Gesichtserkennung bei Online-Prüfungen? Gericht spricht Frau Entschädigung zu

Sitzt da wirklich der Prüfling am Rechner oder jemand anderes? Natürlich hat eine Hochschule Interesse daran, die Identität der Teilnehmenden an einer Online-Prüfung zu verifizieren.

Allerdings ist dies nicht durch den automatisierten Abgleich vorliegender Fotos mit Webcam-Bildern erlaubt, die während der Prüfung aufgenommen werden. Denn das stellt eine Verarbeitung biometrischer Daten dar, die laut Datenschutzgrundverordnung (DSGVO) grundsätzlich verboten ist. Das geht aus einer Entscheidung des Oberlandesgerichts Jena hervor, auf die die Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (DAV) hinweist. (Az.: 3 U 885/24)

Digitale Aufsicht mit Biometrie-Check: Ist das in Ordnung?

In dem Fall hatte eine Studentin an einer Hochschule mehrfach an Online-Prüfungen teilgenommen, die unter digitaler Aufsicht (Proctoring) standen. Die Prüfungen fanden auf ihrem eigenen Rechner mit Webcam und Mikrofon statt. Zur Identitätskontrolle setzte die Hochschule eine Proctoring-Software ein.

Vor Prüfungsbeginn wurde entweder ein Referenzbild des Gesichts erstellt oder auf bereits vorhandene Bilder zurückgegriffen. Eine KI-gestützte Software extrahierte daraus biometrische Merkmale und wandelte diese in einen numerischen Code um.

Während der Prüfung fertigte das System in zufälligen Abständen weitere Aufnahmen an und glich diese automatisiert mit den Referenzdaten ab. Wurden Unterschiede oberhalb einer festgelegten Schwelle festgestellt, wurde die Prüfungsaufsicht informiert, damit ein Mensch den Sachverhalt überprüfen konnte.

Datenschutzverstoß und Schadenersatz

Die Klägerin hielt diese Datenverarbeitung für rechtswidrig und verlangte immateriellen Schadenersatz. In erster Instanz hatte das Landgericht Erfurt die Klage noch abgewiesen, da es keinen Schaden erkennen konnte. Doch in zweiter Instanz bekam die Studentin Recht: Das Oberlandesgericht Jena bejahte sowohl einen Datenschutzverstoß als auch einen ersatzfähigen immateriellen Schaden.

Denn die automatisierte Gesichtserkennung verarbeitet biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und unterliegt damit dem Verbot des Artikels 9 Absatz 1 der DSGVO.

OLG erkennt auch keine Ausnahmetatbestände

Das Oberlandesgericht (OLG) sah auch keine möglichen Ausnahmetatbestände:

• Eine ausdrückliche Einwilligung habe nicht vorgelegen, da die Studentin nicht ausreichend über Art und Umfang der Datenverarbeitung informiert worden sei; allein die Wahl einer Online-Prüfung sei keine ausdrückliche Einwilligung in die Verarbeitung biometrischer Daten.
• Auch die Veröffentlichung von Fotos in sozialen Netzwerken stelle kein „offensichtliches öffentlich machen“ biometrischer Daten dar.
• Und ein erhebliches öffentliches Interesse sei ebenfalls nicht ersichtlich, da alternative Prüfungsformate möglich gewesen wären.

200 Euro Entschädigung für psychische Beeinträchtigung

Als immateriellen Schaden erkannte das OLG eine psychische Beeinträchtigung an. Die Klägerin habe ein diffuses Gefühl des Überwachtwerdens sowie die Sorge empfunden, vielleicht ungerechtfertigt eines Täuschungsversuchs verdächtigt zu werden.

Dies rechtfertige eine Entschädigung in Höhe von 200 Euro, die das Gericht aufgrund der nur geringfügigen Intensität und der kurzen Dauer der Beeinträchtigung als angemessen ansah. Einen darüber hinausgehenden Schaden wegen des Kontrollverlusts über biometrische Daten sah das OLG jedoch nicht.