GPDP verhängt 200.000 Euro Bußgeld gegen Università Commerciale “Luigi Bocconi” di Milano

Italien: Die italienische Datenschutzbehörde nahm Ermittlungen gegen die private Wirtschaftsuniversität auf, nachdem ein Student aufgrund eines bei Online-Prüfungen verwendeten Überwachungssystems Beschwerde bei der Behörde eingelegt hatte. Die “Luigi Bocconi” hatte vor dem Hintergrund der COVID-19-Pandämie eine alternative Möglichkeit zur Durchführung von Universitätsprüfungen im Fernstudium konzipiert, welche die gleichen Bedingungen wie bei Präsenzprüfungen sicherstellen sollte. Für die Umsetzung dessen verwendete die Universität die Fernüberwachungssoftware Respondus des Unternehmens Respondus Inc. Dieses hat seinen Sitz in den USA und war für die Universität als Auftragsverarbeiter tätig.
Die Respondus-Software machte in zufälligen Intervallen Videoaufnahmen und Screenshots von den Bildschirmen der Studenten, um so Momente zu identifizieren und entsprechend zu kennzeichnen, in denen ungewöhnliche bzw. verdächtige Verhaltensweisen auftraten (z.B. wenn kein Gesicht zu erkennen ist oder versucht wird, die Anwendung zu verlassen). Am Ende der Prüfung wurden die Videos mit entsprechenden Warnsignalen für mögliches Fehlverhalten versehen, sodass anschließend überprüft werden konnte, ob tatsächlich nicht erlaubte Handlungen begangen wurden. Mit biometrischen Daten verarbeitete Respondus hierbei eine besondere Kategorie personenbezogener Daten der Betroffenen.
Wie die Behörde im Rahmen ihrer Untersuchung feststellte, waren Studenten, die an Online-Klausuren teilnahmen, im Vorfeld nicht ordnungsgemäß über die mit dem Einsatz von Respondus einhergehende Verarbeitung ihrer personenbezogenen Daten informiert worden. So wurden die Betroffenen bspw. nicht darüber aufgeklärt, dass von ihnen Aufzeichnungen erstellt werden würden, die anschließend zwecks manueller Überprüfung aufbereitet werden würden, und dass sie zu Beginn der Prüfung aufgefordert werden würden, einen Ausweis vorzulegen und eine Panoramaaufnahme ihrer Umgebung anzufertigen. Auch dass ihre Daten in die USA übermittelt werden würden, wurde ihnen nicht mitgeteilt. Neben einer Verletzung der Informationspflicht des Unternehmens wertete die Behörde das als einen Verstoß gegen den Grundsatz der Rechtmäßigkeit und Transparenz der Verarbeitung.
Auch erfasste Respondus verschiedene Informationen, die nicht zur Erfüllung des zuvor genannten Verarbeitungszwecks erforderlich waren, und speicherte diese mit 12 Monaten länger als nötig. Dies wertete die Behörde als einen Verstoß gegen die Grundsätze der Datenminimierung sowie der Speicherbegrenzung aufseiten der Università Commerciale “Luigi Bocconi” di Milano. Des Weiteren entbehrte nach Auffassung der Datenschutzbehörde die Verarbeitung biometrischer Daten im vorliegenden Fall einer Rechtsgrundlage. Denn die Universität hatte die Einwilligung darin zu einer Voraussetzung gemacht, um an den Prüfungen teilnehmen zu können. Dadurch erfolgte die Einwilligung der Studenten nicht freiwillig und war folglich ungültig. Hierbei betonte die Behörde, dass den Studenten als Alternative nur die Teilnahme an Präsenz-Prüfungen offenstand, diese aber aufgrund der Pandemie mit einem erhöhten gesundheitlichen Risiko für sie verbunden war. Ebenso müssten die Studenten befürchten, durch ihre Weigerung, an Online-Klausuren teilzunehmen, negative Reaktionen der Lehrkräfte auf sich zu ziehen.
Ferner hatte die Hochschule im Vorfeld keine Datenschutz-Folgenabschätzung bzgl. des Einsatzes von Respondus durchgeführt, obwohl dies aufgrund des Risikos für die Betroffenen erforderlich gewesen wäre, und die Verarbeitung nicht angemessen durch Technikgestaltung und datenschutzfreundliche Voreinstellungen geschützt. Ebenso war die Übermittlung der Daten in die USA, d.h. in ein unsicheres Drittland, nicht ordnungsgemäß vertraglich mit Respondus Inc. geregelt worden. So stützte sich der Verarbeitungsvertrag weiterhin auf das Privacy Shield Abkommen zwischen der EU und den USA, obwohl dieses mit dem Schrems-II-Urteil des EuGHs für unwirksam erklärt wurde. .

Veröffentlicht am: 30-09-2021

Quelle von dsgvo-portal.de

Globeria Mannschaft

Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.

Globeria Consulting GmbH zeichnet sich als einer der führenden DSGVO-Dienstleister in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unsere Dienstleistungen decken das gesamte Spektrum der DSGVO-Compliance ab und stellen sicher, dass Ihr Unternehmen alle rechtlichen Anforderungen effizient erfüllt. Vertrauen Sie auf unsere Expertise für ein beispielloses Datenschutz- und Privacy-Management.

Wir bedienen Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und ganz Deutschland.
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2024 Globeria Consulting GmbH. Alle Rechte vorbehalten.