FAQs zum Datenschutz in der Kindertagesbetreuung
Personenbezogene Daten
Kitas nehmen mit der Aufnahme des Kindes personenbezogene Daten auf.
Alle Daten, die Informationen über eine bestimmte oder zumindest identifizierbare Person geben.
Es dürfen ausschließlich solche personenbezogenen Daten verarbeitet werden, die für die Durchführung des Vertrages, der zwischen der Betreuungseinrichtung bzw. deren Träger und den Eltern/Sorgeberechtigten des Kindes abgeschlossen wurde, erforderlich sind. Rechtsgrundlage für die Verarbeitung dieser Daten ist die Erforderlichkeit für eine Vertragserfüllung, Art. 6 Abs. 1 Buchstabe b Datenschutz-Grundverordnung (DSGVO). Darüber hinaus können sich Rechtsgrundlagen für die Verarbeitung aus gesetzlichen Verpflichtungen ergeben, z.B. die Erfüllung des gesetzlichen Förderungsauftrags, der u.a. auch den Bildungsauftrag umfasst (§ 22 SGB VIII). Allerdings muss auch hier stets sachlich begründet werden können, dass die Verarbeitung personenbezogener Daten (z.B. die Anfertigung von Fotoaufnahmen für die Dokumentation der Entwicklung des Kindes) für die Aufgabenerfüllung erforderlich ist.
Für alle anderen personenbezogenen Daten, also in den Fällen, in denen eine Erforderlichkeit nicht begründet werden kann, müssen Einwilligungen der betroffenen Personen (die Personen, deren Daten verarbeitet werden bzw. deren Sorgeberechtigte, in der Regel deren Eltern) eingeholt und nachgewiesen werden können. Dies betrifft zum Beispiel die Anfertigung von Foto- und Filmaufnahmen auf Ausflügen, bei Veranstaltungen, zum Abschluss der Kita-Phase.
Besonders schützenswerte Daten sind solche Daten, die zu den besonderen Kategorien nach Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) gehören. Diese Regelung enthält eine abschließende Aufzählung, u.a. Gesundheitsdaten, Religionszugehörigkeit und ethnische Herkunft. Diese Daten erfordern ein höheres Schutzniveau als andere personenbezogenen Daten. Das bedeutet, dass die zum Schutz angewandten technischen und organisatorischen Maßnahmen ggf. andere sein müssen, z.B. eine höhere Sicherung bei der Aufbewahrung oder Speicherung, ein eingeschränkterer Zugang von Mitarbeitern/Mitarbeiterinnen zu den Daten.
Allgemein gilt, personenbezogene Daten müssen angemessen vor unbefugtem Zugriff und Beschädigung/Vernichtung geschützt werden. Dies gilt auch im Rahmen der Aufbewahrung bzw. Speicherung. Die Frage, was angemessen ist, richtet sich stets nach der Qualität bzw. Sensibilität der Daten (s. hierzu auch die Antwort zur Frage oben). Werden personenbezogene Daten für den Verarbeitungszweck, für den sie erhoben wurden, z.B. für die Durchführung eines Betreuungsvertrages, nicht mehr benötigt, so sind sie zu löschen bzw. zu vernichten.
Hinweis: Das (Kita)Datenverarbeitungssystem ist vor externen Angriffen (Hackerangriffen) zu schützen, damit nicht Unbefugte Zugang zu diesen Daten erhalten oder Daten gelöscht oder verfälscht werden können.
Personenbezogene Daten dürfen immer nur so lange aufbewahrt bzw. gespeichert werden, so lange sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Eine Weiterverarbeitung für einen anderen Zweck ist grundsätzlich nicht zulässig. Werden also personenbezogene Daten für den Verarbeitungszweck, für den sie erhoben wurden, z.B. für die Durchführung eines Betreuungsvertrages, nicht mehr benötigt, so sind sie zu löschen bzw. zu vernichten.
Hinweis: Empfehlenswert ist ein Löschkonzept, in dem festgelegt ist, welche Daten wann zu löschen/vernichten sind. Dies kann die konsequente Umsetzung sehr erleichtern und helfen, den Überblick zu bewahren.
Datenschutzrechtliche Informationspflichten haben solche Stellen, die für die Verarbeitung personenbezogener Daten sog. Verantwortliche im Sinne der DSGVO sind. Sie sind in Art. 12 ff DSGVO geregelt. Die Informationspflichten beruhen auf dem Grundsatz der Transparenz. Danach sind die Personen, deren Daten verarbeitet werden (betroffene Personen), spätestens zum Zeitpunkt der Erhebung darüber zu informieren, wer welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Darüber hinaus sind betroffene Personen über ihre Rechte zu informieren. Die Informationen sind so zu formulieren, dass sie von den betroffenen Personen auch verstanden werden können (also nicht in einer Fachsprache, die nur von fachlich geschulten Personen erfasst werden kann) und sie sind in einer Weise zu übermitteln, dass der Erhalt der Information bei der betroffenen Person sichergestellt ist (also kein Aushang an einem Ort, der gewöhnlich nicht von den Adressaten aufgesucht wird). Art. 13 DSGVO enthält eine Auflistung aller Informationen, die betroffenen Personen zur Verfügung gestellt werden müssen, u.a. Name und Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung, Empfänger der personenbezogenen Daten, Dauer der Speicherung/Aufbewahrung.
Foto- und Filmaufnahmen in der Kita
Vielfach dürfte die Anfertigung von Foto- und Filmaufnahmen für die Durchführung des Betreuungsvertrages nicht erforderlich sein. In diesen Fällen müssen vor deren Anfertigung die Einwilligung der betroffenen Person (bei Kindern eine Einwilligung ihrer Eltern bzw. der Personensorgeberechtigten, bei Fachkräften die Einwilligung der Fachkräfte persönlich) eingeholt werden. Hinweis: Verantwortliche müssen nachweisen können, dass eine Einwilligung vorgelegen hat. Deshalb sollte diese stets schriftlich oder in Textform eingeholt werden.
Laut der DSGVO ist eine Einwilligung eine freiwillig und unmissverständlich abgegebene Willensbekundung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Informationen einverstanden ist. Danach gilt es sorgfältig darauf zu achten, dass kein Zwang zu der Abgabe einer Einwilligung ausgeübt wird, auch nicht mittelbar. Daraus folgt, dass betroffene Personen keine Nachteile haben werden, wenn sie ihre Einwilligung nicht erteilen wollen. Der Einwilligungstext muss eine Formulierung enthalten, aus der eindeutig hervorgeht, auf welche personenbezogenen Daten und auf welchen Zweck der Verarbeitung, ggf. auch auf welchen Zeitraum sich die Einwilligung bezieht.
Mobiles Arbeiten von Mitarbeitenden/Fachkräften
Die datenschutzrechtlichen Bestimmungen regeln kein entsprechendes Verbot. Allerdings besteht bei der Nutzung privater Endgeräte stets ein Sicherheitsrisiko für den Verantwortlichen, weil er die Qualität der Sicherheitsmaßnahmen, die dort angewendet werden, nicht genau kennt. Erfolgen Datenschutzverletzungen im Rahmen der Nutzung von privaten Endgeräten, kann dies im Rahmen der Haftung Konsequenzen für den Verantwortlichen haben, da angemessene technische und organisatorische Maßnahmen hier nicht umgesetzt wurden. Vor diesem Hintergrund ist die Nutzung privater Endgeräte für die Verarbeitung personenbezogener Daten im beruflichen Kontext nicht zu empfehlen.
Die Nutzung von Anbietern, bei denen die Speicherung von Daten außerhalb der EU erfolgt und zudem wenig Transparenz besteht, was genau wie lange und wofür gespeichert wird, ist grundsätzlich nicht zu empfehlen, insbesondere nicht für die Verarbeitung personenbezogener Daten von Kindern.
Mobiles Arbeiten sollte nach Möglichkeit keine Arbeit mit personenbezogenen Daten umfassen. Ist dies jedoch unvermeidbar, sollte folgende Orientierung helfen: Je sensibler die Daten sind, umso weniger ist die Arbeit geeignet, in den eigenen vier Wänden oder an öffentlichen Orten verarbeitet zu werden. Selbstverständlich ist stets sicherzustellen, dass angemessene Schutzmaßnahmen konsequent angewendet werden (z.B. keine Einsicht durch Dritte auf den Bildschirm, kennwortgeschützter Zugang). Die Erarbeitung von Konzepten für den Kita-Alltag dürfte danach kein Problem für die Arbeit zu Hause sein, die Bearbeitung von Vorgängen zu den betreuten Kindern oder von Personalakten dagegen schon.
Videokonferenzen
Besonders sensibel sollte die Nutzung von Videokonferenzen gehandhabt werden. Für die Durchführung von Videokonferenzen bedarf es, neben der Hardware, auch geeigneter Software, die häufig von externen Anbietern bereitgestellt wird. Weder von Beschäftigten, noch von den einzelnen Familien kann verlangt werden, dass beides privat vorgehalten wird und/oder genutzt werden soll. Ein Austausch hat zudem stets datenschutzrechtliche Relevanz, indem sowohl Bilder als auch die Gesprächsinhalte übermittelt werden, sodass eine Teilnahme an Videokonferenzen, bei denen private Endgeräte und/oder die Software eines externen Anbieters genutzt werden soll, stets die freiwillige Teilnahme erfordern. Vor diesem Hintergrund wird empfohlen, auf diese Form der Kommunikation nur in besonders begründeten Ausnahmefällen zurückzugreifen und keine sensiblen Themen auf diesem Wege zu besprechen.
Bei der Auswahl entsprechender Tools sollten Anbieter und Speicherung der Daten ausschließlich in einem Mitgliedstaat der EU erfolgen. Darüber hinaus ist ein weiteres Kriterium die Transparenz des Anbieters: Sind die Informationen zum Schutz der Daten und zur Datensicherheit verständlich, umfassend und geeignet? Wird eine Vereinbarung zur Auftragsverarbeitung bereitgestellt und wenn ja, sind die darin getroffenen Regelungen nicht nur einseitig zugunsten des Anbieters, sondern werden die Rechte und Pflichten ausgewogen und angemessen auf beide Parteien verteilt?
Beobachtungs- und Dokumentationsunterlagen der kindlichen Entwicklung (z.B. Lernentwicklungstagebücher oder Portfolios)
Unterlagen, die angefertigt werden, um die (geistige und körperliche) Entwicklung des Kindes zu dokumentieren sind Gesundheitsdaten. Ebenso wie Krankmeldungen, Impfbelege, Informationen über konkrete Erkrankungen sind dies Gesundheitsdaten, die besonders schützenswert sind. Sie benötigen einen besonders gesicherten Zugang bzw. Aufbewahrung, z.B. in abschließbaren und nicht leicht aufzubrechenden Behältnissen, gesicherter Zugang bei digitaler Speicherung.
Eltern bzw. die Personensorgeberechtigten haben jederzeit das Recht, Auskunft über die von ihrem Kind verarbeiteten personenbezogenen Daten zu verlangen. Dazu gehören z.B. auch die personenbezogenen Daten, die in Beobachtungs- und Dokumentationsunterlagen ihres Kindes enthalten sind.
Allgemein
Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt innerhalb der EU die Verarbeitung personenbezogener Daten. Sie ist in den Mitgliedstasten der EU unmittelbar geltendes Recht, darüber hinaus enthalten das Bundesdatenschutzgesetz, die Datenschutzgesetze der Länder sowie zahlreiche Spezialgesetze datenschutzrechtliche Bestimmungen, z.B. das Achte Buch Sozialgesetzbuch (SGB VIII).
Beim Träger der Einrichtung wie auch bei der zuständigen Landesbehörde, bei den zuständigen Aufsichtsbehörden für den Datenschutz der Länder.
Manche Einrichtungen bzw. Träger haben bereits eine für den Datenschutz beauftragte Person eingesetzt. Sonst sollte Kontakt über die zuständige Landesbehörde aufgenommen werden. Auch kann seitens der Träger Beratung bei den zuständigen Aufsichtsbehörden der Länder in Anspruch genommen werden.
Datenschutzrechtlich verantwortlich ist die Stelle, die Zweck und Mittel der Verarbeitung personenbezogener Daten festgelegt hat. Das ist bei Kitas in der Regel der Träger der Betreuungseinrichtung bzw. der Arbeitgeber der Beschäftigten, mithin die Organisation, die Vertragspartner im Rahmen der Betreuungsverträge bzw. der Arbeitsverträge ist.
Datenschutzverletzungen sind binnen 72 Stunden seit Kenntnis der zuständigen Aufsichtsbehörde des Landes zu melden, soweit mit einer Verletzung von Persönlichkeitsrechten betroffener Personen zu rechnen ist. In diesem Fall wird empfohlen, dem Verantwortlichen (z.B. dem Träger der Einrichtung) so zeitnah wie möglich eine Mitteilung zu machen, dieser meldet den Sachverhalt der zuständigen Landesaufsichtsbehörde.