Unzulässige Verarbeitung biometrischer Daten bei Prüfungsüberwachung
Geschrieben von Elina Bartelt, veröffentlicht am 24.02.2026Die Corona-Pandemie stellte den Hochschulbetrieb vor große Herausforderungen, da Präsenzformate nur in eingeschränktem Umfang möglich waren. Um den universitären Ablauf dennoch aufrechtzuerhalten, setzte die Universität Erfurt auf digitale Prüfungsüberwachung. Dies führte zu datenschutzrechtlichen Bedenken.
Hat die Universität Erfurt rechtswidrig gehandelt?
Während der Pandemie nutzte die Universität Erfurt eine Gesichtserkennungssoftware, um die Prüflinge zu identifizieren. Die in diesem Fall betroffene Studentin wurde darüber nicht umfassend informiert. Die Universität berief sich auf eine stillschweigende Einwilligung sowie auf ein öffentliches Interesse an der Nutzung der Software.
Das Oberlandesgericht Jena (Urteil vom 17. November 2025 ,Az.: 3 U 885/24) überzeugte das nicht. Nach Art. 9 Abs. 1 DSGVO gilt ein grundsätzliches Verbot der Verarbeitung sensibler Daten, da diese ihrem Wesen nach besonders die Grundrechte berühren. Der Einsatz von Gesichtserkennungssoftware fällt eindeutig hierunter, da hierbei biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO verarbeitet werden.
Eine rechtmäßige Verarbeitung sensibler Daten erfordert nach Art. 9 Abs. 2 DSGVO, dass eine Ausnahmeregelung einschlägig ist. Dazu zählen z. B. eine ausdrückliche Einwilligung oder ein erhebliches öffentliches Interesse. Eine stillschweigende Einwilligung genügt jedoch nicht, da die betroffene Person vorab klar über Zweck und Umfang der Datenverarbeitung informiert werden muss.
Warum sah das Gericht kein überwiegendes öffentliches Interesse?
Für das Gericht wog der Eingriff in das Recht auf informationelle Selbstbestimmung schwerer als das Interesse an technischer Prüfungsaufsicht. Zudem standen alternative Prüfungsformen zur Verfügung. Da keine rechtmäßige Grundlage vorlag, verstieß die Gesichtserkennung gegen die DSGVO. Die Universität wurde zu Schadensersatz verpflichtet.
Prüfen Sie Ihre Verfahren
Um Verstöße zu vermeiden und Risiken realistisch einzuschätzen, lassen Sie Ihre Verfahren frühzeitig durch Datenschutzexperten prüfen.
In der Praxis ist zudem eine dokumentierte Einwilligung erforderlich, um der Rechenschafts- und Nachweispflicht zu genügen. Entweder durch Unterzeichnung der betroffenen Person oder im digitalen Kontext – und zwar mit
- zweistufiger Prüfung per E-Mail oder SMS,
- Ausfüllen eines elektronischen Formulars oder
- Unterzeichnen mittels einer elektronischen Signatur.
Sprechen Sie uns gerne an, bei Fragen zu Unzulässige Verarbeitung biometrischer Daten bei Prüfungsüberwachung
Elina Bartelt,
Juristin mit Schwerpunkt Datenschutzrecht. Sie unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen.
Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel
- Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet
- Achtung bei Signal: Verfassungsschutz warnt vor Spionage
- KRITIS-Dachgesetz: Schutzschild für die physische Sicherheit
- Was gibt es Neues zum „Digitalen Omnibus“?
- Ist ein Benutzername im Internet ein personenbezogenes Datum im Sinne der DSGVO?
- Warum ist eine Clean Desk Policy für den Datenschutz so wichtig?
Verwandte Artikel
- Achtung, iPhone-User: DarkSword-Malware auf GitHub aufgetaucht
- Muss oder Option: Das Verzeichnis von Verarbeitungstätigkeiten
- Raus aus der iCloud? Wie US-Gesetze Ihre Daten gefährden
- KRITIS-Dachgesetz: Schutzschild für die physische Sicherheit
- Warum ist eine Clean Desk Policy für den Datenschutz so wichtig?
- Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet