DA+

Datenschutz in Prüfungsverfahren nach DS-GVO und BDSG

Lesezeit 15 Min.

In Prüfungsverfahren liegt es in der Natur der Sache, dass personenbezogene Daten verarbeitet werden. Prüfungsverfahren dienen der Leistungsbeurteilung von Prüflingen. Eine Leistungsbeurteilung kann dabei nur dann erfolgen, wenn genügend Informationen über den zu beurteilenden Prüfling vorliegen. Durch die Verarbeitung personenbezogener Daten von Prüflingen erhalten Prüfungseinrichtungen viele Informationen über die Prüflinge. Es geht dabei u.a. um Daten über persönliche Verhältnisse, Leistungsvermögen, Gesundheit und Stressresistenz. Der Datenschutz in Prüfungsverfahren ist nicht gänzlich neu. Durch das Inkrafttreten der DS-GVO werden Prüfungsverfahren jedoch in vielen relevanten Bereichen auf völlig neue rechtliche Grundlagen gestellt. Der Aufsatz widmet sich dabei spezifischen Fragestellungen, die sich in Prüfungsverfahren in öffentlich-rechtlichen Prüfungseinrichtungen, wie staatlichen Hochschulen oder Justizprüfungsämtern, ergeben.

I. Personenbezogene Daten in Prüfungsverfahren

Die DS-GVO definiert den Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DS-GVO. Vergleicht man die Datenverarbeitungsvorgänge in Prüfungsverfahren mit dieser Definition, lassen sich eine Vielzahl von personenbezogenen Daten in Prüfungsverfahren identifizieren. Zunächst ist hier an Namen, Alter, Geschlecht und Anschrift der Prüflinge zu denken. Auch die Matrikel- oder Prüfnummern sind personenbezogene Daten. Dabei ist es unerheblich, ob der Prüfer den Prüfling im Zeitpunkt der Korrektur und der Bewertung der Prüfungsarbeit identifizieren kann oder nicht. Auch Lichtbilder der Prüflinge, die für eine Prüfungsakte oder den Studierendenausweis verwendet werden, sind personenbezogene Daten. Wird mit den Prüflingen per E-Mail kommuniziert, kommt der E-Mail-Adresse dann Personenbezug zu, wenn anhand der in der Adresse angegebenen Informationen eine Identifikation der Person möglich ist. Auch die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung sind personenbezogene Daten. Der Inhalt der Antworten spiegelt nämlich den Kenntnisstand und das Kompetenzniveau des Prüflings in einem bestimmten Bereich sowie gegebenenfalls seine Gedankengänge, sein Urteilsvermögen und sein kritisches Denken wider. Im Fall einer handschriftlich verfassten Prüfung enthalten die Antworten zudem Informationen über die Handschrift.

Im Rahmen von Prüfungsverfahren werden nicht nur personenbezogene Daten der Prüflinge verarbeitet. In der Regel sind auch personenbezogene Daten Dritter berührt, die am Prüfungsverfahren beteiligt sind. Insbesondere geben Prüfer in schriftlichen Arbeiten Bewertungen ab und versehen die Arbeiten mit korrekturbezogenen Anmerkungen. So kommt im Inhalt dieser Anmerkungen die Ansicht oder Beurteilung des Prüfers in Bezug auf die individuelle Leistung des Prüflings in der Prüfung und insbesondere in Bezug auf dessen Kenntnisse und Kompetenz in dem betreffenden Bereich zum Ausdruck. Diese Anmerkungen zielen im Übrigen gerade darauf ab, die Beurteilung der Leistung des Prüflings durch den Prüfer zu dokumentieren und können Auswirkungen auf die Rechte und Interessen des Prüflings haben. Dem steht auch nicht entgegen, dass die Anmerkungen des Prüfers zu den vom Prüfling in der Prüfung abgegebenen Antworten Informationen darstellen, die aufgrund des Inhalts, ihres Zwecks und ihrer Auswirkungen mit dem betreffenden Prüfling verknüpft sind, zugleich Informationen über den Prüfer darstellen. Ein und dieselbe Information kann nämlich mehrere natürliche Personen betreffen und folglich für diese Personen personenbezogene Daten darstellen.

II. Keine Privilegierung zu Forschungszwecken

Die Durchführung von Prüfungsverfahren obliegt in vielen Fällen Hochschulen und damit wissenschaftlichen Einrichtungen. Datenverarbeitungen zu wissenschaftlichen Zwecken werden an verschiedenen Stellen der DS-GVO privilegiert. Insbesondere enthält Art. 89 Abs. 2 DS-GVO eine Öffnungsklausel zugunsten der Mitgliedsstaaten, die Rechte der betroffenen Personen bei Verarbeitungen zu wissenschaftlichen Forschungszwecken einzuschränken. Handelt es sich bei den zu wissenschaftlichen Forschungszwecken verarbeiteten Daten um besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO, sieht Art. 9 Abs. 2 lit. j DS-GVO eine Öffnungsklausel zugunsten der Mitgliedsstaaten vor, Ausnahmen vom grundsätzlichen Verarbeitungsverbot des Art. 9 Abs. 1 DS-GVO zu normieren. Voraussetzung für die Privilegierung ist jedoch, dass es sich um Verarbeitungen zu wissenschaftlichen Forschungszwecken handelt. Wird man die wissenschaftliche Forschung und Lehre noch unter die Privilegierungen der DS-GVO fassen können, ist dies für Prüfungsverfahren nicht der Fall. Prüfungsverfahren sind nicht als Teil der Lehre zu qualifizieren. Dies ergibt sich unmittelbar aus dem Zweck der Prüfungsverfahren: Prüfungsverfahren dienen nicht dazu, neues Wissen und neue Erkenntnisse zu gewinnen, sondern erlerntes Wissen abzurufen und anzuwenden. Es findet daher viel mehr eine Leistungsbeurteilung des Prüflings in dieser Hinsicht statt. Diese Leistungsbeurteilung ist nicht unter den Begriffen Forschung und Lehre zu fassen.

III. Bestimmung des Verantwortlichen

Werden personenbezogene Daten in Prüfungsverfahren verarbeitet, ist zu prüfen, wen die gesetzlich normierten Pflichten treffen. Dies ist in erster Linie der Verantwortliche. Der Verantwortliche nach der Definition des Art. 4 Nr. 7 DS-GVO wird zum Adressaten der Pflichten der DS-GVO und so zur Einhaltung der datenschutzrechtlichen Grundsätze verpflichtet. Nach dem Wortlaut des Art. 4 Nr. 7 DS-GVO können natürliche oder juristische Personen, Behörden, eine Einrichtung oder eine andere Stelle Verantwortlicher sein. Der Begriff des Verantwortlichen ist daher ein Oberbegriff für verschiedene in Betracht kommende Normadressaten. Für Prüfungsverfahren im öffentlichen Bereich ist der Begriff der Behörde prägend. Die Behörde ist jedoch weder in Art. 4 Nr. 7 DS-GVO noch an einer anderen Stelle in der DS-GVO näher definiert. Ebenfalls das BDSG oder die Landesdatenschutzgesetze enthalten keine Legaldefinition. Deshalb bedarf es zur näheren Bestimmung des Begriffs eines Rückgriffs auf die Legaldefinition des Verwaltungsverfahrensgesetzes.

Gem. § 1 Abs. 4 VwVfG ist Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Dabei ist ein funktionelles, d.h. aufgabenorientiertes und kein organisatorisches, Verständnis zugrunde zu legen. Ausgehend von der funktionalen Ausrichtung der DS-GVO sind in diesem Zusammenhang keine grundsätzlichen Konflikte des deutschen Rechts mit dem EU-Datenschutzrecht erkennbar. Dieses funktionelle Verständnis ist auch aus datenschutzrechtlichen Erwägungen notwendig. Die Stelle, die personenbezogene Daten verarbeitet, hat den transparentesten Blick auf die Datenverarbeitungsprozesse und entscheidet über Zweck und Mittel der Datenverarbeitung. Sie ist damit in der Lage, die datenschutzrechtlichen Vorgaben zu erfüllen und damit das Ziel, den Einzelnen vor unrechtmäßiger Verarbeitung seiner personenbezogenen Daten zu schützen, zu erreichen. In Abgrenzung zu einem bloßen Behördenteil ist darauf abzustellen, ob eine gewisse organisatorische Selbstständigkeit besteht. Indizien sind hierfür insbesondere die Unabhängigkeit vom Wechsel des Amtsinhabers, die Selbstständigkeit der Aufgabenerledigung sowie die Möglichkeit, die eigenen Angelegenheiten in einem gewissen Umfang selbst zu gestalten. Entscheidend für den Behördenbegriff sind die aufgezeigten Maßstäbe. Es kommt nicht darauf an, ob die Bezeichnung „Behörde“ ausdrücklich geführt wird. Danach sind unselbstständige Arbeitseinheiten einer Behörde im Regelfall keine Behörde.

Nimmt man diese Kriterien als Maßstab, ist zu erkennen, dass beispielsweise Justizprüfungsämter, die für die Abnahme der ersten juristischen Staatsprüfung zuständig sind und Landesjustizprüfungsämter, die für die Abnahme der zweiten juristischen Staatsprüfung zuständig sind, als eigene Behörden zu qualifizieren sind. Die Prüfungsämter bestehen unabhängig eines Wechsels des Amtsinhabers. Sie sind zwar den Oberlandesgerichten bzw. dem Justizministerium angegliedert. Diese organisatorische Verbindung mit einer anderen Behörde schließt aber die Behördeneigenschaft nicht aus. Aufgrund gesetzlicher Bestimmungen treten sie eigenständig auf. Sie sind in ihrer Aufgabenerledigung weitestgehend selbstständig und können ihre Aufgaben im gesetzlich zugewiesenen Rahmen selbst gestalten.

Ob Prüfungsausschüsse an Hochschulen als Behörden zu qualifizieren sind und damit Verantwortliche nach Art. 4 Nr. 7 DS-GVO sind, hängt davon ab, welche Regelungen die jeweiligen Prüfungsordnungen, bezogen auf den Prüfungsausschuss, enthalten und wie die Stellung des Prüfungsausschusses innerhalb der Hochschule ausgestaltet ist. Sind die Regelungen so ausgestaltet, dass der Prüfungsausschuss eine ähnliche Stellung wie die dargestellten Prüfungsämter hat, ist der Prüfungsausschuss als Behörde zu qualifizieren. Er ist dann auch Verantwortlicher nach Art. 4 Nr. 7 DS-GVO, und ihn treffen alle Vorgaben der DS-GVO und der nationalen Regelungen. Er kann dann, bezogen auf das Prüfungsverfahren, nicht mehr als unselbstständiger Teil der Hochschule angesehen werden.

IV. Datenminimierung durch Pseudonymisierung

Datenverarbeitungen in Prüfungsverfahren haben den Grundsätzen des Art. 5 DS-GVO zu entsprechen. Insbesondere müssen personenbezogene Daten nach Art. 5 Abs. 1 lit. c DS-GVO dem Zweck angemessen und sachlich relevant sein. Zudem muss die Datenverarbeitung auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein. Nach der DS-GVO unzulässig ist damit die Verarbeitung personenbezogener Daten, die für den verfolgten Zweck inadäquat, unerheblich oder entbehrlich ist. Wesentliche Ausprägung des Grundsatzes der Datenminimierung ist die Forderung nach Pseudonymisierung und Anonymisierung.

In Prüfungsverfahren kommt der Pseudonymisierung eine besondere Rolle zu. Insbesondere bei der Erstellung von Klausuren ist der Grundsatz der Datenminimierung zu beachten. Mit Hilfe der Pseudonymisierung kann dafür gesorgt werden, dass der Umfang der Verarbeitung personenbezogener Daten wesentlich beschränkt wird. So ist es angezeigt, dass auf Klausuren der (Klar-)Name der Prüflinge nicht auftaucht, sondern etwa durch ein Pseudonym ersetzt wird. Ein denkbares Pseudonymisierungsverfahren für Prüfungsverfahren stellt die Zuteilung von Prüfnummern dar. Dabei erhält jeder Prüfling eine Prüfnummer, die mit seinem Namen und weiteren (prüfungsrelevanten) Daten verknüpft ist. Der für das Prüfungsverfahren Verantwortliche hat alleine Zugriff auf eine Zuordnungsübersicht, die die Verknüpfung der Prüfnummern mit dem jeweiligen Prüfling zulässt. Diese Zuordnungsübersicht muss mit den notwendigen technischen und organisatorischen Maßnahmen vor Zugriffen Unbefugter abgesichert werden.

Hand in Hand mit der datenschutzrechtlich angezeigten Pseudonymisierung geht die Objektivität der Prüfer einher. Diese sind dann nicht in der Lage den Prüfling zu identifizieren und eine objektive Beurteilung der Prüfungsleistung wird gefördert. Prüfungsrechtlich ist die Pseudonymisierung von schriftlichen Prüfungsarbeiten nicht zwingend. Der prüfungsrechtliche „Grundsatz der Anonymität“, gilt, wenn die Prüfungsordnung dies vorsieht oder eine ständige Übung dieser Art besteht. Eine rechtliche Verpflichtung, das Prüfungsverfahren durchgängig pseudonym zu gestalten, existiert derzeit nicht. Ohne explizite Regelung liegt es daher im pflichtgemäßen Ermessen des Verantwortlichen für das Prüfungsverfahren, ein pseudonymisiertes Prüfungsverfahren vorzusehen, so dass jede sachlich vertretbare Lösung statthaft ist.

Die Anwendung der oben dargestellten datenschutzrechtlichen Prinzipien haben jedoch direkte Auswirkungen auf die Gestaltung von Prüfungsverfahren. Räumt das Prüfungsrecht dem Prüfungsamt ein Ermessen ein, darüber zu entscheiden, dass Prüfungsverfahren pseudonym zu gestalten, bestimmt das Datenschutzrecht, den Datenverarbeitungsprozess „Prüfungsverfahren“ insbesondere nach den Grundsätzen des Art. 5 DS-GVO auszugestalten. Vor allem der Grundsatz der Datenminimierung des Art. 5 Abs. 1 lit. c DS-GVO fordert im Ergebnis, dass Daten, die für den verfolgten Zweck unerheblich sind, nicht verarbeitet werden dürfen. Die Bearbeitung und Bewertung einer schriftlichen Arbeit ist auch dann möglich, wenn der Prüfer den Prüfling nicht namentlich kennt. Weiter ist es auch nicht notwendig, dass der Prüfer den Prüfling namentlich zuordnen kann.

Mit der Pseudonymisierung von schriftlichen Prüfungsarbeiten steht den Prüfungseinrichtungen eine alternative Methode zur Verfügung, die es ermöglicht, den angestrebten Zweck auch bei Verarbeitung weniger personenbezogener Daten zu erreichen. Diese datenschutzrechtlichen Vorgaben müssen Einfluss auf das Ermessen der Prüfungsbehörde haben, ob das Prüfungsverfahren pseudonymisiert ausgestaltet wird oder nicht. Ein pseudonymisiertes Prüfungsverfahren fördert auch die Objektivität der Prüfer und sorgt im Ergebnis für die Steigerung der Chancengleichheit zwischen den Prüflingen. Diese Synergie zwischen Prüfungs- und Datenschutzrecht kann auch über mehrere Prüfungszyklen aufrechterhalten bleiben, wenn beispielsweise im Sinne einer Best-Practice-Lösung Prüfnummern von Prüfungszyklus zu Prüfungszyklus geändert werden. Prüfungsverfahren an Hochschulen dürften auch schon dann die von Art. 5 Abs. 1 lit. c DS-GVO gesteckten Maßstäbe erfüllen, wenn als Pseudonym auf den schriftlichen Arbeiten die Matrikelnummer der Prüflinge verwendet wird. So kann auf Seiten der Prüfungsbehörde der Aufwand der Gestaltung eines datenschutzkonformen Prüfungsverfahrens gering gehalten werden, denn die Matrikelnummer bekommt der Prüfling bereits mit Einschreibung in den jeweiligen Studiengang zugeteilt. Die Neuanlegung eines Kennziffernsystems ist damit nicht notwendig, im Sinne der aufgezeigten Best-Practice-Lösung aus datenschutzrechtlicher Sicht aber wünschenswert.

V. Einsicht in Prüfungsarbeiten

Die DS-GVO legt in Kapitel III umfassende Betroffenenrechte fest, die mit entsprechenden Pflichten der Verantwortlichen in Prüfungseinrichtungen korrespondieren. Relevant für Prüfungsverfahren ist insbesondere Art. 15 DS-GVO, wonach der betroffenen Person das Recht zusteht, in angemessenen Zeitabständen insbesondere Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten verarbeitet werden. Bei den Antworten der Prüflinge in schriftlichen Arbeiten handelt es sich um personenbezogene Daten. Diese werden zwar in der Regel nicht automatisiert verarbeitet, die Prüfungsunterlagen werden aber in strukturierten, wenn auch analogen, Akten aufbewahrt. Somit liegt eine Speicherung in einem Dateisystem i. S. d. Art. 2 Abs. 1 DS-GVO vor. Sie sind damit grundsätzlich vom Auskunftsanspruch des Art. 15 DS-GVO erfasst.

In vielen gesetzlichen Regelungen zu Prüfungsverfahren finden sich spezifische Vorgaben zur Einsicht in Prüfungsunterlagen. Diese Regelungen kollidieren mit dem Auskunftsanspruch nach der DS-GVO. Wie dargestellt handelt es sich bei den Antworten der Prüflinge in schriftlichen Arbeiten um personenbezogene Daten. Inhaltlich sehen die einschlägigen prüfungsrechtlichen Regelungen oftmals Verfahren zur Einsicht in die Prüfungsarbeiten vor, die nicht deckungsgleich mit dem Umfang des Auskunftsanspruchs nach Art. 15 DS-GVO sind. Insbesondere wird von den Fristenregelungen des Art. 12 Abs. 3 DS-GVO und von der Verpflichtung zur Herausgabe einer Kopie der Daten abgewichen. Oftmals wird in den Regelungen auch bestimmt, wann und wo die Einsicht in die Prüfungsunterlagen zu erfolgen hat.

Auch unter der Geltung der DS-GVO werden die bereichsspezifischen Regelungen nicht gegenstandslos, denn Art. 23 DS-GVO enthält eine Öffnungsklausel, die den nationalen Gesetzgeber dazu ermächtigt, unter bestimmten Voraussetzungen die Betroffenenrechte der DS-GVO zu beschränken. Grundgedanke des Art. 23 DS-GVO ist es, für bestimmte Fälle Rechte von Betroffenen, die sich aus der DS-GVO ergeben, beschränken zu können oder bestehende Beschränkungen aufrecht zu erhalten. Art. 23 Abs. 1 DS-GVO fordert kein formelles Gesetz. Auch in Verordnungen und Satzungen können Einschränkungen geregelt werden.

Art. 23 Abs. 1 DS-GVO regelt die Tatbestände, die eine Beschränkung von Betroffenenrechten ermöglichen. Für die genannten Regelungen zur Einsicht in Prüfungsunterlagen kommt Art. 23 Abs. 1 lit. e DS-GVO in Betracht. Danach sollen Beschränkungen zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedsstaates, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit zulässig sein. Die konkret benannten Interessen haben dabei lediglich den Charakter von Regelbeispielen. In der Konsequenz können also auch weitere, in Art. 23 Abs. 1 lit. e DS-GVO nicht aufgeführte Interessen benannt werden.

Für Prüfungseinrichtungen ist es elementar, dass die Einsicht in die Prüfungsunterlagen strukturiert erfolgt. Dies wird bereits dadurch deutlich, dass an Prüfungsverfahren oftmals eine Vielzahl von Prüflingen teilnimmt. Die Prüflinge erstellen umfangreiche Lösungen in Form von mehreren beschriebenen Seiten, deren Struktur durch wiederkehrende Auskunftsansprüche nicht verloren gehen darf. Daneben darf das Funktionieren der öffentlichen Prüfungseinrichtungen nicht dadurch erschwert werden, dass unkoordiniert Einsichten in Prüfungsunterlagen zu erfolgen haben. Diese organisatorischen Herausforderungen würden die öffentliche Aufgabe der Prüfungseinrichtungen, insbesondere das Durchführen von Prüfungsverfahren, erheblich gefährden. Es liegt somit auch im berechtigten Interesse der Prüflinge, dass hier Regelungen getroffen werden, die der Erfüllung der Aufgaben der Prüfungseinrichtungen förderlich sind.

Art. 23 Abs. 2 DS-GVO formuliert inhaltliche Mindestanforderungen an gesetzliche Vorschriften im Sinne des Abs. 1, wobei diese, aufgrund des Begriffs „gegebenenfalls“, nur dann zu berücksichtigen sind, wenn es im konkreten Fall einer solchen Angabe bedarf. Um die inhaltlichen Mindestanforderungen des Art. 23 Abs. 2 DS-GVO zu erfüllen, muss die beschränkende Rechtsvorschrift zunächst erkennen lassen, zu welchem Zweck Daten verarbeitet werden. Zusätzlich ergibt sich aus Art. 23 Abs. 2 DS-GVO, dass der Umfang der Beschränkung zu skizzieren ist und kompensatorische Verfahrensgarantien und Schutzvorkehrungen nach Art. 23 Abs. 2 lit. d, f, g und h DS-GVO enthalten sein müssen.

Als Anwendungsfall des Art. 23 DS-GVO kommt § 23 Abs. 2 JAG-NRW in Betracht. Dieser regelt die Einsichtsmöglichkeit des Prüflings in seine Prüfungsarbeiten. Die Norm lässt erkennen, dass die Daten zum Zwecke der Durchführung des Prüfungsverfahrens verarbeitet werden. Dies ergibt sich insbesondere daraus, dass die Einsicht auch die Gutachten der Prüfer umfasst. Ohne diese Begutachtung kann der Zweck der Verarbeitung, die Durchführung des Prüfungsverfahrens mit der Leistungsbeurteilung als elementarem Bestandteil, nicht erfolgen. Mit den Prüfungsunterlagen werden auch die Kategorien der personenbezogenen Daten grundsätzlich in der Norm bezeichnet. Der Umfang der vorgenommenen Beschränkung wird dadurch deutlich, dass die Norm genau bezeichnet, welche Daten eingesehen werden können (§ 23 Abs. 2 S. 1 JAG-NRW), wo die Einsicht zu erfolgen hat (§ 23 Abs. 2 S. 2 JAG-NRW) und welche zeitliche Beschränkung, nämlich binnen eines Monats nach Bekanntgabe der Prüfungsentscheidung, für die Stellung des Antrags auf Einsichtnahme gilt (§ 23 Abs. 2 S. 3 JAG-NRW).

Diese Grundsätze lassen sich auf vergleichbare Regelungen in anderen Prüfungsordnungen übertragen, die die Einsichtnahme in Prüfungsunterlagen regeln. Treffen die maßgeblichen Prüfungsordnungen keine Regelungen zu Akteneinsicht, kann sich der Anspruch auf Akteneinsicht aus § 29 VwVfG bzw. entsprechender Vorschriften der Verwaltungsverfahrensgesetze der Länder ergeben. Nach den oben aufgezeigten Grundsätzen sind auch diese Regelungen als von Art. 23 DS-GVO getragene Abweichungen von Art. 15 DS-GVO zu qualifizieren. Den Prüflingen wird die Akteneinsicht, und damit die Auskunft, nicht per se verwehrt. Es finden lediglich Modifizierungen bezüglich des Verfahrensablaufs zur Einsichtnahme statt.

VI. Fazit

Bei der Durchführung von Prüfungsverfahren werden eine Vielzahl von personenbezogenen Daten der an dem Verfahren Beteiligten verarbeitet. Insbesondere die Antworten der Prüflinge sind personenbezogene Daten. Von den Privilegierungen zu wissenschaftlichen Forschungszwecken ist die Durchführung von Prüfungen, auch an Hochschulen, nicht erfasst. Für die Bestimmung des Verantwortlichen von Prüfungsverfahren im öffentlichen Bereich ist der Begriff der Behörde prägend. Unter Beachtung der jeweiligen Entscheidungsstrukturen in einer Prüfungseinrichtung, ist der für die Datenverarbeitung Verantwortliche im Einzelfall zu identifizieren. Bei der Erstellung von Klausuren ist der Grundsatz der Datenminimierung zu beachten. Dieser hat Auswirkungen auf das Ermessen der Prüfungsbehörde, das Prüfungsverfahren pseudonym auszugestalten. Bestehende Regelungen zur Klausureinsicht gelten auch unter der DS-GVO weiter, sofern sie kompensatorische Maßnahmen vorsehen. Wird die Akteneinsicht nicht per se verwehrt, sondern finden lediglich Modifizierungen des Verfahrensablaufs statt, sind die vom Auskunftsanspruch des Art. 15 DS-GVO abweichenden Regelungen als von Art. 23 DS-GVO getragene Ausnahmen zu qualifizieren.