Online-Proctoring: Gerichtsurteil erhöht Bußgeldrisiko für Hochschulen und Firmen

Ein wegweisendes Urteil aus Thüringen stellt den Einsatz biometrischer Überwachungssoftware bei Prüfungen auf eine neue rechtliche Grundlage. Für Hochschulen und Unternehmen wächst der Druck, ihre Prozesse zu überdenfen, um hohe DSGVO-Strafen zu vermeiden.

OLG-Urteil: Einwilligung bei Prüfungen oft unwirksam

Im November 2025 erklärte das Thüringer Oberlandesgericht (OLG) den Einsatz der Software „Wiseflow“ bei Online-Prüfungen einer Universität für rechtswidrig. Die Software nutzte Gesichtserkennung, um die Identität der Studierenden zu verifizieren. Das Gericht urteilte, dass die erforderliche Einwilligung der Prüflinge nicht freiwillig erfolgen könne – angesichts des Machtgefälles zwischen Universität und Studierenden. Die Richter sprachen der klagenden Studentin zudem Schadensersatz zu, was Präzedenzwirkung entfaltet.

Das Urteil sendet ein klares Signal: Die pauschale Berufung auf Nutzereinwilligungen ist bei Prüfungssituationen kaum mehr haltbar. Die Verarbeitung biometrischer Daten fällt unter Artikel 9 der DSGVO und unterliegt damit den strengsten datenschutzrechtlichen Anforderungen.

Viele Hochschulen und Unternehmen unterschätzen das Risiko – eine fehlende oder mangelhafte Datenschutz‑Folgenabschätzung (DSFA) kann nach aktueller Rechtsprechung zu hohen Bußgeldern und Schadensersatzforderungen führen. Unser kostenloses E‑Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, liefert praxiserprobte Muster‑Vorlagen und Checklisten zur sofortigen Umsetzung und hilft Verantwortlichen, rechtssicher zu dokumentieren. Ideal für Datenschutzbeauftragte, IT‑Leiter und Personalverantwortliche. Kostenlosen DSFA‑Leitfaden jetzt herunterladen

Rechtslage: Warum Freiwilligkeit scheitert

Datenschutzexperten betonen: Eine echte Wahlfreiheit muss gegeben sein. Wenn die Alternative zur überwachten Online-Prüfung darin besteht, die Prüfung gar nicht oder nur unter erheblichen Härten ablegen zu können, ist die Einwilligung nicht freiwillig. Das Thüringer Urteil hat diese Rechtsauffassung nun bestätigt.

Die Konsequenz für Bildungseinrichtungen ist eindeutig: Sie müssen datenschutzfreundliche Alternativen anbieten, um überhaupt eine wirksame Rechtsgrundlage für die Datenverarbeitung zu schaffen. Eine rein auf Einwilligung basierende Praxis gilt als hochriskant.

Neue DSK-Führung: Schärfere Aufsicht erwartet

Die Brisanz des Themas wird durch personelle Wechsel bei den Aufsichtsbehörden unterstrichen. Seit dem 15. Januar 2026 führt Prof. Dr. Tobias Keber, Landesdatenschutzbeauftragter von Baden-Württemberg, den Vorsitz der Datenschutzkonferenz (DSK). In seiner Antrittserklärung betonte er, die hohen europäischen Schutzstandards wahren zu wollen.

Unter seiner Führung wird erwartet, dass die DSK ihre Leitlinien zu KI und biometrischer Datenverarbeitung präzisiert. Für Hochschulen bedeutet das: Die Aufsicht dürfte künftig noch genauer hinschauen und bei Verstößen konsequenter durchgreifen.

Risiko auch für Unternehmen

Die Gefahr beschränkt sich nicht auf den Bildungssektor. Immer mehr Firmen setzen ähnliche Technologien in Online-Bewerbungsverfahren ein, um Kandidaten bei Eignungstests zu verifizieren. Auch hier besteht ein klares Machtgefälle zwischen Bewerber und Unternehmen, das die Freiwilligkeit jeder Einwilligung infrage stellt.

Das Thüringer Urteil dient somit als Warnung an alle Personalabteilungen. Die oft von Anbietern beworbene „DSGVO-Konformität“ ihrer Software steht nach dieser Rechtsprechung auf wackeligen Füßen. Eine umfassende Datenschutz-Folgenabschätzung (DSFA) wird für Verantwortliche unerlässlich.

Akuter Handlungsbedarf für Verantwortliche

Für Hochschulen und Unternehmen ist die Botschaft klar: Es besteht dringender Anpassungsbedarf. Bestehende Verträge mit Proctoring-Anbietern müssen auf ihre Rechtskonformität überprüft werden. Die Entwicklung alternativer, datenschutzfreundlicher Prüfungsformate ist keine Option mehr, sondern eine Notwendigkeit.

In den kommenden Monaten werden weitere Orientierungshilfen der DSK sowie die nationale Umsetzung des EU KI-Gesetzes (AI Act) die Rahmenbedingungen konkretisieren. Bis dahin bleibt die Rechtsunsicherheit hoch – und das finanzielle Risiko bei fortgesetzter Nutzung umstrittener Überwachungstechnologien erheblich.

PS: Sie planen Alternativen zu biometrischem Proctoring oder müssen Ihre KI‑Projekte datenschutzrechtlich absichern? Unser Gratis‑E‑Book zur Datenschutz‑Folgenabschätzung bietet zusätzlich Vorlagen, Checklisten und Praxisantworten zu AI‑Systemen — perfekt abgestimmt auf die neuen Anforderungen durch DSK‑Leitlinien und den EU‑AI‑Act. Schützen Sie Ihre Hochschule oder Ihr Unternehmen jetzt vor rechtlichen Risiken. Jetzt DSFA‑Vorlage & Checklisten sichern