zurück nach oben

Datenschutz in der Kindertagesstätte - Eine Einführung

Die Anforderungen des Datenschutzrechtes sind für die meisten Kita-Leitungen und pädagogischen Fachkräfte in der täglichen Praxis ein schwer verständliches Regelwerk, das aber durch die Einhaltung weniger Grundanforderungen bewältigt werden kann.

Datenschutz in der Kita

© momius

Leider haben erst tragische Fälle von Kindeswohlgefährdungen das Thema der Erforderlichkeit von Informationsaustausch und Datenerhebung im Umfeld der Tätigkeit mit und für Kinder in den Fokus der Fachdiskussionen gerückt. Für die Mitarbeiter in Kindertagesstätten, Jugendhilfeeinrichtungen und Jugendämtern sind es aber oft ganz alltägliche Fragestellungen, die sie verunsichern. Dieser Beitrag greift einige wenige grundlegende Fragestellungen auf, die im Zusammenhang mit einem Workshop zum Thema "Datenschutz versus Kinderschutz" auf dem Deutschen Kitaleitungskongress immer wieder aufgeworfen wurden und skizziert die wesentlichen datenschutzrechtlichen Anforderungen an die Träger von Kindertagesstätten.

Wie in vielen Bereichen unseres Lebens ist die Vorbeugung die beste Methode zur Verhinderung von Schäden. Diese Grunderkenntnis hat auch im Datenschutzrecht mit dem sogenannten Volkserzählungsurteil im Jahr 1983 Einzug gehalten und ist in die gesetzlichen Regelungen des Bundes und der Länder eingeflossen. Das vom Bundesverfassungsgericht aufgestellte Grundprinzip ist einfach: Jede Speicherung, Erhebung oder Verarbeitung von personenbezogenen Daten ist durch die Verfassung verboten, es sei denn, ein Gesetz erlaubt diese. Als personenbezogene Daten gelten alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Diese Definition umfasst also nicht nur eindeutig zuordenbare Angaben zu einer Person, sondern auch und insbesondere all die Fälle, in denen mithilfe von zusätzlichem Wissen Daten einer Person zugeordnet werden können. Dies beginnt mit einem Passbild und hört bei einer E-Mail-Adresse noch längst nicht auf. Damit ist für die Feststellung der Zulässigkeit einer Datenspeicherung oder Übermittlung die Kenntnis der einschlägigen gesetzlichen Bestimmungen Voraussetzung. Dieses Grundprinzip ist im Sozialgesetzbuch für den Umgang mit Sozialdaten ebenso geregelt, wie in den jeweils geltenden Kindertagesstätten- und Datenschutzgesetzen des Bundes und der Länder.

Nach diesen Gesetzen sind die Träger von Kindertagesstätten ("verantwortliche Stelle") für die Einhaltung der datenschutzrechtlichen Anforderungen innerhalb ihrer Einrichtung verantwortlich. Die Wahrnehmung dieser Verantwortung trifft in der täglichen Arbeit regelmäßig die Einrichtungsleitungen. Sie haben dafür Sorge zu tragen, dass in der Organisation der Kita alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vor einem möglichen Missbrauch getroffen sind.

Welches Gesetz gilt wann?

Generell gilt der Grundsatz, dass die speziellere Regelung einer allgemeinen Regelung vorgeht. Die Regelungen des Sozialgesetzbuches gehen also denen des Bundesdatenschutzgesetzes vor, die Regelungen der Landes-Kita-Gesetze denen der Landesdatenschutzgesetze. Aber Vorsicht! Voraussetzung ist, dass das vermeintlich speziellere Gesetz auch eine konkrete Regelung zum erforderlichen Umgang mit personenbezogenen Daten trifft. Folgendes Beispiel soll dies verdeutlichen: § 5 Kindertagesbetreuungsgesetz - KiTaG BW - legt für die Elternbeiräte als Aufgabe die Unterstützung der Erziehungsarbeit und die Herstellung eines Kontaktes zum Elternhaus fest. Damit besteht jedoch noch keine rechtliche Grundlage, die Übermittlung von Adress- oder Telefondaten aller Eltern durch den Träger an die Mitglieder des Elternbeirates zu erlauben. Hierfür fehlt es vielmehr an einer speziellen Regelung im KiTaG BW . Damit sind die allgemeingültigen Regelungen des Landesdatenschutzgesetzes BW heranzuziehen. Eine Regelung kann sich in diesem Fall auch nicht aus einer Verwaltungsvorschrift ergeben, da es für eine Datenverarbeitung immer einer gesetzlichen Erlaubnis (Verwaltungsvorschriften sind keine Gesetze) oder der Einwilligung der Betroffenen bedarf.

Für Kindertagesstätten in kommunaler oder sonstiger öffentlicher Trägerschaft sind die Vorschriften der Länder, hier in aller Regel der jeweiligen Landesdatenschutzgesetze, für Kindertagesstätten in privater Trägerschaft die Vorschriften des Bundesdatenschutzgesetzes (Vereine, gGmbH, Elterninitiativen gelten als sog. "nicht-öffentliche Stelle") maßgebend. Für kirchliche Träger gelten deren kircheninternen Datenschutzgesetze.

Wenn private oder konfessionelle Träger Kindertageseinrichtungen betreiben, trifft die Einrichtungsleitung eine doppelte Verantwortung. In Funktion des Trägers hat sie die Daten nach Bundesdatenschutzgesetz zu schützen mit der Folge, dass bei einem Verstoß gegen diese Vorschriften ein Bußgeld durch die jeweilige Aufsichtsbehörde (in fast allen Ländern die Landesdatenschutzbeauftragten) von bis zu 300.000 Euro verhängt werden kann. Wenn zum Betrieb der Kita allerdings Daten der Eltern an die Kommune übermittelt werden sollen (Durchführung der Kindertagesstättenförderung), trägt die Kommune die Verantwortung nach dem Landesdatenschutzgesetz, bei ihren Kitas (in diesem Fall als Dienstleister der Kommune) für die Einhaltung der Landesdatenschutzgesetze zu sorgen. Die Kommune wird dabei durch die Landesdatenschutzbeauftragten als Aufsichtsbehörde sowie durch ihre kommunalen Datenschutzbeauftragten unterstützt und überwacht. Aber nehmen die Kommunen diese Verantwortung auch gegenüber den Trägern wahr?

Worum geht es beim Datenschutz?

Ziel des Datenschutzes ist es, den Einzelnen vor einem möglichen Missbrauch seiner Daten zu schützen und gleichzeitig die gesetzlich erlaubte Nutzung dieser Daten zu ermöglichen. Jeder einzelne Bürger hat das Grundrecht auf informationelle Selbstbestimmung, dies gilt für die betreuten Kinder, deren Eltern und die Mitarbeiterinnen und Mitarbeiter gleichermaßen. Aus Artikel 1 Absatz 1 unseres Grundgesetzes ("Die Würde des Menschen ist unantastbar.") hat das Bundesverfassungsgericht das Recht jedes Einzelnen abgeleitet grundsätzlich selbst zu entscheiden, wer was bei welcher Gelegenheit über ihm erfährt. Ausnahmen zu diesem Grundsatz sind nur erlaubt, wenn ein Parlament diese in einem Gesetz geregelt hat und dort auch die Schutzmaßnahmen vor einem möglichen Missbrauch festgelegt hat. Deshalb steht die Prävention immer im Fokus des Datenschutzrechtes, denn einmal veröffentlichte Daten können unter den Bedingungen der modernen Informations- und Kommunikationstechnik nicht mehr mit absoluter Sicherheit gelöscht werden, aber in Sekundenschnelle weltweit verbreitet werden.

Datenschutzbeauftragte bestellen

Die Landes-Datenschutzgesetze der meisten Länder (außer in Baden-Württemberg, Hamburg, Saarland, Sachsen und Schleswig-Holstein) verlangen genau wie das Bundesdatenschutzgesetz von der verantwortlichen Stelle die Benennung eines Datenschutzbeauftragten, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

Das bedeutet für alle Träger, bei denen mehr als neuen Mitarbeiter im Wege einer elektronischen Kommunikation ihre dienstlichen Angelegenheiten erledigen, dass diese eine Mitarbeiterin beziehungsweise einen Mitarbeiter als Datenschutzbeauftragten schriftlich bestellen und entsprechend fortbilden müssen. Möglich ist es damit auch, dass mehrere Kindertagesstätten desselben Trägers oder der gleichen Kommune einen gemeinsamen Datenschutzbeauftragten bestellen, wenn dieser dann in der Lage ist, in allen Einrichtungen tätig zu werden. Aufgrund der Gleichartigkeit der Abläufe in den Kindertagesstätten und der räumlichen Nähe bietet sich diese Lösung für Einrichtungen eines Trägers bzw. einer Kommune an. Aber auch kleinere Einrichtungen können über diesen Weg datenschutzrechtlich beraten werden.

Die oder der Datenschutzbeauftragte genießt ähnliche Kündigungsschutzrechte wie der Betriebsrat und hat auf der anderen Seite strafbewehrte Verschwiegenheitspflichten über die Identität von betroffenen Personen. Die verantwortliche Stelle hat den Datenschutzbeauftragten alle erforderlichen Informationen zur Verfügung zu stellen sowie Einsicht in alle Akten und Aufzeichnungen und Zutritt zu allen Räumlichkeiten zu gewähren, damit diese ihre Aufgaben unabhängig und fachlich weisungsfrei umsetzen können. Zu den Aufgaben der Datenschutzbeauftragten zählen die Schulung der Mitarbeiterinnen und Mitarbeiter, die Überwachung der Datenverarbeitung in der Verwaltung und in der praktischen Arbeit der Kita sowie die Aufnahme und Verfolgung von Beschwerden oder Hinweisen durch betroffene Personen. Es ist also eine Vertrauensstellung, die eine fundierte Fortbildung erfordert.

Eine weitere Pflicht des Trägers der Kindertagesstätte besteht in der Schulung seiner Mitarbeiterinnen und Mitarbeiter in Datenschutzfragen sowie in der Verpflichtung aller Mitarbeiter auf das Datengeheimnis nach dem jeweils einschlägigen Datenschutzgesetz. Dies soll gewährleisten, dass alle Mitarbeiterinnen und Mitarbeiter im alltäglichen Umgang mit den Anforderungen des Datenschutzrechtes vertraut sind und sich ihrer Verantwortung bewusst sind.

Verfahrensverzeichnis erstellen - Prozesse optimieren

Etwas langwieriger als die vorbenannten Aufgaben gestaltet sich dann die ebenfalls gesetzliche Anforderung, alle Verfahren automatisierter Verarbeitung personenbezogener Daten in einem sogenannten Verfahrensverzeichnis zu dokumentieren. Da die Anforderungen an den Inhalt eines solchen Verfahrensverzeichnisses gesetzlich nicht ausreichend definiert sind, bietet es sich an, alle Prozesse zu beschreiben, in denen personenbezogene Daten von Kindern, Eltern bzw. Betreuern und Mitarbeitern der Kindertagesstätte schriftlich, telefonisch oder elektronisch erfasst oder übermittelt werden.

Erst mithilfe einer solchen Dokumentation lassen sich die entscheidenden Fragen beantworten, ob und unter welchen Voraussetzungen die Erfassung, Speicherung und gegebenenfalls Weitergabe von personenbezogenen Daten rechtlich zulässig ist. Deshalb verlangen die Datenschutzgesetze eine solche Dokumentation nicht nur im Fall einer Anforderung durch die zuständige Datenschutzaufsichtsbehörde, sondern erlauben jedermann, dieses Verfahrensverzeichnis einsehen zu dürfen. Jedermann hat also das Recht, von der Kindertagesstätte die Einsicht in das jeweilige Verfahrensverzeichnis zu verlangen. Dieser Rechtsanspruch soll sicherstellen, dass jeder potenziell Betroffene sich davon überzeugen kann, zu welchem Zweck und unter welchen Bedingungen die Kindertagesstätte seine personenbezogenen Daten nutzt.

Die Erarbeitung eines Verfahrensverzeichnisses verlangt also die Dokumentation nahezu aller Prozesse innerhalb eines Trägers einer Einrichtung und auch in der Einrichtung selbst. Dies beginnt bei der Verwaltung der Mitarbeiterdaten und geht über die Abrechnung von Elternbeiträgen bis hin zur Anfertigung von Entwicklungsdokumentationen. Deshalb kann und sollte der Prozess der Verfahrenserhebung als fachlicher Diskussionsprozess in der Einrichtung gestaltet werden, in dem die praktischen Abläufe erhoben, dokumentiert und diskutiert werden.

In der alltäglichen Praxis einer Kindertagesstätte gibt es eine ganze Reihe solcher Verfahren. Dies beginnt mit der Anmeldung eines Kindes durch die Eltern und setzt sich fort in der Erhebung und Speicherung von personenbezogenen Daten zum Zweck des Vertragsschlusses mit der Kindertagesstätte bzw. dem Träger. Auch die Mitteilung von Kontaktdaten zum Zweck der Information in einem Krankheits- oder sonstigen Notfall bis hin zur Dokumentation der pädagogischen Arbeit der Mitarbeiter und der Übermittlung von Entwicklungsberichten an Eltern oder die aufnehmende Schule sind davon erfasst. Grundsätzlich gilt, dass im Rahmen solcher Verfahren immer nur die personenbezogenen Daten erhoben und gespeichert werden dürfen, die zur Erfüllung des gesetzlich zulässigen Zwecks erforderlich sind.

Die gesetzliche Anforderung an eine solche Erforderlichkeit bedeutet dabei mehr als die bloße Nützlichkeit der Daten oder die Möglichkeit einer zukünftigen Erforderlichkeit. Es gilt der strikte Grundsatz der Datensparsamkeit. Die Speicherung eines Datums, das zum Zeitpunkt der Speicherung nicht zur Erfüllung des Zwecks erforderlich ist, ist rechtswidrig. Zum Beispiel ist die Erhebung einer E-Mail-Anschrift eines Elternteiles für den möglichen "Notfall" unzulässig, da eine E-Mail im Notfall ohnehin nicht geeignet wäre, den betreffenden Eltern tatsächlich zu informieren. Damit ist auch die Speicherung und Nutzung dieser Daten unzulässig. Eine Telefonnummer hingegen, die für solche "Not"-fälle gespeichert wurde, darf für andere Situationen nicht genutzt werden, wenn beispielsweise organisatorische Fragen mit den Eltern besprochen werden sollen. Die entsprechende Rechtsgrundlage für eine Datenspeicherung wäre hier die Ausgestaltung und Erfüllung des Betreuungsvertrages ( § 28 Absatz 1 Nummer 1 BDSG ).

Einwilligung ja, aber ...

Völlig anders stellt sich die rechtliche Situation in all den Fällen da, in denen eine Datenspeicherung zur Erfüllung des Vertrages nicht erforderlich ist. So ist die Anfertigung von Gruppenbildern bei Veranstaltungen weder zur Erfüllung des Erziehungsauftrages noch zur Erfüllung des Betreuungsvertrages erforderlich. Deshalb kann sich eine solche Bildaufnahme nur auf die Einwilligung der Betroffenen als Rechtsgrundlage stützen. Soweit es sich bei den Betroffenen um Minderjährige handelt, ist diese von den Erziehungsberechtigten vorher auf freiwilliger Grundlage und schriftlich einzuholen ( §§ 4 Absatz 1 , 4a BDSG ).

Voraussetzung für eine Wirksamkeit der Einwilligung ist die strikte Freiwilligkeit. Der Einwilligende ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung und auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Dies bedeutet die Pflicht der Einrichtung, im Fall von Fotoaufnahmen die Betroffenen auch darauf hinzuweisen und hier für eine Einwilligung einzuholen, wenn diese Bilder anschließend auf dem öffentlich zugänglichen Flur einer Kindertagesstätte ausgehängt oder gar auf einer Internetpräsentation weltweit zugänglich gemacht werden sollen. Bei der Einschaltung eines professionellen Fotografen sind die Betroffenen ebenso vorher darauf hinzuweisen, wenn hierdurch Bildnutzungs- oder Verwertungsrechte bei dem jeweiligen Fotografen verbleiben sollen. Das Erfordernis einer Einwilligung gilt im Übrigen auch für die Mitarbeiterinnen und Mitarbeiter der Kindertagesstätte. Die Einrichtungsleitung hat dabei auch darauf zu achten, dass die Einwilligung beider Elternteile (sofern sie beide auch den Betreuungsvertrag unterzeichnet haben) vorliegt.

Daten auch technisch schützen

Für alle Fälle einer Datenspeicherung innerhalb der Kindertagesstätte sind technische und organisatorische Maßnahmen zum Schutz dieser Daten vor einem unberechtigten Zugriff durch Dritte zu treffen. Es sollte nicht nur selbst verständlich sein, dass Datenverarbeitungsanlagen sicher verschlossen und gegen Diebstahl gesichert sind, sondern auch, dass mobile Datenträger oder Laptops nur mit verschlüsselten Datenspeichern genutzt werden. Besonders zu sichern sind ebenfalls alle gegebenenfalls erforderlichen Archive mit Personalunterlagen. Aber auch die Entwicklungsberichte von Kindern sollten nicht frei zugänglich für alle Eltern sein. Vielmehr sind sie so aufzubewahren, dass ausschließlich die Betreuungskräfte der Einrichtung darauf Zugriff haben. Und auch bei der Internetpräsentation der Kita gibt es detaillierte Anforderungen an die technische Ausgestaltung zu beachten, für deren Einhaltung der Träger ebenfalls die Verantwortung trägt.

Auskünfte an Dritte

Besonderer Aufmerksamkeit bedürfen alle Verfahren, in denen personenbezogene Daten über Kinder, Erziehungsberechtigte oder Mitarbeiter an Stellen außerhalb der Kindertagesstätte übermittelt werden sollen. Für alle Fälle einer Übermittlung von Daten an eine andere Stelle sind immer zwei Rechtsgrundlagen erforderlich: Die Kindertagesstätte muss diese Daten übermitteln dürfen und die empfangende Stelle muss ihrerseits gesetzlich berechtigt sein, diese Daten zu erhalten ("Erheben von Daten"). Ohne Einhaltung beider Rechtsgrundlagen ist die Übermittlung von personenbezogenen Daten unzulässig. So ist es durchaus im Rahmen des Zwecks einer Belegungsplanung zulässig, dem jeweiligen öffentlichen Träger mitzuteilen, wie viele Kinder in den einzelnen Gruppen betreut werden oder angemeldet sind, eine Rechtsgrundlage für die Übermittlung von Namenslisten ergibt sich hieraus jedoch nicht.

Information des Jugendamtes bei Kindeswohlgefährdung

Ganz anders kann sich die Situation im Fall eines konkreten Hinweises auf eine Kindeswohlgefährdung darstellen. Entsprechend der Regelung des § 8a SGB VIII ist die Beratung innerhalb der Einrichtung mit den Eltern sowie die Hinzuziehung einer insoweit erfahrenen Fachkraft erforderlich, um mögliche gewichtige Anhaltspunkte für eine Kindeswohlgefährdung auszuschließen. Erst wenn dadurch eine Gefährdung für das Kindeswohl nicht ausgeschlossen werden kann, ist das Jugendamt zu informieren. Dann ist auch die Übermittlung personenbezogener Daten an die Fachkräfte des Jugendamtes zulässig. Die rechtlichen Voraussetzungen für die Erhebung der Daten durch das Jugendamt bestimmt der § 62 Absatz 3 Nummer 2 lit. d SGB VIII , die Zulässigkeit der Übermittlung der Daten durch die Kita an das Jugendamtes über die Identität des Kindes und damit der Eltern - nach § 28 Absatz 2 lit. a oder b BDSG . Die Übermittlung der Daten für einen anderen Zweck (hier die Aufklärung einer Kindeswohlgefährdung durch das Jugendamt) ist damit erforderlich und erlaubt, soweit es "zur Wahrung berechtigter Interessen eines Dritten" (hier des Kindes) erforderlich ist und "kein Grund zu der Annahme besteht, dass der Betroffene" (hier die Verursacher) ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

Zusammenarbeit, bevor etwas passiert

Zur sicheren Bewältigung solcher Anforderungen hatte sich in der Praxis bewährt, dass die jeweilig fachlich zuständigen Akteure der Jugendhilfe sich über Verfahren und Ansprechpartner austauschen und hier verbindliche Regelungen für eine Zusammenarbeit treffen. Im Fall eines erforderlichen Eingreifens des Jugendamtes sollte auf allen Seiten Handlungssicherheit bestehen, erforderliche Hilfe auch schnell und wirksam organisieren zu können. Anderenfalls kann es zu erheblichen Verzögerungen führen, die sowohl zulasten des betroffenen Kindes als auch zulasten der betroffenen Mitarbeiterinnen und Mitarbeiter gehen. Das Recht auf Notwehr oder Notwehrhilfe sowie die Regelungen zum rechtfertigendem Notstand schützen in solchen Situationen den redlichen Informanten vor einer Strafverfolgung.

Wo finde ich Hilfe?

Die fachliche Hilfestellung sollte durch die Jugendämter - und dort die Datenschutzbeauftragten der Kreis- oder Stadtverwaltungen - eingefordert werden. Auch die örtlich zuständigen Landesdatenschutzbeauftragten unterstützen bei den oft schwierigen Fragen der Anwendung des Landes- und Bundesdatenschutzgesetzes . Die Träger von Einrichtungen sind gut beraten, ihre Datenschutzbeauftragten - zu deren Bestellung sie ohnehin gesetzlich verpflichtet sind - gut zu schulen und einen fachlichen Austausch zu organisieren. Daneben gibt es auch für nicht-öffentliche Stellen die gesetzliche Möglichkeit, externe Sachverständige als Datenschutzbeauftragte zu bestellen (sog. externe Datenschutzbeauftragte) und damit fachliches Know-how einzukaufen. Es gibt natürlich sehr viel Fachliteratur zum Datenschutz, die sich aber selten dem Praktiker leicht erschließen. Das Nationale Zentrum für Frühe Hilfen hat mit der Broschüre "Datenschutz bei frühen Hilfen" ein gelungenes Einstiegswerk vorgelegt, in dem der Bezug zwischen rechtlichen und fachlichen Anforderungen in den Fällen einer möglichen Gefährdung des Kindeswohls verständlich und übersichtlich hergestellt wird.

Fazit

Datenschutz soll den Einzelnen davor schützen, dass durch einen Missbrauch von Daten in sein Recht auf informationelle Selbstbestimmung eingegriffen wird. Datenschutz ist also kein Täterschutz! Wenn das Recht auf Leben und körperliche Unversehrtheit auf dem Spiel steht, gibt es nicht nur das Recht, sondern auch die Pflicht zum Handeln. Hier sollte sich niemand hinter angeblich entgegenstehenden Datenschutzregeln verstecken, aber auch nicht leichtsinnig mit den Daten Dritter umgehen. Fehler sind vermeidbar, wenn die Leiter der jeweiligen Träger rechtzeitig mit allen Betroffenen die zulässigen Informationswege und -verfahren besprechen, festlegen und dokumentieren.

Weitere Infos:

Im Virtuellen Datenschutzbüro unter www.datenschutz.de sind alle erforderlichen weitergehenden Informationen, Gesetze, Aufsichtsbehörden und viele aktuelle Informationen zu finden.