Datenschutz in Kitas

Das Wichtigste zur DSGVO für ErzieherInnen

Seit dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in aller Munde, welche das in Deutschland bisher geltende Bundesdatenschutzgesetz (BDSG) ergänzt. Nicht nur Unternehmen müssen sich künftig an die verschärften Richtlinien halten, auch Bildungseinrichtungen wie Kitas sind betroffen. Wie Sie für die Datensicherheit der Kinder richtig sorgen können, erfahren Sie hier.

Was ist die DSGVO?

Den Hauptgegenstand der DSGVO bilden die personenbezogenen Daten. Bei jedem entstehenden Vertragsverhältnis werden solche Informationen erhoben und gespeichert. Wird etwa ein neues Kind in der Kita angemeldet, benötigen die ErzieherInnen sowohl Angaben zum Kind als auch zu den Eltern, zum Beispiel den Namen, das Geburtsdatum und die Telefonnummer. Diese personenbezogenen Daten gilt es nach den Richtlinien der DSGVO zu schützen. So dürfen ausschließlich diejenigen Informationen erhoben werden, die unbedingt benötigt sind. Zudem dürfen sie nur so lange gespeichert, wie sie auch gebraucht werden. Verlässt also das Kind die Kita, müssen sämtliche gesammelte Daten zu diesem gelöscht oder gegebenenfalls auch den Eltern ausgehändigt werden. Das gilt nicht nur für digitale Verzeichnisse – gedruckte oder handschriftliche Angaben sind ebenso betroffen.

Wann wird eine Einwilligungserklärung notwendig?

Grundsätzlich gilt, dass vor jeder Datenerhebung eine Einwilligungserklärung des Betroffenen vorliegen muss. Im Kindergartenalter üben die Eltern noch die Rechte ihres Nachwuchses aus, das heißt, mit Unterzeichnen der Einwilligungserklärung stimmen sie auch im Namen des Kindes der jeweiligen Datenerhebung zu.

Da zu den personenbezogenen Daten auch Bild- und Videoaufnahmen einer Person gehören, benötigen die ErzieherInnen somit auch die Erlaubnis der Eltern, Fotos von den Kindern im Kita-Alltag zu schießen. Im Zuge dessen müssen auch der Zweck sowie die Dauer der Speicherung genannt werden. Sollen die Fotos etwa aufgrund einer Portfolio-Arbeit zur Dokumentation des Lernfortschritts oder zur Veröffentlichung auf der Kita-Homepage aufgenommen werden, muss dies in der Einwilligungserklärung aufgeführt sein. Die Eltern haben dabei aufgrund des Koppelungsverbots das Recht, nicht jeder Datenverarbeitung zuzustimmen. Sie müssen die Möglichkeit haben, beispielsweise nur dem Fotografieren für die Portfolio-Arbeit zuzustimmen, ohne gleichzeitig eine Veröffentlichung im Internet zu erlauben.

Da die Daten ohne eine gesonderte Vereinbarung nur bis zur Beendigung des Vertragsverhältnisses aufbewahrt werden dürfen, kann die Einwilligungserklärung auch einen konkreten Zeitraum vorgeben – zum Beispiel fünf Jahre –, nach welchem die Daten gelöscht oder aber auf Wunsch den Eltern ausgehändigt werden.

Welche Rechte haben die Eltern noch?

Die Betroffenenrechte spielen in der DSGVO ebenfalls eine große Rolle. Die Eltern der Kinder besitzen damit ein
  • Auskunftsrecht
  • Recht auf Löschung
  • Recht auf Datenübertragbarkeit
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Berichtigung
  • und selbstverständlich das Widerspruchsrecht.
Ersteres erlaubt es den Eltern beispielsweise, jederzeit die Art und Umstände der gespeicherten Daten ihres Kindes zu erfragen. Die ErzieherInnen sind dann in der Pflicht, spätestens nach einem Monat Auskunft hierüber zu erteilen. Mit dem Widerspruchsrecht können die Eltern zudem ihre Einwilligung in eine bestimmte Datenverarbeitung zu jedem Zeitpunkt zurücknehmen.

Für ErzieherInnen könnte auch das Recht auf Datenübertragbarkeit relevant werden, wenn ein Kind beispielsweise in eine andere Kita wechselt. In diesem Fall können die Eltern nämlich verlangen, dass all ihre angegebenen Daten direkt vom bisherigen Kindergarten an den neuen übermittelt werden oder dass sie ihre Daten in einem gängigen Format zur Mitnahme erhalten.

Wann muss ein Verfahrensverzeichnis angelegt werden?

Um den Datenschutz in der Kita nachweislich zu gewährleisten, sieht die DSGVO vor, dass jeder Vorgang der Datenerhebung in einem sogenannten Verfahrensverzeichnis festgehalten wird. Das bedeutet, dass beispielsweise in einer Tabelle folgende Angaben aufgeführt werden müssen:
  • Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
  • Kategorie der erhobenen Daten, sprich ob es sich um Kontaktdaten der Eltern, Fotos des Kindes oder Ähnliches handelt
  • Datum und Tag der Erhebung
  • Zweck und Dauer der Speicherung
  • Vorhandensein der Einwilligungserklärung
Wichtig ist, dass nicht die Daten selbst im Verfahrensverzeichnis zu dokumentieren sind, da dieses im Falle einer Überprüfung zur Einhaltung der DSGVO der Aufsichtsbehörde vorgelegt werden muss. Auch diese darf als außenstehende Person keinen Zugriff auf die eigentlichen Daten erhalten.

Was passiert bei Nichteinhaltung der DSGVO?

Es sind relativ hohe Strafen veranschlagt worden, falls die Richtlinien der DSGVO nicht eingehalten werden. So können bei besonders gravierenden Verstößen bis zu 20 Millionen Euro Bußgeld drohen. Für weniger gewichtige Verstöße werden Geldbußen bis zu 10 Millionen Euro genannt. Grundsätzlich gelten diese Zahlen aber für Unternehmen; für Bildungseinrichtungen ist vermutlich eine geringere Größenordnung anzunehmen. Zudem müssen Verstöße stets einzelfallabhängig geprüft werden, weshalb keine eindeutige Aussage zu den fälligen Sanktionen für Kitas getätigt werden kann. Es ist aber in jedem Fall sinnvoll, sich im Bereich des Datenschutzes durch detaillierte und zugleich einfach formulierte Einwilligungserklärungen mit den Eltern abzusichern.

Dieser Beitrag wurde vom Berufsverband der Rechtsjournalisten e.V kostenlos für das nifbe erstellt


Verwandte Themen und Schlagworte