Eine biometrische Überwachung von Studenten bei einer Online-Prüfung durch Universität Erfurt (sog. "Proctoring") ist ohne ausdrückliche Einwilligung datenschutzwidrig (OLG Jena, Urt. v. 13.10.2025 - Az.: 3 U 885/24).
Der aus dem Englischen stammende Begriff “Proctoring” leitet sich vom Wort “proctor” (= Aufseher, Prüfer) rab. Er bezeichnet die technische oder organisatorische Überwachung von Prüfungen, insbesondere von Online-Prüfungen.
Eine Studentin der Universität Erfurt klagte auf Schmerzensgeld, da sie bei Online-Prüfungen während der Corona-Pandemie durch eine Gesichtserkennungssoftware überwacht wurde. Die Software verglich während der Prüfungen regelmäßig ihr Gesicht mit einem zuvor erstellten Referenzbild. Sie fühlte sich dadurch unter Druck gesetzt und hatte Angst, aufgrund normaler Bewegungen des Betrugs verdächtigt zu werden.
Die Universität nutzte für die Fernprüfungen die Software „WISEflow“ mit automatischer Gesichtserkennung und installierte auf den Rechnern der Studierenden auch einen Lock-Down-Browser. Die Klägerin forderte mindestens 1.000,- EUR Schadensersatz wegen Datenschutzverstößen.
Das OLG Jena bejahte eine Datenschutzverletzung und sprach der Klägerin 200,- EUR immateriellen Schadensersatz zu.
In der automatisierten Gesichtserkennung liege eine Verarbeitung biometrischer Daten, die ohne ausdrückliche Einwilligung des Betroffenen rechtswidrig sei.
Die Auswahl einer Prüfungsform reiche nicht als Zustimmung aus. Die Klägerin habe nicht ausdrücklich zugestimmt, dass ihr Gesicht mit Software überwacht werde.
Die psychische Belastung durch die ständige Überwachung während der Prüfungen sei nachvollziehbar und stelle einen immateriellen Schaden dar. Auch wenn die Belastung nicht sehr intensiv gewesen sei, reiche sie aus, um einen Anspruch auf Schmerzensgeld zu begründen.
Ein Schaden allein durch Kontrollverlust über die Daten sei hingegen nicht ersichtlich, da die Klägerin ihr Gesicht schon seit Jahren öffentlich auf sozialen Netzwerken gezeigt habe:
"Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt.
Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrucklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben.
Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht."
Und weiter:
"Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden.
Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen."
Hinsichtlich des Schadensersatz:
"Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. (….)
Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen."