Datenschutz im Rahmen der Nutzung von WISEflow

Hochschule Worms, Wintersemester 2021/22


Inhaltsverzeichnis

Vorbemerkung

1. Name und Anschrift des Verantwortlichen

2. Name und Anschrift des Datenschutzbeauftragten

3. Allgemeines zur Datenverarbeitung

a. Umfang der Verarbeitung
b. Rechtsgrundlagen
c. Verarbeitete Daten bzw. Datenkategorien
d. Datenlöschung und Speicherdauer

4. Im Einzelnen

a. Gespeicherte Informationen über den Webbrowser
b. Protokollierung
c. Gesichtserkennung mittels biometrischer Daten
d. Lockdown-Browser
e. Verschlüsselung
f. Cookies
g. Zendesk
h. Urkund (PrioInfo)
i. E-Mail-Versand und Newsletter
j. Einbindung von ext. Inhalten (Learnosity, Youtube- oder Vimeo-Videos, Dropbox)

5. Rechte der betroffenen Person


Wie Ihre Daten verarbeitet werden

Vorbemerkung

Die Hochschule Worms verwendet, aufgrund der mit der Corona-Pandemie gemachten Erfahrungen im Prüfungswesen, ab dem Wintersemester 2021/2022 ein digitales Prüfungssystem für alle Arten von Prüfungen in den Studiengängen der Hochschule. (Das System kann mündliche Prüfungen, speziell bei der Korrektur und Benotung, unterstützen. Diese Funktion wird aktuell aber noch nicht genutzt.)

Hierzu wird sie die von dem dänischen Unternehmen UNIwise bereitgestellte Software WISEflow einsetzen.

Um die Funktionalität dieses Softwareprodukts zu prüfen, hat die die Hochschule dieses System im Rahmen eines Probe-Onlineklausuren-Betriebes im Sommersemester 2021 mit Unterstützung von Studierenden, Lehrenden und unterstützendem Person mit positivem Ergebnis getestet, Zur Umsetzung der Software arbeitet UNIwise mit Unternehmen zusammen, die in dessen Auftrag personenbezogene Daten der Nutzer von WISEflow verarbeiten. Die Unternehmen sind in den Ziffern 3.a. (Amazon), 4.d. und j. (Learnosity), 4.f. (Google), 4.g. (Zendesk), 4.h. (Urkund), 4.i. (Sendinblue) und 4.j. (Vimeo) genannt.

Mit UNIwise ist geklärt, dass Amazon Web Services das einzige Unternehmen ist, das seinen Sitz in den USA hat und bei dem zu befürchten wäre, dass Daten in ein Drittland übermittelt werden. Die Unternehmen Learnosity (Sitz Irland), Original (Sitz Schweden), Turnitin (Sitz Niederlande) und GeoGebra (Sitz Österreich) unterliegen den Vorschriften der DS-GVO und sind somit datenschutzrechtlich unbedenklich. Die Unterauftragsverarbeiter Status.io (USA) und Zendesk (USA) sind datenschutzrechtlich ebenfalls unbedenklich, weil laut der Zusicherung von UNIwise kein Datenaustausch mit diesen Unternehmen stattfindet.

Bei der individuellen Anmeldung der Prüflinge auf der Plattform WISEflow verwendet UNIwise Cookies, es wird auf eine eigene Cookie- und Datenschutzerklärung des Unternehmens hingewiesen. Die individuelle Nutzerin oder der individuelle Nutzer kann dieser Erklärung nicht widersprechen, da die Hochschule der Datenschutz- und Cookie-Richtlinie im Namen ihrer Nutzerinnen und Nutzer zugestimmt hat. Die Informationen, die über die Nutzerinnen und Nutzer gesammelt werden, können unter "Information we collect about you" / "Informationen, die wir über Sie sammeln" eingesehen werden. Es ist für die Nutzerinnen und den Nutzer möglich, ihre oder seinen Computer so einzustellen, dass keine Cookies akzeptiert werden, dies kann aber die Einschränkungen der Webseite / Dienste zur Folge haben. Einen Hinweis, wie die Nachverfolgung durch Google Analytics ausgeschaltet werden kann, ist in der Richtlinie angegeben (Link zu  http://tools.google.com/dlpage/gaoptout). UNIwise hat gegenüber der Hochschule versichert, dass die Daten, die über Google Analytics erhoben werden, in keinen Zusammenhang mit den Daten im Rahmen des Online-Prüfungsverfahrens (Nutzung der WISEflow-Plattform) gebracht werden können.

Im Drittstaat USA, in den über Amazon Web Services Daten gelangen können, existiert kein der DS-GVO vergleichbares Datenschutzniveau, insbesondere deshalb, weil Sicherheitsbehörden dieser Staaten in begründeten Fällen auf diese Daten zugreifen können.

Eine Datenweitergabe an Unternehmen in Drittstaaten ist deshalb aufgrund eines Urteils des Europäischen Gerichtshofs im Jahr 2020 nur unter den folgenden Voraussetzungen zulässig.

  1. Die Europäische Kommission hat beschlossen, dass das betreffende Drittland ein angemessenes Schutzniveau bietet (Datenübermittlung auf der Grundalge eines Angemessenheitsbeschlusses)
  2. Der Verantwortliche oder der Auftragsverarbeiter sieht geeignete Garantien vor und den betroffenen Personen stehen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung (Datenübermittlung vorbehaltlich geeigneter Garantien)
  3. Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen, kann eine Datenübermittlung nur unter den in Art. 49 DSGVO geregelten Bedingungen erfolgen (Ausnahmen für bestimmte Fälle.

Zur Sicherstellung eines der DSGVO vergleichbaren Datenschutzniveaus hat die Hochschule mit UNIwise einen Auftragsverarbeitungsvertrag geschlossen, der durch die Einbindung der von der Europäischen Kommission vorgegebenen Standarddatenschutzklauseln die oben in Ziffer 2 dargelegten geeigneten Garantien für die Übertragung von Daten in das Drittland USA schafft und die den Nutzerinnen und Nutzern von WISEflow durchsetzbare Rechte und wirksame Rechtsbehelfe bietet.

UNIwise selbst hat mit dem Unterauftragsverarbeiter Amazon WebServices ebenfalls einen Auftragsverarbeitungsvertrag unter Einbindung der Standarddatenschutzklauseln geschlossen, um die beschriebenen Garantien zu erreichen.

Aufgrund dieser vertraglich vereinbarten Garantien bestehen datenschutzrechtlich keine Bedenken gegen die Nutzung von Amazon Web Services im Rahmen der Nutzung der Prüfungssoftware WISEflow.

Vor diesem Hintergrund erteilt die Hochschule, zusätzlich zu den Informationen, die das Unternehmen UNIwise selbst im Rahmen der Nutzung der Plattform WISEflow erteilt, zur Durchführung der digitalen-Prüfungen mit der Software WISEflow, die folgende Datenschutzinformation:

1. Name und Anschrift des Verantwortlichen

​​​​​​Name:                      Hochschule Worms
Straße:                     Erenburgerstraße 19
Postleitzahl:              67549
Ort:                           Worms
Telefon:                    06241-509-245
E-Mail-Adresse:       praesident@hs-worms.de
Internet-Adresse:     www.hs-worms.de

2. Name und Anschrift des Datenschutzbeauftragten

​​​​​Name:                      Datenschutzbeauftragte
Straße:                     Erenburgerstraße 19
Postleitzahl:              67549
Ort:                           Worms
Telefon:                    06241-509-230 o. 247
E-Mail-Adresse:       datenschutz@hs-worms.de

3. Allgemeines zur Datenverarbeitung

a. Umfang der Verarbeitung

Die Hochschule Worms setzt ein digitales Prüfungssystem für alle Arten von Prüfungen in den Studiengängen an der Hochschule Worms ein. Prüflinge können damit ihre Prüfungen online sowohl von zuhause (Digitale Fernprüfung) als auch vor Ort (Digitale Prüfung, Onlineprüfung) absolvieren bzw. einreichen. Außerdem soll dieses Prüfungssystem sicherstellen, dass Prüfungen rechts- und datensicher durchgeführt werden können, Dokumente rechtssicher, d.h. mit der eindeutigen Zuordnung der/des Abgebenden eingereicht werden können, und datensicher den zuständigen Prüfenden zur Verfügung gestellt, durch sie bewertet und abschließend archiviert werden können. Weiterhin sollen die technischen Möglichkeiten genutzt werden, um den Prüflingen Rückmeldungen zu den Prüfungsleistungen bereitzustellen.

Das digitale Prüfungssystem soll für folgende Prozesse eingesetzt werden:

  1. die Vorbereitung, Durchführung, Bewertung von digitalen Klausuren sowohl unter Aufsicht auf dem Campus als auch außerhalb des Campus als digitale Fernprüfung
  2. die Abgabe, Bewertung und Archivierung von schriftlichen Arbeiten;
  3. die Bereitstellung der Kopien der Prüfungsleistungen der Studierenden mit den Kommentierungen der Prüfenden.

Die Hochschule Worms stellt der UNIwise APS die erforderlichen Daten für das Identitätsmanagement aller an dem Prüfungssystem beteiligten Personen über Shibboleth zur Verfügung und aktualisiert diese Angaben in den notwendigen zeitlichen Zyklen.

Für die Durchführung der digitalen Prüfungen kann in WISEflow die Nutzung der Software und digitalen Kommunikation auf dem Gerät, mit dem die Prüfung abgelegt wird, eingeschränkt werden (Lockdown-Browser).

Die Hochschule Worms hat mit UNIwise einen Vertrag zur Auftragsverarbeitung, ergänzt um die von der Europäischen Kommission erlassenen Standarddatenschutzklauseln (siehe Vorbemerkung), abgeschlossen.

b. Rechtsgrundlagen

Die Verarbeitung der Daten erfolgt auf der Grundlage folgender Gesetze, Verordnungen und Satzungen:

  • Art. 6 Abs. 1 Satz 1 lit e) DS-GVO) i. V. m. § 2 Abs. 1 und Abs. 8 Hochschulgesetz Rheinland-Pfalz (HochSchG) vom 06.10.2020 (GVBl. 2020, 461), zuletzt geändert durchGesetz vom 22.07.2021 (GVBl. S. 453);
  • Landesverordnung zur Erprobung elektronischer Fernprüfungen an den Hochschulen vom 19.03.2021, GVBl. 2021, 198);

c. Verarbeitete Daten bzw. Datenkategorien

Durch die Hochschule Worms:

Für die Anmeldung über Shibboleth werden übertragen

  • Name
  • Vorname
  • E-Mail-Adresse
  • Shibboleth-Kontoname (heruntergeladen aus dem System der Nutzerverwaltung der Universität) und die mit der/dem Konto verbundenen Rollenzuweisung (zugewiesen durch die Administratorinnen oder Administratoren).

Von den Lehrenden und Mitarbeitenden werden in WISEflow folgende Daten verarbeitet:

  • Vorname
  • Nachname
  • Universitäts-E-Mail-Adresse
  • Shibboleth-Kontoname
  • eindeutiger System-Identifier
  • Rollenzuweisungen im System
  • Prüfungsfragen
  • Protokollierungsdaten
  • Kommentare und Bewertungen der Prüfungsleistungen

Die bei der Nutzung von WISEflow protokollierten personenbezogenen Daten der Beschäftigten werden nur im Rahmen dieser Datenschutzerklärung kontrolliert; insofern findet eine Verhaltenskontrolle statt. Sie unterliegen der Zweckbindung dieser Erklärung und den einschlägigen datenschutzrechtlichen Vorschriften. Darüberhinausgehende Leistungs- und Verhaltenskontrollen sind unzulässig.

Von den Studierenden werden in WISEflow folgende Daten verarbeitet:

  • Vorname
  • Nachname
  • Uni-E-Mail-Adresse
  • Shibboleth-Kontoname
  • eindeutiger System-Identifier
  • Rollenzuweisungen im System
  • Prüfungsleistungen
  • Kommentare und Bewertungen der Prüfenden zu den Prüfungsleistungen

bei überwachten Online-Klausuren Ähnlichkeitswerte, welche mit den Fotos der überwachten Online-Klausuren korrespondieren.

d. Datenlöschung und Speicherdauer

Die Daten für die Identitätsverwaltung und Zugangskontrolle werden solange gespeichert, wie die betreffende Person Mitglied bzw. Angehörige/r der Hochschule Worms ist. Zu Beginn des Folgesemesters werden diese Daten bei dem halbjährlichen Abgleich gelöscht für die exmatrikulierten Studierenden, die ausgeschiedenen Mitarbeitenden und die Lehrbeauftragten, denen kein erneuter Lehrauftrag erteilt wurde.

Die Prüfungsleistungen inklusiver der Bewertungen durch die Prüfenden werden fünf Jahre nach deren Erbringung gelöscht.

Die Daten zur Gesichtserkennung (Verlaufsfotos während der Prüfungen und korrespondierende Ähnlichkeitswerte) werden sechs Monate nach dem Prüfungstermin gelöscht.

Das Referenzfoto wird spätestens sechs Monate nach der Exmatrikulation mit den Anmeldedaten gelöscht.

Protokollierungsdaten werden regelmäßig gelöscht (spätestens nach 1 Jahr).

4. Im Einzelnen

a. Gespeicherte Informationen über den Webbrowser

Beim Aufruf der WISEflow-Software über den Webbrowser werden folgende Daten an UNIwise übertragen und auf deren Serversystemen gespeichert:

  • die Internetprotokoll-Adresse (IP-Adresse), die für die Verbindung Ihres Computers mit dem Internet verwendet wird
  • Browsertyp und -version
  • Zeitzoneneinstellung
  • Browser-Plug-in-Typen und -Versionen
  • Betriebssystem und Plattform

Diese Daten sind nicht bestimmten Personen zuzuordnen. Sie dienen der Auswertung zur Systemsicherheit und -Stabilität, der Aufklärung missbräuchlicher Nutzung und der Gewährleistung der korrekten Nutzung der Website. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Es erfolgt keine Weitergabe an Dritte. Die Daten werden regelmäßig gelöscht.

b. Protokollierung

Neben dem Serverlog des Webzugriffs werden alle Aktivitäten mit dem Programm WISEflow protokolliert.

Im Allgemeinen und unabhängig von der jeweiligen Rollenzuweisung in WISEflow werden folgende Daten protokolliert:

  • im Zusammenhang mit konkreten Flows: Aufruf und Änderungen der Flow-Daten,
  • Beim Zugang auf WISEflow der Login und der Logout,
  • Fehlermeldungen beim Senden von E-Mails an Nutzer*innen.

Spezifisch bei den Aktivitäten von Unterstützer*innen und Administrator*innen werden Daten beim Einrichten, Löschen oder Verändern der Nutzer*innenkonten protokolliert. Sie dienen dazu, alle Veränderungen an prüfungsrelevanten Daten und Dokumenten so nachvollziehbar bereitzustellen, dass ggf. unrechtmäßige Änderungen nachverfolgt werden können. Alle Protokollierungsdateien werden jährlich gelöscht.

c. Gesichtserkennung mittels biometrischer Daten

Die automatisierte Gesichtserkennung wird eingesetzt, um die Studierenden zu identifizieren und Täuschungsversuche bei der Durchführung von Prüfungen außerhalb des Campus zu reduzieren. Um eine hohe Akzeptanz bei Dozierenden und Studierenden zu gewährleisten, müssen technische Maßnahmen implementiert werden, die dies sicherstellen können.

Zur Identifizierung des Prüflings wird bei der ersten Anmeldung an einer Prüfung mit Gesichtserkennung ein Referenzfoto erstellt. Dieses wird auf WISEflow-Servern gespeichert. Mittels Amazon Face Recognition werden daraus biometrische Werte ermittelt. Die Genauigkeit der Werte wird aus Gründen der Datensparsamkeit dabei auf ein mittleres Maß begrenzt. Während der Prüfung werden in unregelmäßigen Abständen Fotos des Prüflings erstellt, mittels algorithmischen Abgleichs mit den Referenzdaten wird ein bestimmter Wert errechnet. Bei einem niedrigen Wert liegt der Anfangsverdacht eines Täuschungsversuchs nahe. Alle Fotos bis auf das Referenzfoto werden spätestens nach 6 Monaten gelöscht. Beabsichtigt ist eine Verkürzung der Löschfrist auf einen Zeitraum direkt nach der Auswertung. Nur die Verdachtsfälle würden dann bis zur Aufklärung länger gespeichert werden. Rechtsgrundlage ist Art. 9 Abs. 2 lit g) DSGVO.

d. Lockdown-Browser

Während der Benutzung des Lockdown-Browsers sind alle Verbindungen ins Internet außer den im Folgenden aufgelisteten blockiert:

  • zu WISEflow,
  • zu Webseiten, die die/der Prüfende innerhalb der Prüfung zulässt,
  • zum Google-Tag-Manager,
  • zu Google-Fonts,
  • und bei bestimmten Prüfungstypen zu Learnosity.

Learnosity ist ein Unterauftragsnehmer von UNIwise und stellt bestimmte Werkzeuge und Inhalte für die Prüfungsautoren zur Verfügung.
Informationen zum Datenschutz finden Sie unter learnosity.com/privacy-policy/

e. Verschlüsselung

Die Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung aller Inhalte eine SSL-Verschlüsselung.

Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt sowie am Schloss-Symbol in Ihrer Browserzeile.

f. Cookies

Cookies sind kleine Textdateien, die vom Webserver erzeugt und an Ihren Internetbrowser geschickt und dort gespeichert bzw. auf Ihrem Browser abgelegt werden. Cookies dienen dazu, die Funktionalität und die Sicherheit der Webseite zu erhöhen. Die Cookie-Verwaltung können Sie selbst in Ihrem Browser konfigurieren.

UNIwise setzt neben den Sitzungscookies (PHPsessID), die nach Beenden der Sitzung gelöscht werden, auch Cookies ein, um sich Nutzervoreinstellungen (wie Spracheinstellungen) zu merken. Einzelheiten dazu finden sich in der Cookie-Richtlinie von UNIwise.

Das Drittanbieter-Cookie von Google Analytics sollten Sie durch die Installation des Google-Plugins zum Opt-Out für Google Analytics unterbinden. Andernfalls werden Daten an Google Analytics und Doubleclick.net übertragen: tools.google.com/dlpage/gaoptout

g. Zendesk

Für den Support von WISEflow setzt UNIwise Zendesk ein. Zendesk ist ein externer Dienst für die Bereitstellung von Support-Informationen wie Anleitungen und Hinweise für den Umgang mit Störungen sowie für die Verwaltung von Benutzerzwischenfällen und den zweiten Level-Support. Es wird, mit direktem Zugang von der WISEflow-Plattform bereitgestellt.

Die Datenschutzerklärung von Zendesk finden Sie unter www.zendesk.com/company/customers-partners/privacy-policy/

h. Urkund (PrioInfo)

Für die Plagiatsprüfung ist die Prüfung mit dem Programm „Urkund“ in WISEflow integriert. Dafür übergibt WISEflow die Prüfungsdokumente, getrennt von den persönlichen Informationen des Prüflings mittels eines separaten elektronischen Deckblattes an Urkund. Der Prüfer erhält über die von Urkund gefundenen Übereinstimmungen einen Eintrag in die Übersicht über die Flow-Daten und kann ggf. detaillierter Einblick in die übereinstimmenden Textstellen nehmen.

Die Datenschutzerklärung von PrioInfo finden Sie unter
www.urkund.com/de/wer-wir-sind/privacy-policy/

i. E-Mail-Versand und Newsletter

Für Benachrichtigungen und die Newsletter-Verwaltung wird seitens UNIwise der Unterauftragsnehmer Sendinblue eingesetzt.

Die Datenschutzerklärung von Sendinblue finden Sie unter:

www.sendinblue.com/g dpr/

j. Einbindung von ext. Inhalten (Learnosity, Youtube- oder Vimeo-Videos, Drop-box)

Innerhalb einer WISEflow-Prüfung können Videos über Youtube, Vimeo und eigens hochgeladene Videos eingebunden werden.

Für die Hochschule Worms wird dringend empfohlen, nur die Möglichkeit der auf den WISEflow-Server hochgeladenen Videos zu nutzen.

  • Youtube/Google: Informationen zum Datenschutz finden Sie unter Google Privacy.
  • Vimeo: Informationen zum Datenschutz finden Sie unter vimeo.com/privacy
  • Learnosity ist ein Unterauftragsnehmer von UNIwise und stellt bestimmte Werkzeuge und Inhalte für die Prüfungsautoren zur Verfügung.
    Informationen zum Datenschutz finden Sie unter
    learnosity.com/privacy-policy/

Der dienstliche Einsatz von Dropbox bleibt untersagt.

5. Rechte der betroffenen Person

Ihre Betroffenenrechte nach Art. 15 – 22, Art. 77 DSGVO:

  • Recht auf Auskunft: Sie haben das jederzeitige Recht zu erfahren, ob die Hochschule Worms Daten von Ihnen verarbeitet und wenn ja, welche.
  • Recht auf Berichtigung: Sie haben das Recht, unrichtige bzw. unvollständige personenbezogene Daten berichtigen bzw. vervollständigen zu lassen.
  • Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt, z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind.
  • Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn einer der in Art. 18 Abs. 1 DSGVO genannten Gründe vorliegt, z. B. wenn Sie die Richtigkeit der Daten während der Dauer der Prüfung bestreiten.
  • Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz über die Datenverarbeitung in Bezug auf Ihre personenbezogenen Daten zu beschweren. Die für die Hochschule zuständige Datenschutz-Aufsichtsbehörde ist:
    Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz LfDI, Postfach 340, 55020 Mainz.

Sie können auch jederzeit den Datenschutz der Hochschule Worms datenschutz@hs-worms.de kontaktieren.