Vom Träger habe ich bisher kaum Informationen erhalten, inwieweit sich Abläufe etc. im Kindergarten durch Inkrafttreten der DSGVO verändern. Einen Datenschutzbeauftragten gibt es (externe Firma), allerdings ist diese sehr überlastet. Was kann ich tun?
Tatsächlich ist die Auftragslage bei Datenschutzbeauftragten im Moment ungefähr so angespannt, wie bei Kitaplätzen auch. Wo einige Einrichtungen schon heute an ihre Türen schreiben, dass freie Plätze frühestens ab August 2020 wieder zu haben seien, sind auch Datenschutzbeauftragte gerade voll ausgebucht.
Wichtig ist trotzdem, dass die Mitarbeiter/innen zeitnah geschult werden. Das muss gar keine riesengroße Veranstaltung sein, aber das Bewusstsein für die Sensibilität der in Kita verarbeiteten Daten von Kindern, Eltern und auch dem Fachpersonal sollte geweckt werden. Das fängt damit an, einmal mit offenen Augen durch die Einrichtung zu gehen und den Alltag zu betrachten: An der Pinnwand hängt die Krankschreibung der Kollegin, die Anwesenheitsliste mit Vor- und Zunamen der Kinder liegt auf der Fensterbank, das Diensthandy bleibt auf der Bank, während man einem Kind vom Klettergerüst hilft.
Oft haben die Mitarbeiter/innen für sich selbst ganz klare Vorstellungen, was mit ihren eigenen Daten passieren darf. Geht es jedoch um Daten von Kindern, Eltern oder Kollegen, ist man vielleicht nicht immer ganz so nah dran. Darüber hinaus ist aber natürlich auch der Träger – trotz externem Datenschutzbeauftragten – weiterhin verantwortlich für den Datenschutz. Er tut also gut daran, etwa im Rahmen einer Teamsitzung genau dieses datenschutzrechtliche Bauchgefühl zu wecken und zu stärken. Das bedeutet nicht, dass man ab sofort erstmal zur Sicherheit gar nichts mehr macht, sondern dass überlegt wird, ob bestimmte Daten etwa sicherer aufbewahrt werden können und ob andere Daten so wirklich für den pädagogischen Alltag benötigt werden.
Welche Konsequenzen hat die DSGVO in Bezug auf Fotografieren in der Kita (Fotograf kommt, Foto-Aushänge, Bilder im Portfolio-Ordner)? Wie formuliere ich rechtssichere Informationen für die Eltern oder gibt es diesbezüglich Vordrucke?
Die Datenschutz-Grundverordnung hat in Sachen Fotos gar nicht so viel verändert, wie gemeinhin geglaubt wird. Für das Anfertigen von Fotos gilt (nach ersten Gerichtsentscheidungen) die DSGVO, man benötigt also eine Einwilligung hierfür. Sobald die Fotos veröffentlicht werden sollen, gilt auch weiterhin das KUG (Kunsturhebergesetz), welches ebenfalls eine ausdrückliche Einwilligung des Betroffenen verlangt.
Wichtig ist hier eine umfassende Einwilligung der Betroffenen, also sowohl der Kinder, vertreten durch ihre Sorgeberechtigten, als auch der Mitarbeiter/innen, wenn diese auch abgebildet werden. Diese Einwilligung muss sehr genau über den Zweck bzw. die Zwecke der Fotos aufklären. Eine einfache und nicht abschließende Aufzählung (etwa Portfolios und Facebook) reicht hier nicht aus. Solche Zwecke sind z.B. die Verwendung im Portfolio des abgebildeten Kindes, die Verwendung in Portfolios anderer Kinder, das Aushängen in den Räumlichkeiten der Einrichtung, der Abdruck in Printmedien des Trägers oder in anderen (lokalen) Printmedien sowie die Veröffentlichung im Internet. Dabei müssen die Betroffenen auch darüber informiert werden, welche »Gefahren« drohen: Also etwa, dass im Internet veröffentlichte Bilder weltweit abgerufen und heruntergeladen werden können und dass dies nicht wirksam eingeschränkt werden kann.
In dieser Einwilligungserklärung müssen die Betroffenen auch darauf hingewiesen werden, dass die Einwilligung jederzeit (!) mit Wirkung für die Zukunft ganz oder teilweise frei widerruflich ist und dass aus der Verweigerung der Einwilligung keine negativen rechtlichen (!) Konsequenzen drohen. Es muss also ganz klar sein, dass bei nicht erteilter Einwilligung z.B. nicht etwa eine Betreuung abgelehnt wird oder ein Betreuungsvertrag gekündigt wird.
Mit dieser umfassenden Einwilligungserklärung ist der Träger erstmal auf der sicheren Seite – wenn er denn mögliche Einschränkungen der Einwilligung beachtet und insbesondere bei einem (teilweisen) späteren Widerruf entsprechend handelt. Eine solche Einwilligung ist übrigens auch von Ihren Mitarbeitern und Mitarbeiterinnen notwendig, sobald diese z.B. im Eingangsbereich mit Fotos vorgestellt werden.
Für den Fotografen, der einmal jährlich in die Einrichtung kommt und dann Fotos verkauft, ist übrigens nicht der Träger verantwortlich. Er stellt lediglich die Räumlichkeiten und die Zeit zur Verfügung. Ein Vertrag kommt direkt zwischen den Familien und dem Fotografen zustande, dieser ist verantwortlich für die Einhaltung des Datenschutzes.
Wir fotografieren unsere Kinder zu verschiedenen Anlässen (Geburtstage, Ausflüge, sonstige Aktionen). Diese Fotos hängen in unserer Einrichtung aus und können von den Eltern in Papierform nachbestellt werden. Natürlich sind auf den Fotos meist mehrere Kinder abgebildet. Ist das aus Datenschutzgründen noch erlaubt? Dürfen sie in einer Aktivität des Tagesablaufes gezeigt werden? Dürfen Geburtstagskalender im Flur angebracht werden? Oder braucht man für alles eine Unterschrift?
Es ist für die Entwicklung der Kinder sehr wichtig, sich selbst, auch im Zusammenspiel mit anderen, zu sehen und zu erfahren. Auch wollen sie selbstverständlich ihren Eltern zeigen, was sie erlebt haben. Gleiches gilt auch für die Einrichtung selbst: Im Rahmen einer offenen Arbeit möchte man natürlich Eltern und auch Interessierten zeigen, was in der Einrichtung alles passiert, welche Projekte man durchführt, wohin Ausflüge unternommen werden.
Eine Einwilligung kann dies – richtig gemacht – abdecken. Dabei muss gerade wegen der Möglichkeit der Papierabzüge auch für diese Weitergabe die Einwilligung explizit erteilt werden.
Bei mehreren Kindern heißt das dann auch, dass für jedes dieser Kinder – und auch für die gezeigten Erzieher/innen und Praktikanten – eine Einwilligung vorliegen muss, die diese Nutzung umfasst. Denn beim Fotografieren einer Gruppensituation soll genau diese gezeigt werden. Keines der Kinder ist bloßes »Beiwerk« auf dem Bild!
Eine »richtige« Unterschrift ist übrigens nicht zwingend notwendig. Einwilligungserklärungen sind nicht mehr an eine bestimmte Form gebunden. Allerdings muss der Träger als Verantwortlicher nachweisen können, dass eine wirksame Einwilligung für diese Nutzung vorliegt. Das kann aber auch eine E-Mail sein oder ein Protokoll vom Elternabend, aus dem ersichtlich ist, wer teilgenommen hat (und entsprechend überhaupt aktiv eingewilligt haben könnte) und wer sodann zugestimmt hat.
Brauche ich für jede Kita (alle haben mehr als 10 Mitarbeiter/innen, die ständig Daten verarbeiten) eine Datenschutzbeauftragte, wenn unsere Kitas in einem Verband organisiert sind? Der Verband hat eine Datenschutzbeauftragte.
Nicht jede Kita im Sinne einer Einrichtung benötigt eine/n Datenschutzbeauftragte/n, aber (jedenfalls in diesem Fall) jeder Träger. Denn jeder Träger ist für sich allein Verantwortlicher für die in seinem Bereich verarbeiteten personenbezogenen Daten und benötigt daher eine/n eigene/n Datenschutzbeauftragte/n. Die DSGVO kennt zwar ein sogenanntes Konzernprivileg, allerdings gilt ein Verband nicht als ein Konzern (mit einem beherrschenden Unternehmen und seinen Tochtergesellschaften). Dieses Privileg würde aber greifen, wenn eine Trägergesellschaft mehrere Tochtergesellschaften betreibt, die jeweils Kitas führen. Ein Verband kann aber selbstverständlich ebenfalls eine/n Datenschutzbeauftragte/n anbieten, aufgrund seiner Größe möglicherweise sogar mit Sonderkonditionen. Mit diesem/dieser muss trotzdem jedes Mitglied einen entsprechenden Vertrag abschließen.
Ich habe gehört, dass es ein Verzeichnis geben muss über die Verarbeitungstätigkeit von Daten. Wie muss das aufgebaut sein?
Das Verzeichnis über die Verarbeitungstätigkeiten besteht aus zumindest zwei Teilen, optional aus drei Teilen. Es kann auch in Form einer Tabelle aufgebaut sein, Formvorschriften gibt es hierfür keine. Sinn des Verzeichnisses ist ein Überblick, welche Daten zu welchem Zweck verarbeitet werden, an wen diese weitergegeben werden (intern und extern), wann sie gelöscht werden bzw. wonach sich die Fristen richten. Entsprechend ist dieses Verzeichnis eben nur für den internen Gebrauch bestimmt. Eine Weitergabe bzw. Einsicht kann nur die Aufsichtsbehörde in Form der/des jeweiligen Landesdatenschutzbeauftragte/n verlangen. Betroffene haben keinen Anspruch darauf, dieses einzusehen.
Im ersten Teil wird zunächst festgehalten, wer verantwortlich ist (mit den entsprechenden Kontaktdaten) und sofern es eine/n Datenschutzbeauftragte/n gibt, auch die Kontaktdaten zu diesem bzw. dieser. Im zweiten Teil wird sodann nach Art der Betroffenen (also Kinder/Familien, Mitarbeiter/innen, Vereinsmitglieder) aufgeführt, welche Datenkategorien auf welcher Rechtsgrundlage erhoben und verarbeitet werden und an wen diese Daten intern (Gesundheitsdaten etwa an die Köchin oder Abholberechtigungen grundsätzlich an den Spätdienst) und extern (etwa Lohnbüro) weitergegeben werden.
Im dritten Teil kann man dann für sich selbst in einer Art Konzept darlegen, wie man bei einer Datenschutzpanne vorgehen möchte oder wie sichergestellt wird, dass alle Betroffenen ihre Ansicht zur Einwilligung für bestimmte Datenverarbeitungen äußern und wie sodann sichergestellt wird, dass entsprechend gehandelt wird.
Anhand dieses Verzeichnisses kann man als Verantwortliche/r dann auch die Informationen für die Betroffenen zusammenstellen – es ist eben ein Leitfaden, aus dem sich erstmal allgemein ergibt, was im Bereich der Datenverarbeitung anfällt, aber auch, wo man diese Daten dann konkret findet.
Welches Verfahren darf ich nutzen, um personenbezogene Daten zu versenden?
Grundsätzlich können fast alle Methoden verwendet werden, die es heute gibt: Brief, E-Mail, aber auch durchaus Messenger-Dienste. Aber: Dabei wird vom Verantwortlichen verlangt, einen sicheren Weg zu wählen und hierauf muss er natürlich auch bei seinen Mitarbeitern und Mitarbeiterinnen achten.
Das bedeutet etwa bei der E-Mail, dass diese zumindest auf dem Weg vom Rechner zum Server und von dort zum Empfänger verschlüsselt ist (sog. Transportverschlüsselung). Außerdem sollte die/der Verantwortliche per Dienstanweisung dafür sorgen, dass die Mitarbeiter/innen nicht mit ihren privaten E-Mail-Adressen mit den Eltern kommunizieren. Hier müsste auch ein Auftragsverarbeitungsvertrag mit dem jeweiligen E-Mail-Anbieter abgeschlossen werden, da die E-Mails bei diesem verarbeitet werden.
Sollen Dateien etwa mit dem Jugendamt ausgetauscht werden, ist es auch sinnvoll, ein Passwort festzulegen, mit dem Dateien gegenseitig gesichert werden. Dabei muss man auch nicht für jedes Dokument ein neues Passwort vergeben, der Zugang wird trotzdem erschwert.
Bei Messenger-Diensten muss man darauf achten, dass die Server nicht in den USA stehen oder noch besser möglichst in Europa bzw. sogar in Deutschland und/oder die Daten tatsächlich (nachprüfbar) verschlüsselt werden. Europa gilt diesbezüglich als sicher, da sich die europäischen Länder mit der DSGVO auf ein einheitliches Datenschutzniveau verständigt haben. Damit fällt WhatsApp raus, denn die Server befinden sich, soweit bekannt, noch allein in den USA und die Verschlüsselung ist für normale Nutzer nicht überprüfbar, da der Programmcode nicht einsehbar ist.
Wenn die Eltern solche Dienste nutzen, um Mitteilungen zu machen, können Sie dies natürlich nicht verhindern, aber andersherum sollten von Trägerseite keine personenbezogenen Daten hierüber kommuniziert werden. Übrigens sollten Träger auch aus arbeitsrechtlicher Sicht verhindern, dass Erzieher/innen mit ihren privaten Mobiltelefonen mit Eltern kommunizieren. Denn es kommt der Zeitpunkt, wo Maries Mama am Sonntagabend um 22:30 per WhatsApp darüber informiert, dass Marie am Montag nicht kommen wird.
Meine Frage bezieht sich auf die Aufbewahrung von Kinderdaten. Bisher wurden alle Daten eines Kindes (Portfoliodateien, Elterngespräche, Anmeldungen etc.) mit Übergang in die Schule gelöscht. Nun wurde mir von einer Kollegin gesagt, dass es eine Aufbewahrungspflicht für alle Unterlagen der Kinder von 10 Jahren gibt. Nun bin ich verunsichert. Wie gehe ich richtig mit diesen Daten um?
Es gibt Daten, die länger aufbewahrt werden müssen und es gibt Daten, die sofort vernichtet werden müssen. Tatsächlich kommt es auf den konkreten Zweck an:
Das Portfolio bzw. die Entwicklungsdokumentation wird konkret zu dem Zweck geführt, die Entwicklung des Kindes über die Jahre zu beobachten und bei Bedarf auch jederzeit »einschreiten« zu können. Diese Dokumentation kann teilweise an die Schulen weitergegeben werden, sofern die Eltern einwilligen. Aber grundsätzlich ist der Zweck mit dem Ende der Kita-Zeit erfüllt. Eine weitere Aufbewahrung ist damit datenschutzrechtlich nicht zulässig. Das Portfolio muss daher entweder an die Eltern herausgegeben oder vernichtet werden.
Ganz anders sieht es etwa mit Unfallmeldungen aus. Diese dienen auch dazu, Unfälle nachzuweisen, sodass bei später auftretenden Folgen die Verbindung zu diesem Ereignis gezogen werden kann. Entsprechend wird empfohlen, solche Daten bis zu 30 Jahre aufzubewahren (oder wiederum an die Eltern herauszugeben).
Aus Betreuungsverträgen können sich auch nach Verlassen der Kita ebenfalls noch Ansprüche ergeben, etwa weil die Eltern nicht alle Elternbeiträge gezahlt haben. Diese Forderungen will der Träger natürlich künftig durchsetzen und sollte den Vertrag selbstverständlich aufheben, bis der Anspruch befriedigt oder zumindest tituliert ist. Teilweise sehen darüber hinaus Rahmenvereinbarungen ebenfalls noch Nachweispflichten vor, sodass in einigen Bundesländern etwa für Bedarfsbescheide, Gutscheine oder Verträge Aufbewahrungsfristen gelten. Auch die Abgabenordnung sieht eine Frist von 10 Jahren für alle bilanzrelevanten Daten vor.
Eine pauschale Antwort lässt sich hier also nicht geben, sondern es ist tatsächlich je nach Information zu schauen, ob der Zweck (der auch gesetzlich sein kann, wie bei der Abgabenordnung) jeweils bereits erfüllt ist oder nicht. Ist der Zweck erfüllt, sind die Daten zu vernichten!
Was muss ich auf der Homepage der Kita nach der neuen Datenschutzgrundverordnung anpassen?
Auf der Webseite des Trägers muss an einfach erreichbarer Stelle eine Datenschutzerklärung hinterlegt sein, die darüber informiert, welche Art von Daten zu welchen Zwecken erhoben werden und was beim Besuch der Webseite zusätzlich noch an Daten anfällt. Werden Cookies gesetzt? Werden bestimmte Statistiken erstellt? Werden Karten von Drittanbietern als Anfahrtshilfe eingebunden? Werden Social-Media-Plugins, etwa von Facebook, verwendet?
Da es hier tatsächlich auch um technische Details geht, ist ein allgemeines Muster gar nicht möglich. Im Internet finden sich aber diverse Generatoren, mit denen sich eine solche Erklärung erstellen lässt. Wichtig ist dabei nur, dass man nicht »zur Sicherheit« alle Varianten anklickt, denn auch eine über das Ziel hinausschießende Erklärung ist falsch und damit theoretisch abmahnfähig, wobei hier der tatsächliche Umgang in der Praxis noch abzuwarten bleiben wird.
