Das Thüringer Oberlandesgericht hat entschieden, dass der Einsatz biometrischer Überwachungstechnologien ohne wirksame ausdrückliche Einwilligung unzulässig ist. Anlass war die automatisierte Gesichtserkennung bei Online-Prüfungen während der Corona-Pandemie. Das Gericht stellte klar, dass personenbezogene Daten auch unter besonderen Umständen wie einer Pandemie strikten rechtlichen Grenzen unterliegen. Die Entscheidung reicht weit über den Hochschulbereich hinaus und ist als Warnsignal für Unternehmen zu verstehen, die KI-gestützte Überwachungs- oder Kontrollsysteme beispielsweise gegenüber ihren Mitarbeitenden einsetzen. Effizienz- und Sicherheitsinteressen treten dort zurück, wo besonders sensible personenbezogene Daten ohne Rechtsgrundlage verarbeitet werden.
Automatisierte Gesichtserkennung im Prüfungsverfahren
Im konkreten Fall klagte eine Studentin gegen die Universität Erfurt, die während der Corona-Pandemie eine spezielle Proctoring-Software namens Wiseflow zur Überwachung von Fernprüfungen einsetzte. Die Software fertigte ein biometrisches Referenzbild der Teilnehmerin an und glich dieses während der Prüfung automatisiert mit Live-Aufnahmen der Webcam ab, um Täuschungsversuche zu verhindern. Die Klägerin fühlte sich durch die permanente Überwachung unter erheblichen psychischen Druck gesetzt und befürchtete, bereits durch normale Kopfbewegungen eines Betrugs verdächtigt zu werden. Das Landgericht Erfurt hatte die Klage zunächst abgewiesen, da es keinen konkreten Schaden erkennen konnte, woraufhin die Klägerin in Berufung ging.
Strenge Anforderungen an die Verarbeitung biometrischer Daten
Das Thüringer Oberlandesgericht (OLG Jena, Urt. v. 13.10.2025 – Az.: 3 U 885/24) revidierte die erstinstanzliche Entscheidung und stellte fest, dass die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist. Eine wirksame ausdrückliche Einwilligung der Studentin lag nicht vor. Die bloße Teilnahme an der Prüfung nach Auswahl einer von mehreren Optionen konnte nicht als hinreichende Zustimmung für die konkrete biometrische Verarbeitung gewertet werden. Da es für die Studierenden keine echte Wahlmöglichkeit gab, wenn sie ihr Studium zeitnah fortsetzen wollten, fehlte es zudem an der erforderlichen Freiwilligkeit. Auch ein überwiegendes öffentliches Interesse an der Aufrechterhaltung des Prüfungsbetriebs rechtfertigte den tiefgreifenden Eingriff in das informationelle Selbstbestimmungsrecht nicht. Es hätten weniger invasive Aufsichtsmethoden zur Verfügung gestanden.
Immaterieller Schadensersatz in Höhe von 200 Euro
Das Gericht sprach der Klägerin einen immateriellen Schadensersatz in Höhe von 200 Euro zu. Diese Summe begründete der Senat mit der psychischen Belastung und der Verunsicherung während der Prüfungssituation, die über ein bloßes Unbehagen hinausging. Interessanterweise lehnte das OLG jedoch einen weitergehenden Schadensersatz für einen dauerhaften Kontrollverlust über die biometrischen Daten ab. Da die Klägerin bereits seit Jahren Porträtfotos auf sozialen Netzwerken wie Instagram öffentlich zugänglich gemacht hatte, sah das Gericht den Kontrollverlust über ihr Gesichtsbild als bereits eingetreten an. Dennoch bleibt festzuhalten, dass der Einsatz von KI-basierter Überwachungssoftware ohne Rechtsgrundlage ein klares Haftungsrisiko darstellt.
Bedeutung der Entscheidung
Bildungseinrichtungen wie Universitäten, aber auch Unternehmen sollten dieses Urteil als Warnung verstehen. Die Überwachung in Prüfungen, am Arbeitsplatz oder in Kundensituationen mittels Biometrie unterliegt hohen Hürden. Der Einsatz von Software zur Gesichtserkennung, Blickanalyse oder anderen biometrischen Merkmalen erfordert in der Regel eine freiwillige und ausdrückliche Einwilligung, die gerade in Überordnungsverhältnissen wie dem Arbeitsverhältnis oft schwer zu realisieren ist. Verantwortliche sollten ihre Compliance-Strukturen dahingehend prüfen, ob genutzte Anwendungen – etwa im Bereich der IT-Sicherheit oder Zeiterfassung – unzulässige biometrische Funktionen enthalten. Zudem ist bei der Auswahl von Dienstleistern wie Wiseflow auf eine lückenlose datenschutzrechtliche Absicherung durch Auftragsverarbeitungsverträge zu achten. Denn nach Angaben der Gesellschaft für Freiheitsrechte habe Wiseflow die biometrischen Daten an Amazon Web Services weitergeleitet.
Fazit
Das Urteil des OLG Jena setzt der „Big Brother“-Mentalität in digitalen Überwachungsszenarien im Namen des Datenschutzes klare Grenzen. Für die Praxis bedeutet dies, dass technische Möglichkeiten nicht automatisch rechtlich zulässig sind, nur weil sie effizient vor Betrug oder Missbrauch schützen. Unternehmen sind gut beraten, bei der Einführung neuer Softwarelösungen eine frühzeitige Datenschutz-Folgenabschätzung vorzunehmen. Insbesondere bei biometrischen Systemen sollten alternative, weniger einschneidende Maßnahmen priorisiert werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
