Die europäische Datenschutz-Grundverordnung (DSGVO, https://gdprinfo.eu/) trat im Jahr 2018 in Kraft. Sie regelt die Verarbeitung personenbezogener Daten in der Europäischen Union. Ziel der DSGVO ist es, die Grundrechte natürlicher Personen vor Firmen und Unternehmen zu schützen. Dabei ist jeder Datenverarbeiter (jede Organisation) grundsätzlich als Angreifer und jede natürliche Person, von der Daten verarbeitet werden, als betroffen zu betrachten.
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, die DSGVO regelt aber Ausnahmen, in denen die Datenverarbeitung durch Organisationen erlaubt ist – so genannte Rechtsgrundlagen für die Verarbeitung.
Wer personenbezogene Daten verarbeitet, muss demnach immer begründen können, warum die Daten verarbeitet werden. Vor allem Datenverarbeitende, die mit der Erhebung, Bearbeitung und Analyse von Daten Geld verdienen, greifen oft zu kreativen Gründen, die ihre Datenverarbeitung rechtfertigen. Aber auch Datenverarbeitende, die keine wirtschaftlichen Interessen verfolgen, müssen den Schutz personenbezogener Daten beachten und die Datenverarbeitung transparent und nachvollziehbar machen.
Schulen unterliegen als öffentliche Einrichtungen besonderen Anforderungen, was die Rechtsgrundlage für die Verarbeitung personenbezogener Daten angeht. Sie können sich in den meisten Fällen die Verarbeitung personenbezogener Daten somit nicht über eine Einverständniserklärung legitimieren lassen. Einverständniserklärungen können zum einen jederzeit zurückgezogen werden und sind darüberhinaus nur zulässig, wenn das Einverständnis freiwillig gegeben wird (Art. 7 DSGVO, https://gdpr.eu/article-7-how-to-get-consent-to-collect-personal-data/). Kinder und Jugendliche haben keine freie Wahl, da sie in der Regel der Schulpflicht unterstehen und sich zusätzlich in einem Abhängigkeitsverhältnis gegenüber der Schule befinden. Eine Rechtsgrundlage für den Einsatz datenverarbeitender Systeme an Schulen kann deswegen nur über eine Legitimation über das Schulgesetz erfolgen.