Deutsche und italienische Behörden setzen klare Grenzen für den Einsatz von Gesichtserkennung im digitalen Hörsaal. Zwei wegweisende Entscheidungen schreiben vor: Der Schutz biometrischer Daten von Studierenden hat Vorrang vor vermeintlichem Komfort.

Das Oberlandesgericht (OLG) Jena hat die automatisierte Gesichtserkennung in Online-Klausuren für rechtswidrig erklärt. Parallel verhängte Italiens Datenschutzbehörde ein Bußgeld gegen die eCampus Universität. Die Botschaft an Hochschulen und Softwareanbieter ist eindeutig: Die Datenschutz-Grundverordnung (DSGVO) gilt auch im digitalen Prüfungsraum – und zwar streng.

Anzeige

Lücken in der DSGVO-Dokumentation können Unternehmen teuer zu stehen kommen, wie aktuelle Bußgelder gegen Bildungseinrichtungen eindrucksvoll belegen. Eine rechtssichere Erfassung aller Datenverarbeitungen ist daher unerlässlich, um hohe Strafzahlungen von bis zu 2 % des Jahresumsatzes zu vermeiden. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

OLG Jena: 200 Euro Entschädigung für überwachte Studentin

Im Kern des Falls stand eine Studentin der Universität Erfurt. Während der Pandemie musste sie an Online-Prüfungen teilnehmen, bei denen eine KI-gestützte Proctoring-Software zum Einsatz kam. Diese analysierte permanent ihr Gesicht, vergleich es mit einem Referenzbild und meldete Abweichungen an die Aufsicht.

Das Gericht sah darin einen klaren Verstoß. Die automatisierte Gesichtserkennung verarbeite besonders sensible biometrische Daten, die unter Artikel 9 der DSGVO fallen. Eine Verarbeitung sei nur in engen Ausnahmefällen erlaubt. Ein „überwiegendes öffentliches Interesse“ an dieser Überwachungsmethode verneinte das OLG – schließlich gebe es weniger invasive Alternativen zur Betrugsprävention.

Besonders bemerkenswert: Das Gericht erkannte die psychische Belastung durch die Dauerüberwachung als immateriellen Schaden an, ohne dass eine schwere Erkrankung nachgewiesen werden musste. Die Klägerin erhielt 200 Euro Entschädigung.

Italien verhängt 50.000 Euro Bußgeld gegen Universität

Knapp eine Woche später folgte der nächste Paukenschlag aus Rom. Die italienische Aufsichtsbehörde Garante belegte die private eCampus Universität mit einem Bußgeld von 50.000 Euro. Der Vorwurf: rechtswidrige Verarbeitung biometrischer Daten in Online-Kursen.

Den Ermittlern zufolge fehlte es der Universität schlicht an einer rechtlichen Grundlage für den Biometrie-Einsatz. Zudem wurde das Prinzip der Datenminimierung verletzt – es wurden also mehr Daten erhoben als nötig. Die Botschaft ist eine europaweite Warnung an alle Bildungseinrichtungen.

Anzeige

Der Einsatz von KI-Systemen zur Überwachung unterliegt seit August 2024 den strengen Anforderungen der neuen EU-KI-Verordnung. Erfahren Sie in diesem kompakten Leitfaden, welche Pflichten und Risikoklassen Unternehmen jetzt unbedingt beachten müssen, um rechtssicher zu agieren. Kostenloses E-Book zur EU-KI-Verordnung sichern

EuGH verschärft den Kurs für biometrische Daten

Die nationalen Entscheidungen spiegeln einen klaren EU-Trend wider. Der Europäische Gerichtshof (EuGH) betonte kürzlich erneut, dass die Erhebung biometrischer Daten nur im Ausnahmefall und als „strikt notwendig“ erfolgen darf.

Für Hochschulen und Softwarefirmen bedeutet das eine doppelte Hürde: Sie müssen nicht nur eine allgemeine Rechtsgrundlage für die Datenverarbeitung finden (Art. 6 DSGVO), sondern auch eine spezielle Erlaubnis für die Verarbeitung hochsensibler biometrischer Daten (Art. 9 DSGVO). In den meisten Fällen bleibt nur die ausdrückliche Einwilligung der Studierenden – und die setzt vollständige Transparenz voraus.

Was bedeutet das für die Zukunft digitaler Prüfungen?

Der Markt für Online-Überwachung wächst, doch die rechtlichen Rahmenbedingungen werden enger. Die jüngsten Urteile zwingen Anbieter und Universitäten zum Umdenken.

Die Zukunft könnte in datenschutzfreundlichen Alternativen liegen:
* Statt permanenter Gesichtserkennung: punktuelle ID-Checks per Webcam zu Prüfungsbeginn.
* Verstärkter Einsatz von Multi-Faktor-Authentifizierung (Passwort plus TAN).
* Systeme, die auf menschliche Aufsicht bei Auffälligkeiten setzen, statt auf lückenlose KI-Überwachung.

Die Devise lautet „Privacy by Design“. Es geht darum, Prüfungsintegrität und Datenschutz endlich in Einklang zu bringen – bevor die nächste Abmahnung oder Klage eintrifft. Für Tausende Studierende in Deutschland und Europa könnte das eine entspanntere Prüfungsatmosphäre bedeuten.