Datenschutz in Kindergarten und Kita - Wissenswertes

Was ist die DSGVO?

* europaweite Datenschutzverordnung * Grundrecht auf informationelle Selbstbestimmung im Fokus *

Bei der DSGVO handelt es sich um eine Datenschutzgrundverordnung, die seit dem 25. Mai 2018 bindend für alle EU-Staaten gilt. Vor Inkrafttreten der aktuellen Regelung gab es europaweit lediglich nationale Lösungen. Nun gelten die Bestimmungen der DSGVO für alle Mitgliedsstaaten der Europäischen Union.
Kernpunkt der Verordnung ist das Grundrecht auf informationelle Selbstbestimmung.
Das heißt, dass jede Person ein Recht auf das Wissen hat, wie ihre personenbezogenen Daten verarbeitet und verwendet werden.

Was hat sich durch die DSGVO geändert?

* Pflicht zur Aufklärung, was mit Daten passiert * Transparenz *

Zu zitieren ist hier Dr. Sebastian Ertel, Rechtsanwalt und zertifizierter Datenschutzbeauftragter: „In der Frage, was man tatsächlich darf und was nicht, hat sich relativ wenig verändert. Mit anderen Worten: Was vor der neuen Gesetzeslage rechtswidrig war, das ist immer noch rechtswidrig, und was bisher rechtmäßig war, das ist immer noch rechtmäßig. (…) Was sich aber geändert hat: die Datenverarbeitung muss jetzt viel transparenter sein. Die Personen, deren Daten verarbeitet werden, müssen informiert werden, was damit passiert“.
Kurz gesagt, die Betroffenenrechte wurden gestärkt.

Sind Kitas und Kindergärten auch von der DSGVO betroffen?

* Fokus auf dem Schutz von Kindern * Bei Aufnahme des Kindes Daten abfragen * Aufklären, was mit Daten passiert * Notwendige Einwilligungen einholen *

Ja, denn ein wesentlicher Aspekt der DSGVO ist, dass Kinder in der Verordnung einen besonderen Schutz genießen, da sie sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Und auch das besondere Vertrauensverhältnis zwischen Kita, Kindergarten und Familien birgt eine Reihe von Fragen hinsichtlich des Datenschutzes, da detaillierte Informationen zu den familiären Umständen für eine Gruppe von Menschen zugänglich sind.
Die Erhebung von Daten ist allerdings notwendig, um das jeweilige Kind in die Einrichtung aufzunehmen.

Personenbezogene Daten, die bei der Aufnahme grundsätzlich erhoben werden:

• Name, Geburtstag und Anschrift des Kindes,
• Datum der (noch) bedeutsamen Tetanusimpfung,
• Arzt des Kindes (Name, Anschrift, Telefonnummer),
• Name, Anschrift und Telefonnummern der Sorgeberechtigten,
• Kontaktdaten von weiteren Personen (per Unterschrift zu bestätigen)
• Name und Geburtstag der Geschwister (falls Gebühr von deren Anzahl und Alter abhängt)
• Krankheiten, die während des Kita-Betriebs zu Notfällen führen können (z. B. Asthma, Diabetes oder epileptische Anfälle)

Was sind personenbezogene Daten?

Hierbei handelt es sich um Informationen, aus denen man eine Person eindeutig identifizieren kann. Im Fall von Kindergärten und Kindertageseinrichtungen handelt es sich nicht nur um Name und Anschrift der Angestellten und Kinder, sondern auch um Informationen aus der Bildungs- und Lerndokumentation und Fotos.

Was sind BESONDERE personenbezogene Daten?

In diesem Fall geht es per gesetzlicher Definition um Daten, aus denen die Herkunft, religiöse Überzeugung, biometrische oder genetische Daten hervorgehen, mit deren Hilfe man eine Person identifizieren kann.

Diese Daten dürfen nur nach besonderer Prüfung und Einwilligung erhoben und gespeichert werden. Es ist außerdem zu begründen, weshalb diese Daten überhaupt benötigt werden.

Was bedeutet Verarbeitung?

Laut Art. 4 Abs. 2 der DSGVO, handelt es sich bei der Verarbeitung von Daten um das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung (…) mit oder ohne automatisierte Verfahren.

An wen wende ich mich bei Fragen?

* Datenschutzbeauftragten Ihres Trägers * Landesbeauftragten für Datenschutz *

Bei Fragen zur optimalen Gestaltung möglicher Einwilligungsformulare wenden Sie sich an Ihren Träger (sofern vorhanden).

Bei allgemeinen Fragen wenden Sie sich an: den Landesbeauftragten für Datenschutz und die Informationsfreiheit (LfDI)

Wann und wie darf ich überhaupt Daten erheben?

* Betroffene Person muss informiert sein * Person muss einwilligen *

Grundsätzlich gilt hier: je transparenter Sie mit dem Thema Daten umgehen, desto einfacher ist das Erheben und Verarbeiten von Informationen.
Informieren Sie die Eltern über den Sinn und Zweck der Datenerhebung. Holen Sie sich konkrete Einwilligungen von den betroffenen Personen ein. Diese muss vorher über die Auswirkungen und den Umfang ihrer Einwilligung informiert worden sein, um sich für die Erhebung der Daten zu entscheiden. Es gilt hier das Prinzip der Informiertheit und der Freiwilligkeit.

Erzieherinnen und Erzieher benötigen Entwicklungsportfolios, um ihrem Bildungs- und Erziehungsauftrag nachzukommen. Auch das Sammeln und Verarbeiten der Informationen aus dem Portfolio muss von den Sorgeberechtigten erlaubt werden.

Alle Personen, die mit personenbezogenen Daten zu tun haben, müssen schriftlich verpflichtet werden, das Datengeheimnis zu wahren – betroffen davon sind auch Praktikanten, Hospitanten und Eltern, die z. B. während der Eingewöhnung im laufenden Betrieb anwesend sind. Diese Verpflichtung gilt auch nach Beendigung der Tätigkeit oder des Aufenthaltes weiter.

Bildungs- und Lerndokumentation und Datenschutz

* Portfolio gehört zu personenbezogenen Daten * Vorbereitung der pädagogischen Arbeit gehört nicht dazu * 

Teilen Sie den Eltern im Aufnahmegespräch mit, dass in Ihrer Einrichtung die Portfolioarbeit zur Dokumentation der Entwicklung gehört. Wichtig ist auch hier das Prinzip der Informiertheit und der Freiwilligkeit.
Die Sorgeberechtigten stimmen zu, dass ein Bildungs- oder Lerndokumentation über das Kind geführt wird. Diese Einwilligung kann jederzeit widerrufen werden. Im Gespräch legen Sie gemeinsam mit den Eltern fest, dass diese Einsichtsrecht in die Dokumentation haben.

Beachten Sie: Die vorbereitenden Tätigkeiten für die pädagogische Arbeit – also Vorbereitungen für Ausflüge, Aktivitäten, Bastelarbeiten, Rollenspiele etc. – gehören nicht zu den Unterlagen, in die Einsichtsrecht besteht, ebenso wie persönliche Notizen der Erzieherin. Allerdings sollten auch diese Unterlagen vor dem Zugriff Dritter geschützt werden.

Darf ich weiterhin Fotos machen?

* Fotos nur mit Einwilligung veröffentlichen * vermeiden Sie Zusammenbringen von Namen und Foto *

Ja, aber die Frage, ob man weiterhin Bilder – und hier vor allem Gruppenbilder – der Kinder in der Einrichtung machen darf, beschäftigt bis heute Träger, Erzieher, Kita-Leitungen und immer wieder die ein oder andere Nachrichtenredaktion :)

Wie bei fast allen Punkten gilt auch bei Fotografien: Sie dürfen nur mit Einwilligung der Sorgeberechtigten gemacht werden.

Lassen Sie sich diese Einwilligung mittels eines rechtskonformen Formulars bestätigen. Passende Vorlagen für diese Formulare finden Sie unter anderem auf den Seiten des Ministeriums für Kultus, Jugend und Sport Baden-Württemberg

Sollte ein Fotograf in die Einrichtung kommen, wie es in vielen Fällen zum Jahresablauf gehört, sind die Eltern vorher zu informieren. Die Sorgeberechtigten geben ihre Einwilligung zum Fotografieren und die Erzieherinnen achten darauf, dass auch nur die Kinder fotografiert werden, bei denen die entsprechende Erlaubnis vorliegt.

Ein generelles Foto-Verbot im Rahmen von Veranstaltungen, wie Sommerfest oder Weihnachtsmarkt ist keine Lösung. Die Aufnahme an sich stellt hier weniger das Problem dar. Die Veranstaltung steht bei diesen Aufnahmen im Vordergrund. Weisen Sie allerdings z. B. in einem Elternbrief oder im Rahmen der Veranstaltung darauf hin, dass Fotos nicht ohne die Erlaubnis der fotografierten Personen ins Netz gestellt werden dürfen. Die Veröffentlichung von Bildern ohne die Zustimmung der abgebildeten Personen stehen nicht im Einklang mit den aktuellen Richtlinien des Datenschutzes. Alternativ können Sie natürlich auch darum bitten, während der Veranstaltung nicht zu fotografieren – Sie haben das Hausrecht.

Wie lange darf ich personenbezogene Daten aufheben?

* bestimmte Daten sofort löschen * gesetzliche Fristen zur Aufbewahrung spezieller Daten einhalten *

Teil der DSGVO ist das „Recht auf Vergessenwerden“.
Art. 17 Abs. 1 der DSGVO regelt hier wie folgt: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen“

Wenn ein Kind Ihre Einrichtung verlässt sind Sie verpflichtet:

• persönliche Daten unverzüglich zu löschen/zu vernichtenden
• Eltern das Portfolio auszuhändigen
• nur Daten entsprechend der gesetzlichen Fristen aufzuheben, die z.B. wegen Fördermaßnahmen erhoben wurden.

Was tun bei einer Datenpanne?

* spätestens 72 Std. nach Entdecken der Panne LfDI informieren * betroffene Personen unverzüglich informieren *

Sie fragen sich sicherlich, was eine Datenpanne überhaupt ist. Als Datenpanne kann vom Diebstahl einzelner Computer, Akten oder einem Angriff durch Hacker gesprochen werden.
Eine solche Panne muss innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde angezeigt werden. 

Bei der betroffenen Person (also die Person, um deren Daten es geht) sind Sie dazu verpflichtet, die Meldung unverzüglich durchzuführen. „Unverzüglich“ bedeutet, dass Sie die Meldung so schnell wie nur möglich durchführen – jedenfalls ohne schuldhaft zu zögern.