Biometrische Kontrollen bei digitalen Prüfungen rechtswidrig
Ein wegweisendes Urteil des Oberlandesgerichts Jena setzt klare Grenzen für den Einsatz biometrischer Technologien im Bildungsbereich. Das Gericht entschied, dass automatisierte Gesichtserkennung bei Online-Prüfungen gegen die Datenschutzgrundverordnung verstößt und sprach einer betroffenen Studentin eine Entschädigung zu.
Der Fall: Proctoring-Software mit KI-gestützter Identitätsprüfung
Im konkreten Fall hatte eine Studentin mehrfach an Online-Prüfungen teilgenommen, bei denen ihre Hochschule eine sogenannte Proctoring-Software einsetzte. Diese Software erstellte entweder vor Prüfungsbeginn ein Referenzbild des Gesichts oder griff auf bereits vorhandene Bilder zurück. Eine künstliche Intelligenz extrahierte daraus biometrische Merkmale und wandelte diese in numerische Codes um.
Während der Prüfungen fertigte das System in unregelmäßigen Abständen weitere Aufnahmen an und verglich diese automatisiert mit den Referenzdaten. Bei Abweichungen oberhalb einer festgelegten Schwelle wurde die Prüfungsaufsicht informiert, damit menschliches Personal den Vorfall überprüfen konnte.
Datenschutzverstoß nach DSGVO
Die Klägerin hielt diese Datenverarbeitung für rechtswidrig und verlangte immateriellen Schadenersatz. Während das Landgericht Erfurt in erster Instanz noch keinen Schaden erkennen konnte, gab das Oberlandesgericht Jena der Studentin in zweiter Instanz recht.
Das Gericht stellte klar: Die automatisierte Gesichtserkennung verarbeitet biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person. Damit unterliegt sie dem grundsätzlichen Verbot des Artikels 9 Absatz 1 der Datenschutzgrundverordnung.
Keine Ausnahmetatbestände anerkannt
Das Oberlandesgericht prüfte sorgfältig mögliche Ausnahmegründe, verneinte diese jedoch allesamt:
- Eine ausdrückliche Einwilligung lag nicht vor, da die Studentin nicht umfassend über Art und Umfang der Datenverarbeitung informiert worden war
- Die bloße Wahl einer Online-Prüfung stellt keine ausdrückliche Einwilligung in die Verarbeitung biometrischer Daten dar
- Die Veröffentlichung von Fotos in sozialen Netzwerken bedeutet kein "offensichtliches öffentlich machen" biometrischer Daten
- Ein erhebliches öffentliches Interesse war nicht ersichtlich, da alternative Prüfungsformate möglich gewesen wären
200 Euro Entschädigung für psychische Beeinträchtigung
Als immateriellen Schaden erkannte das Gericht eine psychische Beeinträchtigung an. Die Klägerin hatte ein diffuses Gefühl des Überwachtwerdens sowie die Sorge empfunden, möglicherweise ungerechtfertigt eines Täuschungsversuchs verdächtigt zu werden.
Das OLG bewertete diese Beeinträchtigung als geringfügig in ihrer Intensität und von kurzer Dauer, sprach aber dennoch eine Entschädigung in Höhe von 200 Euro zu. Einen darüber hinausgehenden Schaden wegen des Kontrollverlusts über biometrische Daten sah das Gericht hingegen nicht.
Bedeutung für Hochschulen und Bildungseinrichtungen
Dieses Urteil hat weitreichende Konsequenzen für Hochschulen und andere Bildungseinrichtungen, die digitale Prüfungsformate anbieten. Es verdeutlicht, dass der Wunsch nach sicheren Identitätskontrollen nicht über die datenschutzrechtlichen Grenzen hinweggehen darf.
Bildungseinrichtungen müssen nun alternative Methoden zur Identitätsverifikation bei Online-Prüfungen entwickeln, die den strengen Anforderungen der DSGVO entsprechen. Das Urteil stärkt die Rechte von Studierenden und setzt einen wichtigen Präzedenzfall für den Umgang mit biometrischen Daten im digitalen Bildungsbereich.
