Biometrische Überwachung bei Online-Prüfungen rechtswidrig

Online-Prüfungen haben spätestens seit der Corona-Pandemie einen festen Platz im Hochschulalltag eingenommen. Um Täuschungsversuche zu verhindern, setzen viele Universitäten auf technische Überwachungsmaßnahmen. Besonders umstritten ist dabei der Einsatz sogenannter Proctoring-Software, die Studierende während der Prüfung per Kamera beobachtet und teilweise automatisiert auswertet.

Eine aktuelle Entscheidung des OLG Jena (Az.: 3 U 885/24) zeigt deutlich, dass solche Maßnahmen erhebliche datenschutzrechtliche Risiken bergen. Die Richter stuften den konkreten Einsatz automatisierter Gesichtserkennung im Rahmen der damaligen Fernprüfungen der Universität Erfurt als rechtswidrig ein und sprachen einer Studentin einen DSGVO-Schadensersatz in Höhe von 200 EUR zu. Zugleich wurde betont, dass damit keine pauschale Aussage getroffen ist, wonach biometrische Verfahren bei Online-Prüfungen stets generell unzulässig wären.

Was bedeutet „Proctoring“ bei Online-Prüfungen?

Der Begriff „Proctoring“ stammt aus dem Englischen und bezeichnet die Überwachung von Prüfungen durch einen Aufseher. Im digitalen Kontext umfasst Proctoring verschiedene technische und organisatorische Maßnahmen, die sicherstellen sollen, dass Prüfungen ordnungsgemäß abgelegt werden.

Typische Elemente solcher Systeme sind:

• Videoüberwachung über die Webcam
• Tonaufzeichnungen über das Mikrofon
• Bildschirmüberwachung
• Einsatz von Lock-Down-Browsern
• Automatisierte Gesichtserkennung und Verhaltensanalyse

Gerade die automatisierte Gesichtserkennung ist datenschutzrechtlich besonders sensibel, da hierbei biometrische Daten verarbeitet werden.

Der konkrete Fall vor dem OLG Jena

Im zugrunde liegenden Verfahren klagte eine Studentin der Universität Erfurt. Während der Corona-Pandemie nahm sie an mehreren Online-Prüfungen teil, bei denen eine Proctoring-Software eingesetzt wurde.

Die Universität verwendete dabei die Prüfungssoftware „WISEflow“ in Verbindung mit:

• automatisierter Gesichtserkennung
• regelmäßigem Abgleich mit einem zuvor erstellten Referenzbild
• einem Lock-Down-Browser zur Kontrolle des Prüfungsumfelds

Die Studentin fühlte sich durch die permanente Überwachung erheblich unter Druck gesetzt. Sie hatte Sorge, bereits durch normale Bewegungen oder Blickabweichungen als Betrügerin eingestuft zu werden.

Klage auf DSGVO-Schadensersatz

Die Klägerin machte geltend, dass die Überwachung ohne wirksame datenschutzrechtliche Grundlage erfolgt sei. Insbesondere habe sie keine ausdrückliche Einwilligung in die Verarbeitung ihrer biometrischen Daten erteilt.

Sie verlangte:

• die Feststellung einer Datenschutzverletzung
• die Zahlung eines immateriellen Schadensersatzes (Art. 82 DSGVO)
• mindestens 1.000 EUR immateriellen Schmerzensgeld

Das OLG Jena folgte der rechtlichen Argumentation im Grundsatz, reduzierte jedoch die Höhe des Schadensersatzes.

Entscheidung des OLG Jena zur Datenschutzwidrigkeit

Verarbeitung biometrischer Daten

Das OLG Jena stellte klar, dass es sich bei der automatisierten Gesichtserkennung um eine Verarbeitung biometrischer Daten handelt. Diese Daten gehören zu den besonders sensiblen Kategorien personenbezogener Daten.

Biometrische Daten liegen insbesondere dann vor, wenn:

• körperliche Merkmale technisch verarbeitet werden
• eine eindeutige Identifizierung möglich ist
• automatisierte Auswertungen erfolgen

Genau dies sei bei der eingesetzten Gesichtserkennungssoftware der Fall gewesen.

Keine wirksame Einwilligung der Studentin

Zentral für die Entscheidung war die Frage der Einwilligung. Das Gericht stellte unmissverständlich fest:

• Die bloße Teilnahme an der Online-Prüfung stellt keine ausdrückliche Einwilligung dar
• Auch die Wahl einer bestimmten Prüfungsform ersetzt keine Einwilligung
• Eine konkludente Zustimmung reicht bei biometrischen Daten nicht aus

Erforderlich wäre vielmehr gewesen:

• eine klare und verständliche Belehrung über die biometrische Datenverarbeitung
• eine konkrete, auf die Gesichtserkennung bezogene Einwilligung
• eine freiwillige Entscheidung ohne faktischen Zwang

All dies fehlte nach Auffassung des Gerichts.

Keine Rechtfertigung durch öffentliches Interesse

Die Universität berief sich unter anderem auf ein öffentliches Interesse an der Durchführung von Prüfungen während der Pandemie. Auch dieses Argument ließ das OLG Jena nicht gelten.

Zwar erkannte das Gericht an, dass:

• die Aufrechterhaltung des Hochschulbetriebs ein legitimes Ziel war
• Fernprüfungen grundsätzlich zulässig sein können

Jedoch betonte es, dass dieses Interesse nicht zwingend den Einsatz biometrischer Überwachung erforderte. Es hätten mildere Mittel zur Verfügung gestanden, die weniger stark in das informationelle Selbstbestimmungsrecht eingreifen.

Immaterieller Schaden durch psychische Belastung

Anerkennung eines immateriellen Schadens

Das OLG Jena bejahte einen immateriellen Schaden im Sinne der DSGVO. Maßgeblich war die psychische Belastung der Studentin durch die ständige Überwachung während der Prüfungen.

Das Gericht stellte fest:

• Die Überwachungssituation war geeignet, Stress und Druck zu erzeugen
• Die Angst vor Fehlinterpretationen des eigenen Verhaltens war nachvollziehbar
• Auch eine eher geringfügige Beeinträchtigung kann ausreichend sein

Damit bestätigte das OLG, dass für einen DSGVO-Schadensersatz keine gravierenden psychischen Erkrankungen erforderlich sind.

Kein Schadensersatz wegen Kontrollverlusts

Anders bewertete das Gericht den behaupteten Kontrollverlust über die eigenen Daten. Insoweit verneinte das OLG Jena einen eigenständigen Schaden.

Zur Begründung führte es aus:

• Die Klägerin hatte seit Jahren Fotos ihres Gesichts in sozialen Netzwerken veröffentlicht
• Dadurch hatte sie bereits zuvor die Grundlage geschaffen, dass aus diesen Bildern biometrische Informationen abgeleitet werden können
• Ein darüber hinausgehender, zusätzlicher Kontrollverlust durch die konkrete Prüfungsüberwachung sei daher nicht hinreichend erkennbar

Dieser Aspekt spielte bei der Bemessung der Schadenshöhe eine entscheidende Rolle.

Warum das OLG Jena nur 200 EUR zusprach

Bei der Höhe des Schadensersatzes nahm das Gericht eine differenzierte Bewertung vor.

Berücksichtigt wurden insbesondere:

• die Dauer und Intensität der Überwachung
• die psychische Belastung der Klägerin
• der Umstand, dass keine schwerwiegenden Folgen eingetreten waren

Das OLG Jena stufte die Beeinträchtigung als eher geringfügig ein, sah sie jedoch als ausreichend an, um einen Anspruch auf Schmerzensgeld zu begründen. Der zugesprochene Betrag von 200 EUR soll einen angemessenen Ausgleich darstellen, ohne eine übermäßige Sanktion zu sein.

Bedeutung der Entscheidung für Studierende und Hochschulen

Klare Grenzen für Online-Proctoring

Die Entscheidung macht deutlich, dass der Einsatz von Proctoring-Systemen rechtlich hochproblematisch ist, sobald biometrische Daten verarbeitet werden.

Für Hochschulen bedeutet dies:

• Gesichtserkennung ist ohne ausdrückliche Einwilligung unzulässig
• Informationspflichten müssen besonders ernst genommen werden
• Mildere Prüfungsformen sind vorrangig zu prüfen

Stärkung der Rechte von Studierenden

Für Studierende ist das Urteil ein wichtiges Signal. Es zeigt, dass:

• auch im Hochschulkontext die DSGVO uneingeschränkt gilt
• psychische Belastungen ernst genommen werden
• Schadensersatzansprüche realistisch durchsetzbar sind

Gerade in Prüfungs­situationen besteht ein erhebliches Machtgefälle, das datenschutzrechtlich nicht ignoriert werden darf.

Fazit: Proctoring mit Gesichtserkennung bleibt rechtlich riskant

Das Urteil des OLG Jena verdeutlicht, dass technische Kontrollmaßnahmen im Bildungsbereich klare rechtliche Grenzen haben. Die automatisierte Gesichtserkennung greift tief in das informationelle Selbstbestimmungsrecht ein und ist ohne ausdrückliche Einwilligung der Betroffenen nicht zulässig.

Auch wenn der zugesprochene Schadensersatz vergleichsweise moderat ausfällt, ist die Signalwirkung erheblich. Hochschulen müssen ihre Prüfungsformate kritisch überprüfen. Studierende sollten ihre Rechte kennen und datenschutzwidrige Überwachungsmaßnahmen nicht hinnehmen.