Die Systemanalyse ist eine Methode, die verwendet wird, um komplexe Systeme oder Strukturen zu untersuchen und zu verstehen. Strukturanalysen untersuchen die Eigenschaften eines Systems, einschließlich seiner Elemente, Elementtypen, Komponenten, Beziehungen, Abhängigkeiten, Kopplungen und Eigenschaften. Strukturanalysen können auch verwendet werden, um Probleme zu identifizieren, Verhaltensmuster zu verstehen und um zu beurteilen, wie gut ein bestimmtes System funktioniert. Sie können auch helfen, Probleme zu lösen, die Entwicklung neuer Systeme zu unterstützen und die Leistung bestehender Systeme zu verbessern.

Ohne eine ausdrückliche Befugnis durch eine Rechtsvorschrift (z.B. Art. 85 Abs. 1 S. 1 BayEUG) dürfen personenbezogene Daten nur verarbeitet werden, wenn die betroffene Person wirksam eingewilligt hat (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst a DSGVO).

Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DSGVO definiert:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Eine wirksame Einwilligung muss folgende Voraussetzungen erfüllen (siehe auch Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO):

• sie muss freiwillig sein: die betroffenen Personen müssen eine echte und freie Wahl haben, ihre Zustimmung zu erteilen, ohne dass ein (sozialer) Druck entsteht; bei der Einholung von Einwilligungen für den Unterricht ist die Freiwilligkeit aufgrund der Schulpflicht der Schülerinnen und Schüler kritisch; daher ist sicherzustellen, dass diese keinem faktischen Druck ausgesetzt sind, zuzustimmen; Nichtzustimmende dürfen keine Nachteile haben, insbesondere nicht in eine andere Klasse versetzt oder vom Unterricht ausgeschlossen werden (Beschulungsrecht der Schülerinnen und Schüler)
• sie muss informiert erfolgen; insbesondere müssen betroffene Personen wissen, dass und in welchem Umfang die Einwilligung erteilt wird, wer verantwortlich ist, zu welchem Zweck die Daten verarbeitet werden und bei einer Übermittlung der Daten an Dritte weitere Punkte hierzu;
• sie muss sich auf einen oder mehrere bestimmte Zwecke beziehen (Zweckbindung);
• sie muss sich auf eine bestimmte Verarbeitung beziehen, insbesondere auf alle Schritte der Datenverarbeitung (z.B. nicht nur auf die Erhebung der Daten, sondern auch auf die Veröffentlichung);
• sie muss jederzeit, mit Wirkung für die Zukunft widerrufen werden können (Widerrufsrecht); über die Möglichkeit des Widerrufs ist in der Einwilligung zu informieren;
• aus Gründen der Nachweispflicht der Schule sollte eine Einwilligung nur schriftlich eingeholt werden (vgl. Art. 7 Abs. 1 DSGVO).

Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres muss mindestens eine erziehungsberechtigte Person einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres zusätzlich diese selbst.

Im schulischen Bereich sollte eine Einwilligung der Schülerinnen und Schüler nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat. Dabei haben Schulen stets zu berücksichtigen, dass die Voraussetzungen der vom Gesetzgeber verfassten Rechtsgrundlagen zur Datenverarbeitung (insbesondere Art. 85 Abs. 1 S. 1 BayEUG) nicht beliebig durch die Einholung einer Einwilligung umgangen werden dürfen. Je tiefer der schulische Eingriff in die Rechte der betroffenen Personen ist, desto eher verbietet sich das Einholen einer Einwilligung.

Der Grundsatz der Erforderlichkeit ist einer der zentralen Grundsätze des Datenschutzes.

Nach Art. 85 Abs. 1 S. 1 BayEUG dürfen Schulen die zur Erfüllung ihnen durch Rechtsvorschrift zugewiesenen Aufgaben erforderlichen Daten verarbeiten.  Ob eine Datenverarbeitung zur Aufgabenerfüllung der Schule erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden.

Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz (BaySchFG), dem Bayerischen Beamtengesetz (BayBG), dem Beamtenstatusgesetz (BeamtStG), etc. In den Rechtsvorschriften müssen die zur Verarbeitung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten verarbeitet werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten – das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Verarbeitung zulässig ist und ob seine Verarbeitung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist.

Risikobasiertes Testen ist ein Ansatz für das Testen von Software, bei dem Tests aufgrund der Risiken und möglichen Auswirkungen ausgewählt werden, die die Software auf ihr Geschäft oder ihre Kunden hat. Risikobasierte Tests werden häufig in kritischen Systemen oder in Systemen mit einem hohen Risiko angewendet, da sie sicherstellen, dass die Tests nicht nur die Funktionalität der Software, sondern auch deren Zuverlässigkeit und Sicherheit testen. Dazu werden Risiken identifiziert, die möglicherweise zu Ausfallzeiten, Datenverlust, Sicherheitslücken, Datendiebstahl, unerwünschten Nebenwirkungen und anderen Schäden führen können. Anschließend werden Tests erstellt, die speziell auf

Die DSGVO sieht zwar erhebliche Geldbußen vor. Diese richten sich aber – soweit sie überhaupt auf Schulen anwendbar sind – nicht gegen einzelne Personen, sondern gegen “Verantwortliche”, also die Schule selbst.

Der Elternbeirat, wie ihn das Schulrecht vorsieht ist ein Organ der Schule (Art. 64 ff. BayEUG). „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist damit die Schule, nicht der oder die Elternbeiratsvorsitzende.  Für den gewissenhaften Umgang mit den ihnen anvertrauten Daten sind, wie schon bisher, im Rahmen ihrer Aufgaben die Mitglieder des Elternbeirats verantwortlich.

Von der Arbeit des Elternbeirats zu unterscheiden ist der private Austausch unter Erziehungsberechtigten, auf den die DSGVO keine Anwendung findet.

Die Datenschutz-Grundverordnung (DSGVO) gilt für die Verarbeitung von personenbezogenen Daten (Art. 2 Abs. 1 DSGVO; vgl. auch Art. 2 BayDSG).

Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 Nr. 1 DSGVO)

Personenbezogen sind Daten also nicht nur dann, wenn eine natürliche Person direkt anhand bestimmter Daten (z.B. des Namens) bestimmt werden kann. Es genügt dabei, wenn eine Person indirekt anhand besonderer Merkmale, zum Beispiel Handschrift, Standortdaten oder IP-Adresse identifiziert werden kann. Bei der Feststellung, ob eine Identifizierung möglich ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person zu bestimmen.

Daraus ergibt sich, dass eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) den Personenbezug grundsätzlich nicht entfallen lässt. Bei einer Pseudonymisierung kann der Verantwortliche oder ein beliebiger Dritter die betroffene Person nämlich durch zusätzliche Informationen (z.B. einer Kennnummer) identifizieren. Auch auf pseudonymisierte Daten ist die DSGVO daher grundsätzlich anwendbar.

Anonym sind Daten nur, wenn sie sich auch zusammen mit zusätzlichen Informationen keiner bestimmten Person zuordnen lassen.

Für den Personenbezug ist unbeachtlich, welches Speichermedium verwendet wird (Papier, Festplatte, DVD) und ob das Verfahren automatisiert oder händisch ist.

Beispiele für personenbezogene Daten, die an der Schule verarbeitet werden, finden sich in deren Datenschutzhinweisen (siehe hierzu die Ausführungen unter Datenschutzhinweise im Internetauftritt für Schulen in dieser Handreichung).

(vgl. auch die Muster-Datenschutzhinweise für Schulen).

In der Praxis besteht eine gewisse Unsicherheit bzgl. der Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO).

Wer ist Verantwortlicher?

Der Begriff der Verantwortlichkeit wird, wie viele weitere Begriffe, in Art. 4 DSGVO definiert. Genau genommen findet sich die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO. Verantwortlicher ist demnach die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Hierbei lässt sich schon erkennen, dass sich der Begriff des Verantwortlichen nicht auf eine einzige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezieht. Verantwortlicher im Sinne der DSGVO können auch mehrere Stellen sein, wenn sie gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Damit die Wahrung der bestehenden datenschutzrechtlichen Verpflichtungen auch im Falle einer gemeinsamen Verantwortlichkeit sichergestellt ist, finden sich weitere Regelungen zur gemeinsamen Verantwortlichkeit in Art. 26 DSGVO. Insbesondere haben die gemeinsam Verantwortlichen in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtungen gemäß der DSGVO erfüllt (insbesondere im Hinblick auf die Informationspflichten und die Betroffenenrechte).

Beim Einsatz von Videokonferenzwerkzeugen ist die Freigabe des Videobilds optional. Es besteht keine Verpflichtung, das eigene Videobild zu übertragen.

Die Datenschutz-Grundverordnung (DSGVO)

Abrufbar unter eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:02016R0679-20160504.

Der Datenschutz soll Menschen („natürliche Personen“) davor schützen, dass die Verarbeitung ihrer personenbezogenen Daten ihr Persönlichkeitsrecht unzulässig beeinträchtigt. Dies ist wesentliches Ziel der Datenschutz-Grundverordnung der Europäischen Union (DSGVO).

Die DSGVO gilt als europäische Verordnung in allen Mitgliedstaaten unmittelbar (vgl. Art. 2 Abs. 1 DSGVO). Sie hat Vorrang gegenüber dem nationalen Recht (Bundes- und Landesrecht), das verbleibende Regelungsspielräume insbesondere für Konkretisierungen nutzt. Daher gelten ergänzend zur DSGVO das Bundesdatenschutzgesetz – BDSG und bereichsspezifische Sondervorschriften, z.B. das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG; siehe Ausführungen unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen).

Die Vorschriften der DSGVO sind sowohl bei automatisierten als auch bei nichtautomatisierten Verarbeitungen personenbezogener Daten (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG) anzuwenden. Die Vorschriften gelten also unabhängig vom Speichermedium für personenbezogene Daten, die digital verarbeitet, für personenbezogene Daten, die in Akten, verarbeitet werden.

Für Daten, die nicht digital verarbeitet werden oder in einem Dateisystem gespeichert werden (sollen), gilt die DSGVO ohne die Vorschriften über das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Datenschutzfolgenabschätzung (Art. 35 DSGVO) und die vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

Zur DSGVO siehe insbesondere folgende Begriffe:

Art. 4              Begriffsbestimmungen

Art. 5              Grundsätze der Verarbeitung

Art. 6              Rechtmäßigkeit der Verarbeitung

Art. 24            Verantwortung des Verantwortlichen

Art. 25, 32     technische und organisatorische Maßnahmen zum Datenschutz

Art. 28             Auftragsverarbeiter

Art. 37            Datenschutzbeauftragter

Art. 44 – 49   Übermittlung personenbezogener Daten an Drittländer oder an eine  internationale Organisation

Art. 3              Verantwortlicher

Art. 6              Zweckbindung

Art. 9              Informationspflicht

Art. 10            Auskunftsrecht

Art. 11            Datengeheimnis

Art. 12            Behördliche Datenschutzbeauftragte

Art. 15-16      Landesbeauftragter für den Datenschutz

Art. 24           Videoüberwachung