloßes Lernmanagementsystem konzipierten Canvas SaaS zur Abnahme von Prüfungen gegen den Grundsatz des Datenschutzes durch Technikgestaltung gemäß Art. 25 Abs. 1 DS-GVO verstoßen.

Der Beschwerdeführer betont die ernsthaften praktischen Konsequenzen der Einträge:

• Eintrag "NB":
• Erwecke den Anschein finaler Endgültigkeit, obwohl Verfahren noch liefen.
• Verzerre den wahren rechtlichen Stand (Schwebelage).
• Fehlender Vorläufigkeitsvermerk:
• Er habe ausdrücklich die Eintragung eines Hinweises verlangt wie:
• „Überprüfung ausstehend“
• Die Hochschule lehnte dies ab.
• Bewerbungsnachteile:
• Arbeitgeber legten naturgemäß großen Wert auf Leistungsübersichten.
• Der Eindruck endgültigen Nichtbestehens könne ihn massiv benachteiligen.
• Dies wertet der Beschwerdeführer als unrichtige bzw. unvollständige Datenverarbeitung, die nach Art. 16 DSGVO zu berichtigen sei.

Der Beschwerdeführer sieht die Täuschungsvorwürfe als prüfungsrechtlich nicht ausreichend begründet:

• Abhängigkeit der Bewertung von fehlerhaften Daten:
• Ohne Canvas‑Protokolle sei die gewählte Begründung nicht haltbar.
• Unvollständige Sachverhaltsermittlung:
• Keine hinreichende Aufklärung zu technischen Fehlerquellen.
• Unzureichende Dokumentation:
• Prüfende hätten sich nicht ausreichend mit alternativen Ursachen für die Protokollauffälligkeiten befasst.
• Folgerung des Beschwerdeführers:
• Wenn die Bewertung der Hochschulprüfer auf unzureichender Tatsachengrundlage beruhe, seien auch die eingetragenen Prüfungsergebnisse datenschutzrechtlich unrichtig.

Die Hochschule lehnte die Forderungen ab und begründete:

• Der vorgeschlagene Vermerk „endgültig nicht bestanden. Einwand- und Gerichtsverfahren noch nicht abgeschlossen“ sei sachlich korrekt.
• Täuschungsvorwürfe beruhten nicht nur auf Canvas, sondern auf:
• individuellen Prüfungsbewertungen,
• weiteren Prüfungsindizien.
• Die Bewertung entspreche den prüfungsrechtlichen Vorschriften, insbesondere auf ihrer Allgemeinen Prüfungsordnung und den Regelungen des hessischen Landeshochschulgesetzes.
• Die Entscheidung werde erst durch Rechtskraft final.

Die durch teipel.law vertretene Hochschule führte aus, dass es sich bei der Formulierung „endgültig nicht bestanden" um eine allgemein übliche Formulierung im Prüfungsrecht handele, die sich auch in Regelungen des Hessischen Hochschulgesetzes finde (§§ 63, 65 HessHG) und die grundsätzlich das Nichtbestehen einer Prüfung im letzten Prüfungsversuch und damit als Folge den Verlust des Prüfungsanspruchs bezeichne. Sie beinhalte keine Aussage über eine „tatsächliche Endgültigkeit", im Gegenteil. Erst mit Unanfechtbarkeit werde diese Entscheidung des „endgültigen Nichtbestehens" bestandskräftig, erst nach Abschluss etwaiger Gerichtsverfahren werde sie rechtskräftig. Mit Eintritt der Bestands- bzw. der Rechtskraft erhalte sie innere Wirksamkeit. Damit verkannte der Beschwerdeführer, dass es in prüfungsrechtlicher Hinsicht für die Bezeichnung „endgültig nicht bestanden" nicht darauf ankomme, ob der erlassene Prüfungsbescheid unanfechtbar geworden war.

Nach erneuter Anhörung der Beschwerdegegnerin durch die Hessische Datenschutzaufsichtsbehörde zu den Ausführungen des Beschwerdeführers trugen wir für diese vor, dass dass der Rückgriff auf Protokolle des Lernmanagementsystems Canvas in dem vorliegenden Fall keinen Verstoß gegen Art. 5 Abs. 1 lit. d) i.V.m. Art. 25 Abs. 1 DS-GVO darstelle, da

• der Vorwurf der Täuschungshandlung sich auf Täuschungen in gleich mehreren Prüfungen bezogen habe,
•  der Vorwurf hierbei stellenweise nicht einmal im Ansatz auf oder mit Rückgriff auf Log-Protokolle von Canvas erfolgt sei, sondern ausschließlich auf einer individuellen, höchstpersönlichen Prüfung basiert habe (so ausdrücklich beispielsweise im Rahmen der Modulprüfung „XXX"),
•  die Hochschule sich auch bei den anderen Modulprüfungen nicht ausschließlich auf die Prüfungsprotokollierung stütze, sondern sie diese dergestalt analysiert habe, dass die Prüfungsprotokolle im Rahmen des Anscheinsbeweises lediglich als Indiz dafür gedient hätten, dass der Beschwerdeführer sich unzulässiger Hilfsmittel bedient habe.

Die Prüferinnen und Prüfer könnten aufgrund ihrer Erfahrungswerte feststellen, ob es Auffälligkeiten bei der Beantwortung der Prüfungsfragen gebe, die sich nicht anders als durch die Zuhilfenahme unzulässiger Hilfsmittel erklären lassen würden. Darüber hinaus seien die Prüfenden nicht nur vertraut mit einer Vielzahl von gerade durch Prüflinge verfassten Antworten, sondern aufgrund ihrer Tätigkeit als Prüferinnen und Prüfer gerade auch dazu berufen, diese nach Struktur, Inhalt und Form zu analysieren und zu bewerten. Vor diesem Hintergrund würden sie über hinreichende Sachkunde verfügen, Auffälligkeiten festzustellen, die sich nicht allein durch unterschiedliches Leistungsvermögen von Prüflingen erklären lassen würden.

Dass hierfür die Log-Protokolle von Canvas als Indiz für einen Täuschungsvorwurf herangezogen worden seien, sei nicht gleichzusetzen mit dem datenschutzrechtlichen Vorwurf, dass die von Canvas erfassten Daten im Hinblick auf einen Täuschungsvorwurf ungeeignet bzw. unrichtig seien. Diesbezüglich sei schon sorgfältig zwischen den Log-Protokollen und den Eingabemasken zu unterscheiden. Vielmehr sei es so, dass die Auswertung der Protokolle erkennen lasse, dass Text von externen Quellen in die Antwortmasken von Canvas hineinkopiert worden sei. Diese Einordnung erfolge weder eigenständig durch das Programm noch allein aufgrund der Log-Daten, sondern im Rahmen einer höchstpersönlichen Einzelfallentscheidung, eine automatisierte Entscheidung sei gerade nicht erfolgt. Insoweit werde vom Beschwerdeführer nicht schlüssig aufgezeigt, an welchen konkreten Stellen die vorliegenden Protokolle unrichtig seien bzw. warum die Software Canvas als erster Anhaltspunkt für eine Täuschungshandlung ungeeignet sei. Letztlich komme es darauf aber auch nicht an, weil die Einordnung eines Vorgangs als Täuschungshandlung weder durch die Software, noch automatisiert, noch auf Grundlage der Log-Protokolle erfolgt sei.

Eine Täuschungshandlung sei durch CANVAS gerade nicht festgestellt worden. Soweit durch die CANVAS Log-Protokolle vereinzelt Auffälligkeiten identifiziert worden seien, wie beispielsweise eine Texteingabe erheblichen Umfangs innerhalb einer kurzen Zeitspanne, sei diese Identifikation im Weiteren durch die Prüferinnen und Prüfer vertieft begutachtet worden, indem beispielsweise auf die Fehlerfreiheit, die Wortwahl, die Argumentationsdichte, die Individualität oder die Stringenz abgestellt worden sei. Diese Handhabung stelle eine geeignete organisatorische Maßnahme zur Umsetzung des Datenschutzgrundsatzes dar. Zudem seien — mit oder ohne Anlass dieser Log-Daten immer auch weitere Aspekte — z.B. das Hineinkopieren der (wohl) getätigten Prompts oder Formatierungen standardmäßig überprüft und damit zu keinem Zeitpunkt monokausal auf die Canvas-Logprotokolle zur Ermittlung einer Täuschungshandlung abgestellt worden.

Der Beschwerdeführer habe sich mit den richtig erfassten Daten von Canvas in der Eingabemaske (nicht den Log-Protokollen) seiner Antwort und den damit ersichtlichen Auffälligkeiten nicht auseinandergesetzt. Er bestreite auch nicht, die Antwort so gegeben zu haben, wie sie von Canvas erfasst worden sei. Insoweit sei für die Hochschule nicht ersichtlich, welche Daten in datenschutzrechtlicher Hinsicht unrichtig seien und warum sich an dieser Stelle Canvas als „ungeeignet" erweise, wenn nur die unstreitig gegebenen Antworten des Beschwerdeführers mit denen seiner Mitprüflinge aus der gleichen Prüfungskohorte miteinander verglichen und analysiert würden.

Der vermeintlichen datenschutzrechtlichen Unzulässigkeit von Canvas liege zusammenfassend vorliegend offensichtlich die Fehlvorstellung zugrunde, dass Canvas selbst ein Prüfungsergebnis, insbesondere zu dem hier verfahrensgegenständlichen Täuschungsvorwurf, liefere. Dies sei unzutreffend. Canvas adressiere lediglich Anhaltspunkte für Auffälligkeiten an die Prüferinnen und Prüfer (z.B. Bearbeitungszeit oder sprachliche Auffälligkeiten). Diese Anhaltspunkte hätten diese sodann — allerdings nicht ausschließlich — zum Anlass genommen, um eine individuelle, höchstpersönliche und erfahrungsbasierte Überprüfung vorzunehmen.

Eine ausführliche, vollständig orthographisch und grammatikalisch richtige Antwort, werde durch Canvas gar nicht als Auffälligkeit identifiziert — dies könnten nur die beteiligten Prüferinnen und Prüfer im Rahmen ihrer vorzunehmenden Bewertung ausmachen. So verhalte es sich darüber hinaus auch hinsichtlich des Umstandes, dass beispielsweise ein Prüfling — wie dies auch vorliegend der Fall gewesen sei — eine Aufgabe stellenweise (zu) abstrakt-generell beantworte, indem er u.a. die Antwort in der ersten Person Plural verfasse. Die Canvas-Protokolle würden sich zu diesem Umstand nicht verhalten. In keinem Fall sei ein Täuschungsversuch ausschließlich auf die Log-Protokolle von Canvas gestützt worden. Diese seien lediglich im Rahmen einer ohnehin vorgenommen Bewertung (die zwangsläufig erfolgen müsse) herangezogen worden. Diese „Heranziehung" erfolge gleichwohl ohne eigenen substanziellen Inhaltsgehalt, sondern stelle lediglich den Anlass für eine weitergehende individuelle Überprüfung dar. Diese anlassbegründenden Protokolle von Canvas hätten im Ergebnis einer daraufhin vorgenommenen weitergehenden Überprüfung sowohl be- als auch entlastend hätten wirken können.

Die Hochschule weise den Vorwurf entschieden zurück, dass sie eine Täuschungshandlung ausschließlich auf Grundlage von Canvas-Protokollen habe nachweisen wollen. Dies sei nicht nur prüfungsrechtlich unzulässig, sondern bei sorgfältiger Betrachtung auch gar nicht möglich, da die Protokolle gar keinen eigenen täuschungsrelevanten Erklärungsinhalt aufweisen würden. Sie würden einerseits lediglich unterschiedliche Parameter wie eine Bearbeitungszeit oder die gegebene Antwort angeben. Dies sei für sich betrachtet täuschungsneutral. Erst durch Bewertung dieses Kriteriums und zwingender Hinzuziehung weiterer Aspekte, könne eine höchstpersönliche Einschätzung durch die Prüferinnen und Prüfer erfolgen, ob eine Täuschungshandlung vorliege oder nicht.

Andererseits, und dies werde in der Diskussion soweit ersichtlich, nicht berücksichtigt, würden die Protokolle nicht nur verschiedene Parameter angeben, sondern auch die prüfungsrelevanten Inhalte liefern, mithin die Antworten der Prüflinge, welche die Grundlage für die Bewertung durch die Prüfenden darstellen würden. Insoweit unterschlage der Beschwerdeführer, dass vorliegend die Eingabe-Protokolle die Grundlage für die Einordnung als Täuschungshandlung darstellen würden. Deren Richtigkeit stelle der Beschwerdeführer aber selbst nicht in Frage.

Diese Eingabe-Protokolle seien hinsichtlich der „eigentlichen Prüfungsdurchführung" zulässig. Dann müssten sie es gleichwohl jedoch auch für eine inhaltsbasierte Täuschungsbewertung sein, da diese ohne die durch die Protokolle vermittelten Inhalte schlichtweg nicht möglich sei.

Der HBDI überwacht gemäß Art. 57 Abs. 1 lit. a) DS-GVO i. V. m. § 40 Abs. 1 BDSG i. V. m. § 13 Abs. 1, Abs. 2 Nr. 1 HDSIG die Anwendung, Einhaltung und Durchsetzung der Vorschriften über den Datenschutz in Hessen.

Nach Art. 5 Abs. 1 lit. d) DS-GVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Nach Art. 5 Abs. 2 DS-GVO ist der datenschutzrechtlich Verantwortliche, vorliegend also die Hochschule, für die Einhaltung des Absatzes 1 verantwortlich. In Verbindung mit Art. 25 Abs. 1 DS-GVO muss der Datenschutzgrundsatz der Richtigkeit insbesondere auch durch geeignete technische und organisatorische Maßnahmen wirksam umgesetzt werden. Mit Blick auf die Auswahl und den Einsatz von IT-Diensten bedeutet dies, dass die Hochschule keine solche Dienste einsetzen darf, bei denen die Richtigkeit der durch sie erzeugten personenbezogenen Daten oder solcher Daten, welche mit anderen personenbezogenen Daten zusammengeführt werden, nicht gewährleistet ist. Dies beginnt bei einer strengen Orientierung am beabsichtigten Anwendungsszenario für den IT-Dienst.

Aus technischer Sicht des Datenschutzes bemisst sich die Geeignetheit eines IT-Dienstes daran, wie gut er geeignet ist, den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung ihrer personenbezogenen Daten sicherzustellen.

Der HBDI stellte fest:

• Kein Verstoß gegen Art. 5 Abs. 1 lit. d DSGVO, weil:
• Canvas-Protokolle nicht als alleinige Grundlage, sondern nur als Indizien dienten.
• Die Bewertung beruhte wesentlich auf den eingereichten Antworttexten und deren Analyse durch qualifizierte Prüfer.
• Die angebliche Fehlerhaftigkeit von Zeitstempeln war nicht entscheidungstragend.

Der HBDI folgte der Argumentation von teipel.law, dass zwischen der Protokollierung der Zeitstempel einerseits und der Speicherung der Texte andererseits, die der Prüfling als Antwort auf eine Prüfungsfrage einreichen wollte, zu unterscheiden sei: Der Anbieter von Canvas beziehe sich mit seiner Einschätzung zur Untauglichkeit für einen Nachweis eines akademischen Fehlverhaltens lediglich auf die Protokollierung wie beispielsweise der Zeitstempel. Die Richtigkeit der Verarbeitung der gegebenen Antworttexte sei hiervon jedoch nicht betroffen. Die Beschwerdegegnerin habe ausführlich dargelegt, dass menschliche Prüferinnen und Prüfer hierfür Textmerkmale wie etwa die Struktur der eingereichten Antworten, die vom Studierenden in den Antworttexten verwendeten Personalpronomen oder andere Aspekte der Wortwahl betrachtet, sowie den Vergleich mit Prüflingen der Prüfungskohorte gezogen haben. Eine Korrektur eines Prüfergebnisses im Kontext einer Hochschulprüfung kann nicht über das Datenschutzrecht und mithin über die DS-GVO erlangt werden.

Insofern die Beschwerdegegnerin die nicht nachweisbar richtige Protokollierung von Canvas lediglich als Anhaltspunkt dafür verwendete, eine Auswahl zu überprüfender Antworttexte vorzunehmen, sei ihr dies aus datenschutzrechtlicher Sicht nicht vorzuwerfen.

• Eine Korrektur von Prüfungen über das Datenschutzrecht ist ausgeschlossen.
• Die Richtigkeit der Bewertung fällt nicht unter die DSGVO, sondern ist prüfungsrechtlich zu klären.

Bei Zweifeln müsse der Betroffene den Rechtsweg beschreiten (Widerspruch/Klage).

• Canvas wurde datenschutzkonform eingesetzt.
• Prüfungsrechtliche Entscheidungen (Bestehen, Täuschung, Endgültigkeit) fallen nicht in die Datenschutzaufsicht.
• Keine Pflicht zur Korrektur oder Kennzeichnung der Leistungsübersicht nach DSGVO.
• Der Betroffene ist auf den gerichtlichen Rechtsweg verwiesen.