Datenschutz-Hinweise für fernbeaufsichtigte Prüfungen
unter Verwendung der Software Proctorio® bei der TÜV Thüringen Akademie GmbH (nachfolgend „Veranstalter“)
Der Veranstalter möchte Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Software Proctorio® informieren.
Zweck der Verarbeitung
Der Veranstalter nutzt die Software Proctorio®, um fernbeaufsichtigte Prüfungen durchzuführen (nachfolgend „Fern-Prüfungen“). Proctorio® ist eine Software der Proctorio GmbH, die eine automatisierte online Prüfungsaufsicht mit Identitätsverifizierung bietet, um ortsunabhängige Prüfungen zu ermöglichen.
Verantwortlicher
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von Fern-Prüfungen steht, ist der Veranstalter:
TÜV Thüringen Akademie GmbH
Konrad-Zuse-Straße 21
99099 Erfurt
Deutschland
E-Mail: seminare(at)tuev-thueringen.de, Web: www.die-tuev-akademie.de
Rechtsgrundlage der Datenverarbeitung
Rechtsgrundlage der mit der Nutzung von Proctorio® verbundenen Datenverarbeitung bei der Durchführung von Fern-Prüfungen ist Art. 6 Abs. 1 lit. b) DSGVO, soweit die Prüfungen im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von Fern-Prüfungen.
Funktionsweise (Kurzdarstellung)
Proctorio® basiert auf einer Verarbeitung von Video- und Audiosignalen der jeweils erfassten Personen mithilfe von Kamera und Mikrofon für den Zeitraum der Fern-Prüfung. Des Weiteren kann in dieser Zeit die Überwachung des Browsers bzw. des Internetverkehrs als auch des Endgerätes/Desktops erfolgen und es können Funktionalitäten des Endgeräts gesperrt werden. Zur Teilnahme an der Fern-Prüfung müssen Teilnehmer den Browser Chrome® nutzen und dort die Proctorio®-Erweiterung installieren.
Welche Funktionen bei einer Prüfung zur Anwendung kommen, wird vorab vom Veranstalter festgelegt und die Teilnehmer werden in ihrer Einladung zur Fern-Prüfung über die spezifische Konfiguration informiert.
Aufgrund dieser jeweils erfassten Datenlage werden dem Veranstalter für die Zeit der Speicherung der Daten Indizien benannt, die auf eine Unregelmäßigkeit im Verhalten der zu prüfenden Person hindeuten könnten. Erst aufgrund dieser Indizien erfolgt eine detaillierte Auswertung der einzelnen © TÜV Thüringen Akademie GmbH, Rev. 01/2024 Daten durch den Veranstalter. Eine Bewertung des Verhaltens während der Fern-Prüfung durch Proctorio® oder ein Profiling finden nicht statt.
Einzelheiten der Funktionsweise der Software Proctorio® können dem Internetauftritt des Herstellers auf https://pruefungendaheim.de entnommen werden.
Umfang und Art der verarbeiteten Daten bzw. Datenkategorien
Im Rahmen bzw. während der Prüfung und in Abhängigkeit von der gewählten Konfiguration werden durch Proctorio® folgende produktspezifische Werkzeuge/Tools eingesetzt:
- Erfassung des Oberkörpers inkl. Gesicht durch Kamera/Webcam (Video)
- Erfassung von Tonsignalen durch Mikrofon (Audio)
- durchgängige Vorgabe des FullScreen-Modus inkl. Ausblendung von Steuerelementen
- Aufzeichnung des Bildschirms
- Erfassung der örtlichen Lokalisierung
- Erfassung der Internet-Nutzung
- Erfassung von Hinweisen auf potenzielle Hardware-Probleme, Probleme mit dem Betriebssystem oder mit der Internetverbindung
Ergänzend wird auf die Hinweise unter https://pruefungendaheim.de verwiesen. Eine über den Arbeitsplatz und den Teilnehmer hinausgehende Überwachung des Raumes, in dem die Fern-Prüfung abgelegt wird, findet nicht statt.
Betroffene i.S.d. DSGVO sind alle Teilnehmer, die eine Fern-Prüfung unter den beschriebenen Umständen ablegen.
Während der gesamten Fern-Prüfung werden folgende Daten erhoben bzw. verarbeitet:
Zweck |
Kategorien personenbezogener
Daten |
Anwendungen/ Produkt | Speicherdauer |
Übermittlung und Bearbeitung der Prüfungsaufgabe/ Übermittlung der Prüfungsleistung |
Objektive Prüfungsangaben und individuelle (Teil-) Prüfungsleistungen / individuelle Prüfungsleistung (Lösung) |
Lernmanagement-system ILIAS | Die Dauer der Speicherung der Daten richtet sich nach der Not-wendigkeit der Datenhaltung/ -speicherung, sofern nicht über-geordnete Inter-essen vorliegen und beträgt i.d.R. 3 Jahre. Diese Daten werden –abweichend von den vorstehend beschriebenen Zeiträumen hin-aus – weiterver-arbeitet, sofern © TÜV Thüringen Akademie GmbH, Rev. 01/2024 gesetzliche Auf-bewahrungs-pflichten bestehen oder die Daten als Beweismittel benötigt werden. |
(Fern-) Aufsicht |
Video- (Oberkörper inkl. Gesicht) und Audiosignal (Stimme) der Prüflinge, aufgerufene Internetseiten |
Proctorio® | 30 Tage siehe auch Speicherdauer / Datenlöschung |
Scan des Arbeitsplatzes |
Videoaufnahmen der Schreibtisch- oder Arbeitsplatzoberfläche |
Proctorio® | 30 Tage siehe auch Speicherdauer / Datenlöschung |
Demo-Prüfung |
Wie bei (Fern-) Aufsicht |
Proctorio® | 30 Tage siehe auch Speicherdauer / Datenlöschung. |
Authentifizierung |
Personalausweis, d.h. Name, Vorname und Lichtbild |
Proctorio® |
30 Tage
siehe auch Speicherdauer / Datenlöschung. |
Fehlerbehebung |
Kommunikationsdaten (u.a. Stimme, Chatnachrichten) |
Proctorio® |
siehe Datenschutzerklärung Proctorio® |
Absicherung des Datenverkehrs |
Bestands- und Verkehrsdaten, z.B. die IP-Adresse |
Proctorio® |
30 Tage
siehe auch Pseudonymisierung, Datensicherheit, Datenweitergabe |
Authentifizierung, Identifizierung
Die Authentifizierung und der Login erfolgen nur über das Lernmanagementsystem ILIAS. Eine Weitergabe dieser Login-Daten an Proctorio® erfolgt nicht. Die Identifizierung der Teilnehmer erfolgt unter Verwendung des Personalausweises (Vorderseite) oder des Reisepasses (Lichtbildseite).
Pseudonymisierung, Datensicherheit, Datenweitergabe
In Bezug auf die Teilnehmer pseudonymisiert Proctorio® die personenbezogenen Daten nach dem Erhalt mit Hilfe einer Benutzeridentifikationsnummer aus ILIAS. Diese ID ist eine interne ILIAS-System-ID und weder den Teilnehmern noch dem Veranstalter zugänglich. Alle darauffolgenden Datenverarbeitungsprozesse bei Proctorio® beinhalten ausschließlich diese Benutzer-ID und sind daher von Proctorio® nicht zuordenbar. Darüber hinaus werden die erhobenen Daten verschlüsselt © TÜV Thüringen Akademie GmbH, Rev. 01/2024 bei Proctorio® gespeichert. Im ILIAS-Prüfungsraum werden beim Abruf der Proctorio®-Aufzeichnungen die von Proctorio® genutzten IDs mit den Teilnehmer-Identitäten verknüpft, daher können berechtigte Mitarbeiter des Veranstalters die Proctorio®-Aufzeichnungen prüfungsspezifisch einsehen. Es ist Proctorio® untersagt, die verschlüsselten Daten zu entschlüsseln und einzusehen. Die von Proctorio® direkt verarbeiteten Daten werden auf Cloud-Servern in Deutschland gespeichert. Die von Proctorio® an den Veranstalter weitergegebenen Daten werden von diesem in einem Rechenzentrum mit Servern in Deutschland gespeichert.
Speicherdauer / Datenlöschung
Nach dem Grundsatz der Datensparsamkeit dürfen personenbezogene Daten, die in Fern-Prüfungen verarbeitet werden, nicht länger gespeichert werden, als dies zur ordnungsgemäßen Durchführung der Fern-Prüfung einschließlich Bewertung zwingend erforderlich ist. Die Proctorio®-Aufzeichnungen werden daher vom Veranstalter umgehend nach Abschluss der Bewertung gelöscht. Sofern die Daten nach der Prüfung nicht manuell gelöscht werden, löscht Proctorio® die Prüfungsaufzeichnung automatisiert nach dem Ablauf von 30 Tagen.
Das erzeugte Prüfungsprotokoll im pdf-Format wird durch den Veranstalter in einem Rechenzentrum mit Servern in Deutschland gespeichert. Diese personenbezogenen Daten werden grundsätzlich dann gelöscht, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Betroffenenrechte
Hinsichtlich der Sie betreffenden personenbezogenen Daten haben Sie folgende Rechte:
- Recht auf Widerruf der Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Recht auf Bestätigung, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (Art. 15 DSGVO)
- Recht auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Art. 16 DSGVO)
- Recht auf unverzügliche Löschung der Sie betreffenden Daten (Art. 17 DSGVO), auch erfüllbar durch Anonymisierung
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 UA 1 lit. a oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag gemäß Art. 6 Abs. 1 UA 1 lit. b) beruht und keine Ausnahme vorliegt (Art. 20 DSGVO)
- Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Datenschutzbeauftragter
Der Veranstalter hat einen Datenschutzbeauftragten benannt. Sie erreichen diesen wie folgt:
TÜV Thüringen Akademie GmbH
Konrad-Zuse-Straße 21
99099 Erfurt
Deutschland
E-Mail: seminare(at)tuev-thueringen.de , Web: www.die-tuev-akademie.de
Datenverarbeitung außerhalb der Europäischen Union
Im Allgemeinen erfolgt kein internationaler Datentransfer. Jedoch können System-Updates oder Support-Anfragen einen internationalen Datentransfer erforderlich machen.
Anwendung |
Internationaler Datentransfer |
Garantie und zusätzliche Maßnahmen |
PROCTOR.IO INC. Scottsdale, U.S.A. |
möglich |
Standardvertragsklauseln im Auftragsverarbeitungsvertrag |
PROCTORIO D.O.O. Belgrad, SERBIEN |
möglich |
Standardvertragsklauseln im Auftragsverarbeitungsvertrag |
Unterauftragsverarbeiter von Proctorio® |
möglich |
Standardvertragsklauseln im Auftragsverarbeitungsvertrag |
Wir haben mit dem Anbieter der Software Proctorio® einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht. Ein angemessenes Datenschutzniveau durch den Abschluss der sog. EU-Standardvertragsklauseln garantiert.
Auftragsverarbeiter
Auftragsverarbeiter i.S.d. Art. 28 DSGVO der durch die Nutzung von Proctorio® verarbeiteten Daten ist die Proctorio GmbH, vertreten durch deren Geschäftsführer*in, Bahnhofstraße 18, 85774 Unterföhring
Hinweis: Eine Auftragsverarbeitung findet jedoch nicht statt, wenn Sie die Internetseite von Proctorio® bzw. von diesem erstellte und/oder verwaltete Internetseiten direkt aufrufen. In diesem Fall ist Proctorio® selbst Verantwortlicher i.S.d. DSGVO.
Änderung dieser Datenschutz-Hinweise
Wir überarbeiten diese Datenschutz-Hinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf unserer Internetseite
© TÜV Thüringen Akademie GmbH, Rev. 01/2024