Über den Einsatz von Überwachungstools im Rahmen von Online-Prüfungen an Universitäten hatten wir vor allem während der Corona-Pandemie (hier) und auch im europäischen Ländervergleich berichtet (hier).
Das Thüringer Oberlandesgericht (OLG) hat nun in seinem Urteil vom 13.10.2025 (Az.: 3 U 885/24) entschieden, dass die Verarbeitung biometrischer Daten im Rahmen von Online-Prüfungen ohne ausdrückliche Einwilligung der betroffenen Person rechtswidrig ist und einen Anspruch auf immateriellen Schadensersatz begründen kann. Hintergrund war die Nutzung einer Gesichtserkennungssoftware durch die Universität Erfurt während der Corona-Pandemie, um Täuschungsversuche bei Fernprüfungen zu verhindern.
Sachverhalt
Die Universität Erfurt, an welcher die Klägerin zwischen 2020 und 2022 studiert hatte, erließ aufgrund der gesetzlichen Kontaktbeschränkungen nach Ausbruch der Covid-19-Pandemie eine „Corona‑Satzung“, die auch elektronische Fernprüfungen zuließ. Die entsprechenden Anträge sahen für die Studierenden unterschiedliche Optionen, etwa die Nutzung von Uni‑Geräten, die Teilnahme an der Prüfung in Uni‑Räumen bei fehlender Internetverbindung oder aber auch den pandemiebedingten Rücktritt von der Prüfung vor. Die Klägerin entschied sich für die Prüfung mittels eigener technischer Ausstattung außerhalb des Campus.
Für die Fernprüfungen nutzte die Universität die Prüfungssoftware WISEflow. Diese griff zur Betrugsprävention auf eine automatische Gesichtserkennung und die Nutzung eines zuvor erstellten biometrischen Referenzbildes zurück, wobei letzteres während der Prüfungen in unregelmäßigen Abständen mit den von der Webcam aufgenommenen Bildern der betroffenen Person verglichen wurde. Sofern der damit ermittelte Übereinstimmungswert die festgelegte Marke von 99% unterschritt, gab das System eine Meldung aus. Die aufsichtsführende Person sollte dadurch veranlasst werden, der verdächtigen Person Gelegenheit zur Stellungnahme bzgl. der erfassten Abweichung zu ermöglichen und ggf. ein Verfahren wegen eines möglichen Betrugs einleiten. Zusätzlich waren Prüfungsteilnehmende verpflichtet, ergänzend zur Gesichtserkennung einen Lock‑Down‑Browser zu installieren. Dieser sperrte verschiedene Funktionen des eigenen Endgeräts, um Prüfungsbetrug zu verhindern – insbesondere durch den Zugriff auf nicht erlaubte Websites sowie Funktionen wie Drucken, Kopieren und Einfügen.
Die Klägerin trägt u. a. vor, dass sie die Prüfungsüberwachung mittels Gesichtserkennung erheblich gestresst hätte, da sie während der Prüfung befürchtete, durch alltägliche Bewegungen in Betrugsverdacht zu geraten. Sie hätte zudem keine wirksame Einwilligung in die Verarbeitung ihrer Daten abgegeben und habe Sorge, dass der Einsatz des Lock‑Down‑Browsers einen Zugriff auf die auf ihrem Gerät gespeicherten Daten ermöglicht haben könnte.
Wegen der behaupteten datenschutzrechtlichen Verstöße forderte die Klägerin ein Schmerzensgeld von mindestens 1.000 €.
Urteil des OLG
Das Gericht stellte klar, dass die Verarbeitung biometrischer Daten gem. Art. 9 Abs. 1 DSGVO grundsätzlich verboten sei, sofern keine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greife. Weder eine ausdrückliche Einwilligung noch eine Rechtfertigung durch ein überwiegendes öffentliches Interesse würden hier vorliegen. Zur Einwilligung führt das OLG, auch unter Verweis auf eine fehlende Belehrung, aus:
„Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten.“ (Hervorhebungen durch die Autorin)
Auch das Vorliegen einer Rechtsgrundlage nach Art. 9 Abs. 2 lit. g DSGVO verneint das OLG:
„Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.“
Das Gericht erkannte die von der Klägerin dargelegten psychischen Belastung als immateriellen Schaden an, bewertete diesen jedoch als geringfügig und sprach einen Schadensersatz von lediglich 200 Euro zu. Ein weitergehender Anspruch wegen eines Kontrollverlusts über die biometrischen Daten wurde verneint:
„Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Kläger[i]n biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß.“ (Hervorhebungen durch die Autorin)
Der Schadensersatzanspruch wegen der Verwendung des Lock-Down-Browsers wurde mangels eines Datenschutzverstoßes und eines erlittenen Schadens abgelehnt.
Fazit
Hochschulen und andere Verantwortliche sollten bei der Verarbeitung biometrischer Daten die hohen Anforderungen an die Rechtmäßigkeit sorgfältig prüfen und etwaige Einwilligungsprozesse und -formulare durch den/die Datenschutzbeauftragte, insbesondere auf die Abfrage einer ausdrücklichen und nachweisbaren Einwilligung hin, prüfen lassen.