Proctoring im Bewerbungsverfahren: Datenschutzrechtliche Zulässigkeit nach DSGVO

Wie Unternehmen Proctoring rechtssicher einsetzen.
Kategorien:
,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

„Proctoring“ bezeichnet die digitale Prüfungsaufsicht, bei der Bewerber während eines Online-Tests per Webcam und Mikrofon überwacht werden. Ziel ist es, Betrug vorzubeugen. Mithilfe von Proctoring soll sichergestellt werden, dass die Kandidaten zu Hause keine unerlaubten Hilfsmittel oder KI einsetzen. Anbieter solcher Software werben oft mit der DSGVO-Konformität dieser Überwachung. In der Praxis müssen Bewerber jedoch zunächst einer Nutzung der Kamera (und meist zusätzlicher Software) zustimmen. Theoretisch kann die Zustimmung verweigert werden, doch stellt sich dann die Frage, ob die Bewerbung weiterhin berücksichtigt wird. Dieser Artikel beleuchtet, ob und unter welchen Voraussetzungen Proctoring im Rahmen von Bewerbungsverfahren datenschutzrechtlich zulässig ist, und gibt praxisorientierte Empfehlungen für einen konformen Einsatz.

Datenschutzrechtliche Risiken beim Proctoring

Bei einem Proctoring-gestützten Online-Test fallen umfangreiche personenbezogene Daten an. Neben Video- und Audioaufnahmen des Kandidaten werden häufig auch Bildschirminhalte, Eingabedaten (z.B. Tastatur- und Mausbewegungen) und Ausweisdaten (z.B. durch Vorzeigen eines Ausweises vor der Kamera) erfasst. Einige Proctoring-Tools greifen tief ins System ein: Sie können den Browser-Verlauf auslesen, Einstellungen am Gerät verändern oder laufende Programme überwachen. Solche Funktionen ähneln ermöglichen Einblicke in sehr persönliche Bereiche (z.B. Wohnungseinrichtung, private Dateien).

Aus Datenschutz-Perspektive sind dies erhebliche Eingriffe in die Privatsphäre und das Recht auf informationelle Selbstbestimmung. Es besteht die Gefahr, dass sogar sensible Daten im Sinne von Art. 9 DSGVO erfasst werden; etwa biometrische Daten (Gesichtsmerkmale, Augenbewegungen zur Identitätsprüfung) oder Details aus der häuslichen Umgebung, die auf ethnische Herkunft, Religion oder Gesundheit schließen lassen. Ein solcher Eingriff gilt datenschutzrechtlich als hochriskant für die Rechte der Betroffenen und kann eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich machen.

Zudem gerät die Freiwilligkeit der Teilnahme unter Druck: Bewerber befinden sich in ihrem privaten Wohnraum und können der Überwachung kaum entgehen, wenn sie am Auswahlverfahren teilnehmen wollen. Diese Situation wirft zentrale Fragen nach der Zulässigkeit und der Rechtsgrundlage der Datenverarbeitung auf.

Für die Verarbeitung personenbezogener Daten im Bewerbungsverfahren kommen grundsätzlich mehrere Rechtsgrundlagen der DSGVO in Betracht. Im Folgenden wird aufgeführt, welche Normen für den Einsatz von Proctoring einschlägig sind und welche Fallstricke dabei bestehen.

Vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b DSGVO)

Man könnte überlegen, ob die Proctoring-Überwachung als notwendiger Teil des Bewerbungsprozesses auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann (Datenverarbeitung zur Vertragsanbahnung bzw. für vorvertragliche Maßnahmen). Zwar zählt ein Einstellungstest grundsätzlich zum vorvertraglichen Bereich. Jedoch ist die digitale Überwachung dieses Tests nicht „erforderlich“ im engeren Sinne, um das Bewerbungsverfahren durchzuführen. Der Zweck, nämlich die Eignung der Bewerber festzustellen, ließe sich auch ohne Videoaufsicht erreichen. Zum Beispiel durch einen unbeaufsichtigten Test (mit Restrisiko von Täuschungen) oder durch einen Präsenztest vor Ort. Proctoring ist eine optionale organisatorische Maßnahme und nicht unverzichtbarer Bestandteil des Auswahlverfahrens. Somit scheidet Art. 6 Abs. 1 lit. b DSGVO im Regelfall als Rechtsgrundlage aus.

Diese Auffassung deckt sich mit datenschutzrechtlichen Einschätzungen, wonach zwar das Bewerbungsverfahren an sich unter Art. 6 lit. b fallen kann, nicht jedoch begleitende Überwachungsmaßnahmen, die nur der Kontrolle der Prüfung dienen.

Berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO)

Eine weitere Möglichkeit ist die Berufung auf das berechtigte Interesse des Verantwortlichen (des Unternehmens) nach Art. 6 Abs. 1 lit. f DSGVO. Das Unternehmen hat zweifellos ein legitimes Interesse daran, Chancengleichheit und Fairness im Test sicherzustellen und Betrug zu verhindern. Dieses Interesse wurde auch von Gerichten als wichtiger Zweck anerkannt, beispielsweise um die Gleichbehandlung der Prüflinge und die Integrität von Prüfungsergebnissen zu gewährleisten. So hielt das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen (Beschluss v. 4.3.2021 – 14 B 278/21) die Videoüberwachung von Online-Prüfungen im Studium für zulässig, um Täuschungen zu vermeiden. Es sah darin sogar eine Maßnahme im öffentlichen Interesse. Das OVG Schleswig-Holstein (Beschluss vom 3.3.2021 – 3 MR 7/21) bewertete die Videoaufsicht ebenfalls als verhältnismäßig und geeignet, da keine milderen Mittel ersichtlich seien.

Dennoch ist Vorsicht geboten. Bei Art. 6 lit. f DSGVO muss eine Interessenabwägung erfolgen. Dem Interesse des Unternehmens stehen die Grundrechte der Bewerber entgegen, insbesondere das Recht auf Privatsphäre und informationelle Selbstbestimmung. Die Eingriffsintensität durch Proctoring ist hoch: Bewerber werden in ihrem Zuhause beobachtet, eventuell sogar aufgezeichnet. Dieses Ungleichgewicht wirkt sich negativ auf die Abwägung aus. Anders als Hochschulen (die hoheitlich mit öffentlichem Bildungsauftrag handeln) können private Arbeitgeber nur schwer ein überwiegendes Interesse geltend machen, das die starken Persönlichkeitsrechte der Betroffenen übertrifft. Zudem existieren meist Alternativen (Präsenzprüfung), wodurch sich die Erforderlichkeit der Maßnahme relativiert. In der Praxis warnen Datenschutzbehörden, dass eine Rechtfertigung über Art. 6 Abs. 1 lit. f risikobehaftet ist. Die Abwägung dürfte zugunsten der Bewerber ausfallen, sodass ein Vorgehen allein auf dieser Basis rechtlich angreifbar wäre.

Einwilligung der Bewerber (Art. 6 Abs. 1 lit. a DSGVO)

Bleibt also als wahrscheinlich einzig gangbarer Weg: die Einwilligung der Bewerber nach Art. 6 Abs. 1 lit. a DSGVO. Tatsächlich werben die Proctoring-Anbieter und manche Unternehmen damit, dass die Kandidaten ja freiwillig einwilligen können und damit die Datenverarbeitung legitimieren. Grundsätzlich ist die Einwilligung eine gültige Rechtsgrundlage, wenn sie den Anforderungen der DSGVO entspricht: d.h. wenn sie freiwillig, informiert, spezifisch und ausdrücklich erfolgt. Allerdings stellt gerade die Freiwilligkeit im Bewerbungsprozess den Knackpunkt dar (siehe nächster Abschnitt).

Ohne gültige Einwilligung ist der Proctoring-Einsatz unzulässig. Wie bereits dargestellt, greifen weder Vertragsnotwendigkeit noch berechtigtes Interesse zuverlässige. Ein datenschutzkonformer Einsatz sollte somit darauf fußen, dass die Bewerber vorab aktiv zustimmen und dabei alle relevanten Informationen erhalten (Umfang der Überwachung, Zweck, Dauer, Empfänger, Technik der Software usw.). Transparenz ist hier unerlässlich: Die Kandidaten müssen genau wissen, worauf sie sich einlassen, inklusive etwaiger automatisierter Auswertungen durch KI-Algorithmen. Letzteres ist jedoch schwierig, da die Funktionsweise proprietärer Proctoring-Algorithmen oft undurchsichtig ist. Trotzdem fordert z.B. der Berliner Datenschutzbeauftragte, dass auch die Kriterien der automatisierten Auswertung offengelegt werden.

Quelle: Jahresbericht 2022 des Berliner Datenschutzbeauftragten

Freiwilligkeit der Einwilligung und “echte” Wahlmöglichkeit

Die DSGVO stellt hohe Anforderungen an eine freiwillige Einwilligung, insbesondere wenn ein Machtungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Erwägungsgrund 43 DSGVO betont, dass in Situationen mit einem klaren Ungleichgewicht, z.B. Behörde gegenüber Bürger oder auch Arbeitgeber gegenüber Bewerber, eine Einwilligung in der Regel nicht als freiwillig angesehen werden kann.

Für Proctoring bedeutet das: Bewerber müssen eine echte Wahl haben, ob sie an einem überwachten Online-Test teilnehmen oder nicht, ohne dass dies negative Konsequenzen nach sich zieht. Die Aufsichtsbehörden empfehlen ausdrücklich, alternative Testmöglichkeiten anzubieten. Konkret kann dies bedeuten, den Kandidaten eine Präsenzprüfung vor Ort als gleichwertige Option zu ermöglichen, etwa im Unternehmen oder in einem Assessment-Center. Nur wenn eine gleichwertige Alternative besteht, kann von einer freiwilligen Entscheidung gesprochen werden.

Keine echte Wahl liegt hingegen vor, wenn die Einwilligung zwar formell verweigert werden kann, dies aber faktisch das Aus für die Bewerbung bedeutet. Auch ein subtiler Druck (z.B. der Hinweis, man “empfehle” die Teilnahme per Proctoring) würde die Freiwilligkeit ausschließen. Dazu auch die Entscheidung des Thüringer Oberlandesgerichts vom 17.11.2025 (Az.: 3 U 885/24): Verarbeitung biometrischer Daten, die etwa zur Gesichtserkennung und damit zur Identifizierung der Prüflinge dienen, verstößt gegen Artikel 9 DSGVO, wenn keine echte Wahlmöglichkeit besteht.

Fazit an diesem Punkt: Eine datenschutzkonforme Einwilligung im Bewerbungsverfahren ist möglich, aber nur unter strikter Wahrung der Freiwilligkeit. Dies erzwingt in der Praxis, dass der Arbeitgeber einen gleichwertigen alternativen Weg für das Auswahlverfahren anbietet. Nur dann kann die Zustimmung der Kandidaten als wirksame Einwilligung gewertet werden, die eine Datenverarbeitung rechtfertigt.

Praxisorientierte Handlungsempfehlungen

Im Folgenden finden Sie einige praxisorientierte Maßnahmen, um die Datenschutzkonformität beim Proctoring sicherzustellen:

  • Alternative zum Proctoring anbieten: Schaffen Sie eine echte Wahlmöglichkeit. Zum Beispiel kann parallel ein Präsenztest unter Aufsicht vor Ort oder in einem Assessment-Center angeboten werden. Kommunizieren Sie klar, dass eine Ablehnung des Online-Proctorings ohne negative Konsequenzen bleibt.

  • Einwilligung informiert einholen: Holen Sie vor dem Test eine ausdrückliche Einwilligung der Bewerberinnen ein (am besten schriftlich oder elektronisch protokolliert). Stellen Sie sicher, dass alle Informationen verständlich bereitgestellt werden: Welche Daten werden erhoben (Video, Audio, Screenshots, Ausweisbilder, etc.), zu welchem Zweck, wer empfängt die Daten (z.B. ein Proctoring-Dienstleister als Auftragsverarbeiter), Speicherdauer und Rechte der Bewerber. Weisen Sie auf das Widerrufsrecht hin. Die Kandidatinnen sollen genau wissen, worin sie einwilligen.

  • Datenminimierung und Begrenzung der Überwachung: Nutzen Sie die mildesten Mittel, um den Zweck (Schutz vor Betrug) zu erreichen. Beispielsweise könnte man anstelle einer Vollaufzeichnung ein Live-Proctoring ohne permanente Speicherung durchführen. Einige Gerichte hielten es für ausreichend, Aufzeichnungen nur im Bedarfsfall (bei Auffälligkeiten oder auf Verlangen zur Beweissicherung) zu speichern. Verzichten Sie auf invasive Funktionen der Software, die über die Kamerabeobachtung hinausgehen, wie etwa das Durchsuchen des gesamten Computers oder die automatisierte Gesichtserkennung, sofern diese nicht unbedingt erforderlich ist. Jede zusätzliche Funktion erhöht den Eingriff und erschwert die Rechtfertigung. Room-Scan-Funktionen sollten sehr zurückhaltend eingesetzt werden. Bewerber sollte es gestattet sein, ihren Hintergrund neutral zu halten (z.B. virtueller Hintergrund oder leerer Raum).

  • Technische und organisatorische Schutzmaßnahmen: Schließen Sie mit dem Proctoring-Anbieter unbedingt einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ab, der unter anderem Vertraulichkeit, Datensicherheit, strikte Zweckbindung und Löschung regelt. Prüfen Sie die Datenspeicherung: Die Aufnahmen/Protokolle sollten nur so lange wie nötig aufbewahrt werden (idealerweise automatische Löschung kurz nach Abschluss des Verfahrens, sofern kein Betrugsverdacht vorliegt). Wenn der Dienstleister außerhalb der EU sitzt (z.B. in den USA), sind zusätzliche Maßnahmen erforderlich.

KI-Auswahl und Datenschutz-Folgenabschätzung

  • Keine automatisierten Einzelentscheidungen: Sie dürfen sich nicht ausschließlich auf eine KI-Auswertung des Proctoring-Tools verlassen, um Bewerber auszusortieren. Wenn die Software bei Verdacht auf Täuschung einen Kandidaten automatisch „durchfallen“ lässt, verstößt dies gegen das Verbot automatisierter Entscheidungen (Art. 22 DSGVO). Besser ist es, verdächtige Ergebnisse manuell zu überprüfen und im Einzelfall mit menschlichem Ermessen zu entscheiden. So bleibt der Prozess für die Bewerber transparenter und rechtskonform.

  • VVT anlegen: Dokumentieren Sie den gesamten Vorgang im Verzeichnis der Verarbeitungstätigkeiten.

  • Schwellwertanalyse und DSFA: Führen Sie außerdem eine Schwellwertanalyse durch um zu klären, ob der Proctoring-Einsatz in Ihrem Unternehmen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Bewerber mit sich bringt. Ist dies der Fall, ist eine Datenschutz-Folgenabschätzung notwendig.


Lese-Tipp: Was ist eine Schwellwertanalyse und wann ist sie Pflicht?

Sie planen, Proctoring im Bewerbungsverfahren einzusetzen, oder nutzen bereits digitale Auswahltests? Dann sollten Sie jetzt handeln. Die rechtlichen Anforderungen sind hoch und Risiken bei Fehlern ebenso.

Ailance unterstützt Sie dabei, Proctoring-Lösungen DSGVO-konform, praxisnah und rechtssicher einzusetzen. Mit unserer Datenschutz- und Compliance-Plattform schaffen Sie Transparenz über Rechtsgrundlagen, Einwilligungen, Auftragsverarbeiter, Speicherfristen und Risiken. Eine Schwellwertanalyse und eine strukturierte Vorbereitung auf eine Datenschutz-Folgenabschätzung sind ebenfalls enthalten.

Gerne begleiten wir Sie auch als externer Datenschutzbeauftragter (externer DSB):

  • rechtliche Bewertung Ihres Proctoring-Setups
  • Prüfung der Einwilligungsprozesse und Alternativangebote
  • Unterstützung bei VVT, Schwellwertanalyse und DSFA
  • praxisnahe Empfehlungen, die auch im Bewerbungsalltag funktionieren


Machen Sie Datenschutz zum Wettbewerbsvorteil im Recruiting. Sprechen Sie mit uns über Ailance und unsere Leistungen als externer DSB. Wir unterstützen Sie dabei, Innovation und Datenschutz sicher zu vereinen.

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge