Rechtsprechung / Landgericht Erfurt

Landgericht Erfurt Urteil vom 23.10.2024 – 8 O 1117/22

ECLI:DE:LGERFUR:2024:1023.8O1117.22.00

Tenor

1. Die Klage wird abgewiesen.

2. Die Klägerin hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet.

Tatbestand

1

Die Parteien streiten um einen Schadensersatzanspruch der Klägerin wegen einer von ihr behaupteten Persönlichkeitsrechtsverletzung durch die Verarbeitung personenbezogener Daten.

2

Die Beklagte ist eine B. in E. An dieser absolvierte die Klägerin von 2017 bis 2020 den Bachelorstudiengang „Primäre und Elementare Bildung“. Von 2020 bis 2022 studierte sie bei der Beklagten im Master of Education „Grundschule“.

3

Auf Grund der Kontaktbeschränkungen während der SARS-COV-2-Pandemie führte die Beklagte elektronische Fernprüfungen durch. Zu diesem Zweck nutzte sie die digitale Prüfungs- und Bewertungsplattform „WISEflow“ des Anbieters Uniwise ApS. Bei „WISEflow“ handelt es sich um eine Software, die über den Browser aufgerufen wird. Auf der aufgerufenen Internetseite war seitens der Software der Google Tag Manager installiert, um Websitefunktionen technisch zu ermöglichen.

4

Vor Durchführung der Onlineklausuren führte die Beklagte eine Online-Umfrage durch, in der die Studierenden aufgefordert wurden mitzuteilen, ob sie an der jeweiligen Onlineklausur teilnehmen.

5

Das entsprechende Schreiben hielt verschiedene Auswahlmöglichkeiten bereit und war wie folgt formuliert:

6

„Liebe Studierende,

7

laut “Corona-Satzung“ der Universität (Satzung der B. zur Erweiterung und Änderung der Prüfungsformen und Formen von Lehrveranstaltungen in Prüfungs- und Studienordnungen aufgrund grund von Einschränkungen durch die Corona-Pandemie vom 25.6.2020) ergeben sich für die anstehen – de elektronische Fernklausur je nach Ihrer IT-Ausstattung mehrere Ausnahmemöglichkeiten für Sie. Sie

8

haben lt. o.g. Satzung bis spätestens 2 Wochen vor der Klausur (aktuell ist die Frist kürzer) Zeit, einen. Antrag zu stellen, wenn folgendes auf Sie zutrifft:

9

1. Studierenden, die nicht über die für eine elektronische Fernprüfung benötigte technische Ausstattung (geeignetes IT-Endgerät, Webkamera, Betriebssystem, Software) verfügen, wird in dem der Universität Erfurt zur Verfügung stehenden Umfang die Ausstattung – mit Ausnahme von Webkameras – auf begründeten Antrag von der Universität übergangsweise für die Teilnahme an der Prüfung bereitgestellt. Hierzu werden im Regelfall EDV-Poolarbeitsplätze der Universität Erfurt zugewiesen.

10

2. Studierende, die nicht über eine geeignete Webkamera verfügen, absolvieren die elektronische Prüfung (E-Klausur) am eigenen IT-Endgerät unter Aufsicht in den Räumlichkeiten der B.-...

11

3. Im Falle fehlender oder unzureichender Internetverbindung erfolgt eine Prüfungsteilnahme am eigenen IT-Endgerät in Prüfungsräumlichkeiten der Universität.

12

4. Studierende, die nicht an einer elektronischen Prüfung teilnehmen möchten (pandemiebedingter Rücktritt), können die Prüfung in der von der jeweiligen Studien- und Prüfungsordnung vorgesehenen Prüfungsform ablegen, sobald die Infektionsschutzmaßnahmen im Sinne von § 2 Abs. 1 dem nicht mehr entgegenstehen. Statt dem genannten Antrag wählen Sie bitte [...] die Option, die auf Sie zutrifft. [...]“

13

Den Studierenden wurden im Weiteren folgende fünf Auswahlmöglichkeiten präsentiert:

14

1. Ich verfüge über die technische Ausstattung (IT-Gerät, Webkamera, Internetverbindung) und absolviere die Klausur außerhalb des Campus' der B.

15

2. Ich habe keine oder eine nur unzureichende Internetverbindung und absolviere die Klausur am eigenen IT-Endgerät in Prüfungsräumlichkeiten der Universität.

16

3. Ich verfüge nicht über eine geeignete Webkamera und absolviere die Klausur am eigenen IT Endgerät unter Aufsicht in den Räumlichkeiten der Universität.

17

4. Ich verfüge nicht über die technische Ausstattung und muss die Klausur an einem Gerät der UE absolvieren.

18

5. Ich trete pandemiebedingt von der elektronischen Prüfung zurück und werde die Prüfung in der von der jeweiligen Studien- und Prüfungsordnung vorgesehenen Prüfungsform ablegen, so – bald die Infektionsschutzmaßnahmen im Sinne von § 2 Abs. 1 dem nicht mehr entgegenstehen.

19

Die Klägerin gab gegenüber der Beklagten an, die Auswahlmöglichkeit 1 in Anspruch zu nehmen.

20

Zur Verhinderung von Prüfungsbetrug umfasst WISEflow eine Funktion zur automatischen Gesichtserkennung der Prüfungsteilnehmer. Zu diesem Zweck wurde über die Software am 09.07.2020 auch ein Referenzbild des Gesichtes der Klägerin gefertigt. Dabei wurden bestimmte Punkte des Gesichts der Klägerin durch das Programm erfasst und ins Verhältnis gesetzt.

21

Zwischen Juni 2020 und Februar 2021 nahm die Klägerin unter Anwendung der Software an insgesamt 12 Fernprüfungen teil, teilweise handelte es sich dabei um Probeklausuren. Dabei wurden auf Veranlassung der Software mittels der Kamera des Endgerätes der Klägerin in unterschiedlichen Abständen Bilder des Gesichtes der Klägerin gefertigt, um diese mit dem Referenzbild abzugleichen. Zum Abgleich ermittelte das System einen Übereinstimmungswert. Das verwendete Computerprogramm war so konzipiert, dass es in Fällen, in denen der Referenzwert unter 99% lag, eine Meldung ausgab. Der konkrete Sachverhalt wurde in einem solchen Fall von dem jeweiligen Prüfer ermittelt und dem betroffenen Prüfling bei Bedarf Gelegenheit gegeben, sich zu der Abweichung zu äußern. Soweit erforderlich sollte in der Folge ein reguläres Verfahren wegen möglichen Prüfungsbetrugs seitens des Prüfers eingeleitet werden.

22

Die Gesichtserkennung wurde durch den in WISEflow integrierten Dienst Amazon Rekognition durchgeführt, der von einer Tochtergesellschaft (Amazon Web Services EMEA S.à.r.l., ansässig in Luxemburg) der in den USA ansässigen Amazon Web Services, Inc. betrieben wird.

23

Zusätzlich zur Gesichtserkennung, mussten die Studierenden zur Teilnahme an den Onlineklausuren einen sogenannten Lock-Down-Browser des Anbieters Respondus auf ihrem Endgerät installieren.

24

Dieser sperrte, um die Gefahr des Prüfungsbetrugs zu reduzieren, verschiedene Funktionen des Endgeräts der Klägerin, insbesondere das Aufrufen von in der Prüfung nicht erlaubten Internetseiten, das Drucken sowie das Kopieren und Einfügen von Inhalten.

25

Die Klägerin ist seit 2015 in den sozialen Netzwerken aktiv, lädt dort Fotos ihres Gesichts hoch und gibt Bewertungen über den Dienst GoogleMaps unter Verwendung ihres Klarnamens ab.

26

Sie behauptet, die automatische Überwachung mittels Gesichtserkennung habe die Klägerin in den Prüfungssituationen unter erheblichen Stress gesetzt und in ihr die Angst ausgelöst, den unbegründeten Verdacht von Betrugsversuchen zu erwecken. Aufgrund der Übermittlung der IP-Adresse an Dritte wie die Google Ltd. sowie die Google LLC, habe die Klägerin einen Verlust über die Kontrolle ihrer Daten erlitten. Aufgrund der Installation des Lock-Down-Browsers auf ihrem Endgerät habe sie das Vertrauen in den Schutz der dort gespeicherten Informationen verloren.

27

Sie ist der Ansicht, die Beklagte habe unberechtigter Weise personenbezogene Daten der Klägerin verarbeitet und dadurch gegen die DSGVO und gegen § 25 Abs. 1 S. 2 TTDSG verstoßen.

28

Sie beantragt,

29

die Beklagte zu verurteilen, an die Klägerin einen angemessenen Schadenersatz zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, der jedoch mindestens 1.000,00 € beträgt.

30

Die Beklagte beantragt,

31

die Klage abzuweisen.

32

Sie behauptet, sie habe keine Daten der Klägerin verarbeitet, die nicht bereits veröffentlicht gewesen seien.

33

Das Programm des Lock-Down-Browsers habe außer den eigenen Programmbibliotheken keine gespeicherten Informationen auf dem von der Klägerin verwendeten Endgerät ausgelesen.

34

Es seien trotz der Verwendung des Google Tag Managers keine Serveranfragen an die Google Ireland Ltd und an die Google LLC unter Übermittlung ihrer IP-Adresse und weiterer Zugriffsdaten gesandt worden. Eine Übermittlung von Daten in Drittstaaten, insbesondere die USA, sei nicht erfolgt.

35

Der Google Tag Manager greife nicht auf Daten zu, die auf dem von der Klägerin verwendeten Endgerät gespeichert seien.

36

Die Beklagte bestreitet mit Nichtwissen, dass die Klägerin an den einzelnen elektronischen Fernprüfungen jeweils von einem Internetanschluss aus teilgenommen habe, der auf ihren Namen geführt werde. Daher sei auch die IP-Adresse der Klägerin während der Prüfungen nicht übermittelt worden.

37

Die Klägerin, habe zur Vermeidung etwaiger Datenverarbeitungen auch die Möglichkeit gehabt, an Präsenzprüfungen teilzunehmen.

38

Hinsichtlich des weiteren Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätzen und Anlagen Bezug genommen.

Entscheidungsgründe

39

Die zulässige Klage ist unbegründet.

40

Die Klägerin hat gegen die Beklagte aus keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens im Zusammenhang mit den bei der Beklagten durchgeführten Onlineprüfungen.

I.

41

Ein Schadensersatzanspruch der Klägerin ergibt sich insbesondere nicht aus Art. 82 DSGVO.

1.

42

Der Anwendungsbereich der DSGVO ist nach Art. 2 Abs. 1, 2 DSGVO eröffnet. Die Klägerin macht einen Verstoß der Beklagten gegen die Datenschutzvorschriften der Verordnung durch Verarbeitung persönlicher, insbesondere biometrischer Daten durch die Beklagte, die ihren Sitz in Erfurt in Deutschland und damit auf dem Gebiet der europäischen Union hat, geltend.

2.

43

Soweit die Beklagte im Vorfeld der Onlineprüfungen die Software einsetzte, die ein Referenzbild des Gesichtes der Klägerin erstellte, indem sie verschiedene Punkte im Gesicht der Klägerin ausmaß und diese zueinander ins Verhältnis setzte, stellt dieser unstreitige Vorgang eine Erhebung biometrischer Daten dar. Denn gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten, mit speziellen technischen Verfahren gewonnene personenbezogene Daten [...], die die eindeutige Identifizierung einer natürlichen Person ermöglichen oder bestätigen, beispielsweise Gesichtsbilder.

a)

44

Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich unzulässig. Eine zulässige Verarbeitung kommt allein bei Vorliegen eines der sich aus Art. 9 Abs. 2 DSGVO ergebenden Eröffnungsgründe in Betracht.

45

Letztendlich kommt es vorliegend jedoch nicht darauf an, ob einer der Eröffnungsgründe des Art. 9 Abs. 2 DSGVO einschlägig ist. Es kann dahinstehen, ob die Klägerin durch die unwidersprochene Teilnahme an den Onlineprüfungen in die Erhebung der biometrischen Daten gemäß Art. 9 Abs. 2 Nr. 1 DSGVO einwilligte oder ob es, aufgrund des nicht von der Hand zu weisenden Über- Unterordnungsverhältnisses zwischen der Beklagten und der Klägerin unter Berücksichtigung des Erwägungsgrundes 43 DSGVO an der für eine Einwilligung erforderlichen Freiwilligkeit fehlte. Ebenso wenig kommt es darauf an, ob die biometrischen Daten der Klägerin bereits vor der Erhebung durch die Beklagte öffentlich gemacht worden waren und die Verarbeitung daher gemäß Art. 9 Abs. 2 lit. e DSGVO zulässig war.

46

Dahinstehen kann letztlich auch, ob § 16 Abs. 2 Nr. 2 ThürDSG i.V.m. § 11 S. 1 ThürHG eine ausreichende Rechtsgrundlage im Sinne des Eröffnungsgrundes Art. 9 Abs. 2 lit. g DSGVO darstellt, oder ob diese dem Bestimmtheitsgrundsatz nicht genügt.

b)

47

Selbst wenn der Beklagten ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorzuwerfen wäre, scheiterte der von der Klägerin geltend gemachte Schadensersatzanspruch an dem von ihr darzulegenden und zu beweisenden Schaden.

aa)

48

Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EUGH, Urteil vom 14.12.2023 – C-456/22 –, Rn. 21, juris, m.w.N.). Ein Schaden im Sinne des Art. 82 Abs. 1 DSGVO setzt andererseits – entgegen möglicherweise bestehendem innerstaatlichem Recht – nach Wortlaut, Erwägungsgründen 10,146 DSGVO und Sinn und Zweck der Verordnung nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteil vom 04.05.2023 – C-300/21 –, Rn. 43 ff., juris; EuGH, Urt. v. 04.10.2024 - C-200/23, Rn. 156).

49

Diese Auslegung bedeutet jedoch nicht, dass eine Person, die von einem Verstoß gegen die DS- GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, von dem Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne des Art. 82 dieser Verordnung darstellen (EuGH, Urteil vom 04.05.2023 – C-300/21 –, Rn. 50, juris). Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen (EuGH, Urteil vom 04.05.2023 – C-300/21 –, Rn. 58, juris). Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung voraus, dass dieser „tatsächlich und sicher“ besteht (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23 –, Rn: 156, juris, m.w.N.).

50

Entsprechend sieht Erwägungsgrund 75 DSGVO auch nur vor, dass ein Schaden entstehen könnte, wenn „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. Daraus folgt, dass nicht bereits die Verletzung dieser (Kontroll-)Freiheit schadensbegründend ist. Denn ein gewisser Kontrollverlust über die eigenen personenbezogenen Daten ist einer unberechtigten Datenverarbeitung stets immanent. Es bedarf mithin des Eintritts eines über die diesem Kontrollverlust notwendigerweise stets innewohnenden Nachteile hinausgehenden konkret-individuellen tatsächlichen materiellen oder immateriellen Schadens (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23 –, Rn. 159, 160 juris, m.w.N.).

bb)

51

Die Klägerin hat in ihrer persönlichen Anhörung im Termin zur mündlichen Verhandlung ihre persönliche Situation im Zusammenhang mit der Prüfung ausführlich und anschaulich geschildert. Dabei ging sie zunächst darauf ein, dass sie im Rahmen von Präsenzprüfungen ihre allgemeine Prüfungsnervosität gut unter Kontrolle hatte, da die Möglichkeit bestanden habe, sich mit Kommilitonen und Freunden zu unterhalten und man sich gegenseitig Mut zugesprochen habe.

52

Die Klausuren in ihrem häuslichen Umfeld seien dagegen für die Klägerin eine relativ einsame Situation gewesen. Sie schilderte, wie die psychische Unterstützung ihrer Kommilitonen wegfiel. So habe es bei den Onlineprüfungen keine Menschen gegeben, die sich vor der Prüfung gegenseitig Glück gewünscht hätten und sich unterstützten.

53

Diese Ausführungen der Klägerin zeigen deutlich, dass die Gesamtsituation einer Prüfung bei der sie auf sich allein gestellt war, die Klägerin erheblich unter Druck setzte. Dieser Umstand ist für die Kammer durchaus nachvollziehbar, steht jedoch in keinem Zusammenhang mit einem etwaigen Datenschutzverstoß der Beklagten. Die oben beschriebene Drucksituation ist vielmehr auf die allgemeinen Lebensumstände und Einschränkungen zurückzuführen die die Covid-19-Pandemie ab dem Jahr 2020 mit sich brachte und der alle Menschen und unterschiedlichen Ausprägungen ausgesetzt waren.

54

Weiter führte die Klägerin im Rahmen ihrer persönlichen Anhörung aus, der Einsatz der Kamera sei für sie nicht eindeutig geklärt gewesen. Sie habe nicht gewusst, ob diese durchgängig laufe und welche Angaben tatsächlich überwacht würden. Aus diesem Grund habe sie sich nicht frei bewegen können, habe immer auf den Bildschirm, nicht auf ihre Tastatur und die Umgebung gesehen, außerdem nicht getrunken, aus Angst, es könnte etwas ausgelöst werden. Die Situation habe sich insofern von einer Prüfungssituation in Präsenz unterschieden, als dass es bei letzterer wenigstens möglich gewesen sei, aus dem Fenster oder auf die Uhr zu sehen, ohne Sorge zu haben den Verdacht eines Betrugsversuches zu erwecken. Bei der Onlineprüfung habe sie immer Angst gehabt was passiere, wenn sie eines Täuschungsversuchs bezichtigt werde und dass sie gegebenenfalls die Prüfung neu schreiben müsse.

55

Zu der Art und Weise der Funktion der Überwachung während der Prüfung habe es viele Gerüchte gegeben, wobei keiner genau gewusst habe was passiere. Die Klägerin habe sich mit Kommilitonen ausgetauscht, keiner habe jedoch genaue Informationen gehabt.

56

Gleichzeitig erklärte die Klägerin, insbesondere auch darüber informiert worden zu sein, dass ein Referenzbild erstellt werde. Dies habe sie jedoch trotz ihrer Unkenntnis über das genaue Procedere nicht dazu veranlasst, weitere Nachforschungen anzustellen, insbesondere bei der Uni nachzufragen, da ihr Hauptziel, das über allem gestanden habe, gewesen sei, das Studium zügig abzuschließen.

57

Über eine andere Art und Weise der Ablegung der Prüfung habe die Klägerin nicht nachgedacht. Sie habe sich überlegt, die Onlineprüfung durchführen zu müssen, um nicht einem Teilnehmer mit schlechter technischer Ausstattung den Platz wegzunehmen. Sie habe sich mit anderen Kommilitonen ausgetauscht und man habe sich gegenseitig erklärt, dass es keine andere Option gebe.

58

Auch auf Grundlage dieser Ausführungen konnte die Kammer nicht zu der Überzeugung gelangen, dass die Klägerin aufgrund des Einsatzes der Gesichtserkennungssoftware ein Leiden oder einen Kontrollverlust hinsichtlich ihrer Daten verspürte, der geeignet gewesen wäre, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen.

59

Die von der Klägerin beschriebene Unsicherheit ist letztlich darauf zurückzuführen, dass sie keine genaue Kenntnis über die Funktionsweise der bei der Prüfung eingesetzten Software hatte. Einen unmittelbaren Zusammenhang zwischen ihren Ängsten und der Erhebung der biometrischen Daten schilderte die Klägerin hingegen nicht. Ihr Unwohlsein führte sie während der gesamten Anhörung allein darauf zurück, nicht sicher gewesen zu sein, bei welcher ihrer Bewegungen die Gefahr bestünde, dass das System von einem Betrugsversuch ausgehe.

60

Zwar stehen die Erhebung der biometrischen Daten und die Unsicherheit der Funktionsweise in einem mittelbaren Zusammenhang. Das Gericht ist aufgrund der Ausführungen der Klägerin jedoch ebenfalls nicht davon überzeugt, dass die Unkenntnis der Klägerin über die Funktionsweise der Gesichtserkennungssoftware einen Kontrollverlust über ihre persönlichen Daten und damit einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO bei der Klägerin auslöste.

61

Denn die Klägerin sah sich trotz ihrer Unkenntnis nicht veranlasst, bei der Beklagten nachzufragen, welche persönlichen Daten im Rahmen der Prüfungen auf welche Weise verarbeitet würden und ob nicht doch die Möglichkeit bestehe, wegen etwaiger Bedenken bezüglich der Datensicherheit die Prüfung in Präsenz oder ohne Einsatz der Gesichtserkennungssoftware abzulegen. Insbesondere an einer Universität gibt es traditionell diverse Angebote, Organisationen und Anlaufstellen, an die sich Studierende wenden können, insbesondere dann, wenn sie Probleme im Studium oder mit der Hochschulleitung haben. Diese Anlaufstellen können regelmäßig online kontaktiert werden und bieten diverse Lösungsmöglichkeiten an. Hätte die Klägerin, die von ihr geschilderte Unkenntnis über die Verarbeitung ihrer Daten in eine Unsicherheit versetzt, die über eine allgemeine Betroffenheit hinausgeht und geeignet ist einen Schaden zu begründen, wäre zu erwarten gewesen, dass sie sich mit diesen Anlaufstellen in Verbindung setzt, dies jedenfalls aber in Betracht zieht, was sie nach eigener Angaben zu keiner Zeit getan hat.

62

Es ist nicht ersichtlich, inwiefern die Klägerin eine solche Nachfrage in ihrem Plan, ihr Studium rechtzeitig zu beenden zurückgeworfen hätte. Die Begründung der Klägerin, über allem hätte ihr Ziel gestanden, ihr Studium rechtzeitig zu beenden ist daher ebenfalls nicht geeignet, das Gericht von einem Gefühl des Kontrollverlustes über ihre persönlichen Daten zu überzeugen.

63

Dass die Klägerin sich mit der Situation abfand und gemeinsam mit ihren Kommilitonen beschloss, man müsse mit der Situation leben, zeigt vielmehr, dass die Unsicherheit auch von der Klägerin als Ausdruck des allgemeinen Lebensrisikos empfunden wurde, aufgrund dessen jeder Mensch mitunter in weniger angenehme Situationen gerät, die aber nicht sämtlichst einen Schaden bei den Betroffenen herbeiführen.

cc)

64

Nachdem das Unwohlsein der Klägerin ausschließlich auf die ihr unbekannte Situation und Unsicherheit hinsichtlich der Funktionsweise der Gesichtserkennungssoftware zurückzuführen ist, hat die Kammer zudem erhebliche Zweifel an einer, auch nur mittelbaren Kausalität zwischen einem – hier unterstellten – Datenschutzverstoß der Beklagten und den Gefühlen der Klägerin. Denn eine ihr unbekannte Situation, welche die Klägerin in psychischen Stress versetzt hätte, wäre ebenso bei einer Onlineklausur eingetreten, bei der ein Verstoß gegen die Datenschutzvorschriften ausgeschlossen gewesen wäre. So wäre die von der Klägerseite wiederholt als zulässige Alternative dargestellte Videoüberwachung gleichermaßen geeignet gewesen, die Klägerin unter Druck zu setzen. Denn auch diese Form der Überwachung ist nicht vollständig mit einer Beaufsichtigung in Präsenz gleichzusetzen. Da die Prüfungsaufsicht bei der Videoüberwachung lediglich den von der Webcam übertragenen kleinen Bereich des Raumes wahrnehmen kann, in dem sich der Prüfungsteilnehmer befindet, wäre die Klägerin hier letztlich den gleichen Unsicherheiten ausgesetzt gewesen. Denn auch in diesem Fall wäre für den Prüfer nicht ersichtlich gewesen, ob die Klägerin, wenn sie ihren Blick von dem Bildschirm abwendet, aus dem Fenster sieht, auf die Uhr schaut oder doch „spickt“. Es muss daher angenommen werden, dass auch eine solche Prüfungsaufsicht bei der Klägerin die Sorge ausgelöst hätte, einem unberechtigten Betrugsverdacht ausgesetzt zu sein.

3.

65

Soweit die Klägerin einen Verstoß gegen Art. 22 Abs. 2 DSGVO rügt, welcher jeder Person das Recht einräumt, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, ist dem entgegenzuhalten, dass eine solche ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung gerade nicht vorliegt.

66

Unstreitig ermittelte die oder der Prüfende den konkreten Sachverhalt und gab dem Betroffenen nach eigenem Ermessen Gelegenheit zur Stellungnahme, wenn die Übereinstimmung des Referenzfotos und der in der Prüfung angefertigten Fotos nach den Messwerten das Programms unter 99% lag. Erst wenn daraufhin keine überzeugende Begründung seitens des Prüfungsteilnehmers erfolgte, die geeignet war, die Abweichung zu erklären, wurde weiter verfahren wie bei einem Verdacht auf einen Täuschungsversuch bei einer Präsenzprüfung. Die in diesem Zusammenhang getroffene Entscheidung, die für den Betroffenen rechtliche Wirkung hätte entfalten oder ihn in ähnlicher Weise hätte beeinträchtigen können, beruhte bei dieser Vorgehensweise nicht ausschließlich auf einer automatisieren Datenverarbeitung. Die von dem Programm getroffene „Entscheidung“, wie hoch der Übereinstimmungswert der Aufnahmen ist, entfaltete noch keine rechtliche Wirkung. Auch wurde die betroffene Person nicht im Sinne dieser Norm erheblich beeinträchtigt. Denn die Entscheidung darüber, ob überhaupt ein Täuschungsversuch in Betracht kommt, oder es sich lediglich um technische Ungenauigkeiten oder Übertragungsfehler handelt, traf die prüfende Person. Erst die Entscheidung dieser natürlichen Person, nach Prüfung des konkreten Sachverhalts brachte die Gefahr einer rechtlich wirksamen oder ähnlichen beeinträchtigenden Entscheidung für den Betroffenen mit sich.

67

Soweit die Klägerin ausführt, jedenfalls die Entscheidung, dass eine Übereinstimmung über 99% vorliege, sei ausschließlich durch das Programm getroffen worden, ist diese Entscheidung schon nicht geeignet eine rechtliche Beeinträchtigung des Betroffenen herbeizuführen.

4.

68

Ebenso wie das Vorliegen einer unrechtmäßigen Verarbeitung der biometrischen Daten der Klägerin kann auch die zwischen den Parteien streitige Frage dahinstehen, inwieweit der von der Klägerin zum Zwecke der Prüfungsdurchführung installierte Lock-Down-Browser Informationen auf dem Endgerät der Klägerin speicherte und dort gespeicherte Informationen auslas oder dies bis heute tut.

69

Denn auch insofern ist die Kammer unter Berücksichtung der oben dargestellten Maßstäbe nicht zu der Überzeugung gelangt, der Klägerin sei ein immaterieller Schaden entstanden. Dass sich die Klägerin überhaupt Gedanken über den Datenzugriff auf ihren Laptop durch den Lock-Down-Browser machte, hat sie glaubhaft geschildert. So erklärte sie, dass ihr Partner, der in der IT-Branche tätig sei, sie bei Installation des Programms darauf aufmerksam gemacht habe, dass dieses nun auf das Endgerät zugreifen könne.

70

Zweifel daran, dass dieser Umstand bei der Klägerin für einen immateriellen-Schaden, insbesondere einen solchen in Form eines Kontrollverlustes ausgelöst hätte, hat die Kammer jedoch bereits deshalb, weil die Klägerin erklärte, auch andere Programme installiert zu haben. Auch legt ihr zum Zeitpunkt der Prüfungen öffentlich einsehbarer Instagram-Account nahe, dass die Klägerin grundsätzlich wenig Besorgnis darüber verspürte persönliche Daten preiszugeben.

71

Weshalb nun bei der Installation des Lock-Down-Browsers eine gesteigerte Besorgnis hinsichtlich des Datenzugriffs eingetreten sein sollte, ist nicht ersichtlich. Allein der Umstand, dass sich die Klägerin hinsichtlich der Nutzung von Socialmedia-Kanälen und anderer Computerprogramme tatsächlich freiwillig für die installation entschied, erklärt nicht weshalb sie hinsichtlich dieses Informationszugriffs und der Weiterverarbeitung weniger besorgt gewesen sein sollte.

72

Entsprechendes bestätigt sich auch durch das weitere Verhalten der Klägerin. Denn sie besitzt den Laptop, mit dem sie an den Onlineprüfungen teilnahm weiterhin. Zwar nutzt sie ihn nach eigenen Angaben weniger. Das begründete sie jedoch allein damit, inzwischen im Referendariat einen Dienstlaptop zur Verfügung zu haben. Für private Zwecke habe sie den im Rahmen der Prüfungen genutzten Laptop zudem auch vor den Onlineprüfungen nicht genutzt. Er sei im Wesentlichen für ihr Studium eingesetzt worden.

73

Wegen des Referendariats habe sie im Jahr 2022 oder 2023 auch ihren Instagram-Account auf „privat“ gestellt, um Berufs- und Privatleben zu trennen. Auch die Änderung ihres Verhaltens bei der Socialmedia-Plattform ist damit nicht auf Bedenken hinsichtlich des Datenschutzes zurückzuführen.

74

Die Klägerin schilderte auch im Übrigen nicht näher wie sich ihre Sorge hinsichtlich des unberechtigten Datenzugriffs manifestierte. Ihre Ausführungen blieben hinsichtlich der behaupteten „großen Unsicherheit“ sehr allgemein, so dass sie insgesamt nicht geeignet sind, die Kammer von dem Eintritt eines konkreten immateriellen Schadens zu überzeugen.

5.

75

Ausführungen zu Beeinträchtigungen oder Ängsten aufgrund anderer Datenschutzverstöße, wie die unzulässige Übermittlung von Daten an Drittstaaten gemäß Art. 44 DSGVO tätigte die Klägerin im Rahmen ihrer persönlichen Anhörung nicht. Da sie, wie oben dargestellt, in ihrem Privatleben keine Bedenken gegen die Nutzung von Google oder Meta hatte, bei der sich eine Übermittlung von Daten an Drittstaaten nur mit erheblichem Aufwand vermeiden lässt, erscheint eine Besorgnis der Klägerin über diesen Vorgang auch nicht naheliegend.

II.

76

Die Klägerin hat auch keinen Anspruch auf Schadensersatz aus § 839 Abs. 1 S. 1 BGB i.V.m. Art. 34 S. 1 GG.

77

Ein solcher Anspruch kommt grundsätzlich neben einem Schadenersatzanspruch aus Art. 82 DSGVO in Betracht (OLG Hamm, Urteil vom 20.1.2023, ZD 2024, 104 Rn. 66).

78

Ein Schaden ist der Klägerin jedoch auch nach den Maßstäben des § 839 Abs. 1 S. 1 BGB i.V.m. Art. 34 S. 1 GG nicht entstanden.

79

Die Regelungen der DSGVO sichern das durch die §§ 823 ff. BGB geschützte Rechtsgut des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Ausdruck dessen sind insbesondere auch das Recht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

80

Bei einer Verletzung des Allgemeinen Persönlichkeitsrechts durch einen Verstoß gegen die Datenschutzregelungen der DSGVO kommt daher grundsätzlich auch der Ersatz eines ideellen Schadens in Betracht. Voraussetzung dessen ist jedoch ein schwerwiegender Eingriff in das Allgemeine Persönlichkeitsrecht (Sprau in Grüneberg 82. Auflage 2023, § 823 BGB Rn. 111). Neben dem aus den oben dargelegten Gründen nicht gegebenen Schaden fehlt es vorliegend auch an einer solchen Erheblichkeit eines - hier zu unterstellenden - Eingriffs der Beklagten.

81

Erheblich ist insofern zwar, dass die Beklagte gegenüber der Klägerin eine gewisse Machtposition inne hatte und die Möglichkeiten der Klägerin, sich der Datenerhebung zu entziehen jedenfalls begrenzt waren. Gleichzeitig wurde der Klägerin durch die Onlineprüfungen aber auch ermöglicht, ihr Studium trotz herrschender Kontaktbeschränkungen durchzuführen. Die Beklagte wahrte durch ihr Vorgehen auch das Recht auf Chancengleichheit als Teil der Rechtsposition der Klägerin. Nur durch das Angebot alternativer Klausuren wie Onlineklausuren konnte zur Zeit der Covid-19-Pandemie sichergestellt werden, dass Studierende auch in den Jahren der Pandemie ihren Abschluss machen. Mit der Organisation der Onlineprüfungen kam die Beklagte damit auch ihrer sich aus dem Thüringer Hochschulgesetz ergebenden Verantwortung nach, dafür Sorge zu tragen, dass die einzelnen Studienmodule wie auch das gesamte Studium mit einer Prüfungs- oder Studienleistung abschließt, § 54 Abs. 1 ThürHG und der Abschluss des Studiums in Regelstudienzeit erfolgen kann, § 47 Abs. 4 S. 2 ThürHG. Diese Pflichten der Beklagten hätten sich, jedenfalls aus der maßgeblichen ex ante Sicht auch nicht in gleich effektiver Weise durch andere Maßnahmen durchsetzen lassen. Die Kammer hält insoweit den Vortrag der Beklagten, eine stabile Internetverbindung wäre bei einer durchgängigen Videoüberwachung nicht sichergestellt gewesen, für maßgeblich. Die Befürchtung instabiler Internetverbindungen, insbesondere bei der Teilnahme von vielen Personen an einer Onlineveranstaltung waren während der Covid-19-Pandemie weit verbreitet. Sie ließen sich auf den in der Bundesrepublik teils unzureichenden Breitbandausbau ebenso zurückführen wie auf die Tatsache, dass aufgrund der herrschenden Kontaktbeschränkungen die Internetverbindungen übermäßig beansprucht wurden. Darauf, dass einige Universitäten letztlich dennoch erfolgreich Prüfungen mit laufender Videoüberwachung durchführten, kommt es nach Auffassung der Kammer nicht an. Zum einen konnte die Beklagte die Erkenntnisse über später erfolgreich durchgeführte Prüfungen mit Videoüberwachung an anderen Universitäten nicht in ihre Abwägungen einfließen lassen. Zum anderen ist die Bandbreite nicht in allen teilen Deutschlands in gleicher Weise gewährleistet, so dass ein Blick auf Universitäten an anderen Standorten nur bedingt aussagekräftig ist.

82

Die Beklagte verarbeitete die Daten damit nicht zu ihrem eigenen Vorteil oder zu wirtschaftlichen Zwecken, sondern um den Studierenden überhaupt einen regulären Studienabschluss zu ermöglichen und ihren gesetzlichen Vorgaben zu entsprechen.

83

Auch aufgrund ihrer eigenen Nutzung sozialer Medien und in diesem Rahmen freiwilliger Übermittlung ihrer personenbezogenen Daten erscheint der Eingriff in das Allgemeine Persönlichkeitsrecht der Klägerin weniger schwerwiegend, da eine besondere Beeinträchtigung der Klägerin durch die Datenverarbeitung nicht auf der Hand liegt. Dies mag einen - hier unterstellten - Eingriff nicht rechtfertigen, lässt seine Folgen für die Klägerin aber weniger intensiv erscheinen.

III.

84

Die nach dem Schluss der mündlichen Verhandlung eingereichten Schriftsätze der Parteien boten keinen Anlass zur Wiedereröffnung der mündlichen Verhandlung.

IV.

85

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus § 708 Nr. 11, 711 ZPO.

Beschluss

87

Der Streitwert wird auf 1.000,00 € festgesetzt.