DATENSCHUTZ IN DER KINDERTAGESSTÄTTE

Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.


WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?

Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.


WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?

Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.


DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?

Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.


DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?

Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?


DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?

Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.

Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.


DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?

Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.

Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.


DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?

Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.


DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?

Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.


FAZIT

Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • E-Mail
  • Fotoveröffentlichung
  • Kindertagesstätte
  • Messenger
Lesen

REICHWEITE DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEIT BEI KOMMUNEN

Der verantwortlichen Stelle kommt im Normgefüge der Datenschutz-Grundverordnung (DS-GVO) eine ganz besondere Bedeutung zu: Dieser obliegt die Umsetzung der datenschutzrechtlichen Anforderungen, insbesondere der Sicherstellung der datenschutzrechtlichen Grundätze, der Vornahme der weitreichenden Dokumentationspflichten sowie der Implementierung entsprechender Prozesse zur Beantwortung von Betroffenenanfragen und Meldung von Datenschutzverletzungen. Aus diesem Grund stellt sich insbesondere im Zusammenhang mit Kommunen in der Praxis häufig die Frage, wie weit der Begriff der verantwortlichen Stelle zu verstehen ist, beziehungsweise welche Stellen, Einrichtungen und Organe der Kommune als verantwortlichen Stelle zuzurechnen sind.


BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.


KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:


PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.


GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“


ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.


KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.


KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.


UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzmanagement
  • Kindertagesstätte
  • Kommunalverwaltung
  • Stadtrat
  • Verantwortlichkeit
Lesen