Biometrisches Proctoring bei Online-Prüfungen unzulässig

Biometrisches Proctoring nicht zulässig

Das Thüringer Oberlandesgericht hat in einem aktuellen Urteil die Nutzung biometriebasierter Proctoring-Systeme für Online-Prüfungen für rechtswidrig erklärt (Az. 3 U 885/24). Die Entscheidung betrifft Prüfungsplattformen, die während digitaler Klausuren mittels Gesichtserkennungssoftware Identität und Verhalten der Studierenden überwachen. Nach Auffassung des Gerichts stellt dieser Eingriff eine unzulässige Verarbeitung besonders schützenswerter personenbezogener Daten im Sinne des Art. 9 DS-GVO dar.

Kernaussagen des Gerichts

Die Richter betonen, dass für die Verarbeitung biometrischer Merkmale eine ausdrückliche und vor allem freiwillige Einwilligung erforderlich ist. Im zugrunde liegenden Fall verneinten sie diese Freiwilligkeit: Die Studentin hatte keine echte Wahl, da ihre Teilnahme an einer solchen Prüfung Voraussetzung für den Studienfortschritt war. Eine „Einwilligung unter Druck“ erfülle aber nicht die Anforderungen der DS-GVO.

Zudem beanstandete das Gericht die technische Ausgestaltung der verwendeten Software. Die Lösung übermittelte biometrische und weitere personenbezogene Daten an einen externen Cloud-Anbieter. Diese Auslagerung erhöhe nicht nur die Risiken für Betroffene, sondern verschärfe die ohnehin hohen Anforderungen an Datensicherheit, Zweckbindung und Transparenz. In der Gesamtbetrachtung seien die mit dem Proctoring verbundenen Eingriffe unverhältnismäßig.

Die Klägerin erhielt einen immateriellen Schadensersatz, weil die Überwachungssituation zu erheblichen Belastungen und einem Eingriff in ihre Grundrechte geführt hatte.

Relevanz für Hochschulen und Verantwortliche

Die Entscheidung setzt Maßstäbe für den Umgang mit digitaler Prüfungsaufsicht. Bildungseinrichtungen müssen künftig nachweisen, dass eingesetzte Verfahren ohne biometrische Merkmale auskommen oder auf datenschutzfreundlichere Prüfungsformate umstellen. In Betracht kommen insbesondere offene Prüfungsformen, alternative Identitätsnachweise oder menschliche Videobetreuung ohne automatisierte Auswertung.

Für Verantwortliche ergibt sich daraus eine klare Leitlinie: Systeme zur Online-Prüfungsaufsicht sind strengen Maßstäben zu unterziehen. In der Regel wird der Einsatz biometrischer Funktionen mangels Rechtsgrundlage unzulässig sein. Verantwortliche sollten bestehende Verfahren kurzfristig überprüfen und risikoreiche Lösungen durch datenschutzkonforme Alternativen ersetzen.

(Foto: Thanaporn – stock.adobe.com)

Letztes Update:06.12.25

  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
  • Backup Strategie Ransomware

    Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust

    Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner