DATENSCHUTZ IN DER KINDERTAGESSTÄTTE

Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.


WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?

Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.


WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?

Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.


DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?

Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.


DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?

Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?


DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?

Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.

Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.


DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?

Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.

Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.


DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?

Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.


DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?

Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.


FAZIT

Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • E-Mail
  • Fotoveröffentlichung
  • Kindertagesstätte
  • Messenger
Lesen

MESSENGER-DIENSTE UND DATENSCHUTZ – „WÜRDE ICH SELBST WOLLEN, DASS…?“

Die Nutzung von Messenger-Diensten stellt die Datenschutzbeauftragten von Unternehmen, Behörden, Kommunen und Schulen regelmäßig vor (datenschutz-)rechtliche Herausforderungen. Der unkomplizierten und zeitsparenden Kommunikationsmöglichkeit stehen meist erhebliche Bedenken hinsichtlich der intransparenten Verarbeitung personenbezogener Daten gegenüber. Ein datenschutzkonformer Einsatz ist im dienstlichen Umfeld oftmals nicht möglich. Doch auch im Rahmen der privaten Nutzung sollte die Wahl eines geeigneten Messenger-Dienstes sorgfältig geprüft werden. Die Aktualisierung der Geschäftsbedingungen von WhatsApp sorgt nun für ein Umdenken vieler Nutzer.


DIE NUTZUNG VON WHATSAPP IM DIENSTLICHEN UMFELD

Erst im Mai des vergangenen Jahres äußerte sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber dahingehend, dass der Einsatz von WhatsApp für Bundesbehörden ausgeschlossen ist. Der Argumentation folgend dürfte Selbiges auch für weitere Behörden und Kommunen gelten. Aber auch hinsichtlich der Nutzung des Messenger-Dienstes an Schulen fällt das Urteil der Landesdatenschutzbeauftragten bereits seit längerer Zeit negativ aus. Weiterhin wird auch die Nutzung von WhatsApp zur betrieblichen Kommunikation in Unternehmen in der Regel als datenschutzrechtlich unzulässig einzustufen sein. Die Begründungen der einzelnen Aufsichtsbehörden fallen meist ähnlich aus:

(1) Bei einer Nutzung von WhatsApp findet eine Übermittlung von Namen und Telefonnummern aus dem Adressbuch des Nutzenden statt. Hierbei werden auch diejenigen Kontakte an WhatsApp übermittelt, die den Messenger-Dienst nicht nutzen. Außerhalb der privaten Nutzung ist hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) erforderlich, welche in den allermeisten Fällen jedoch nicht vorliegt: Eine Interessenabwägung wird aufgrund der intransparenten Datenverarbeitung regelmäßig gegen die Nutzung von WhatsApp ausfallen, das Einholen von Einwilligungen aller Adressbucheinträge ist in der Praxis nahezu unmöglich.

(2) Bei der Nutzung von WhatsApp und insbesondere im Rahmen des zuvor beschriebenen Kontaktbuchabgleichs findet eine Übermittlung personenbezogener Daten in die USA statt. Da es sich bei den USA um einen datenschutzrechtlichen Drittstaat handelt, sind hierbei die besonderen Anforderungen der Artt. 44 ff. DS-GVO zu beachten. Den Abschluss von Standardvertragsklauseln, die eine Datenübermittlung unter bestimmten Umständen legitimieren könnten, bietet WhatsApp jedoch nicht an.

(3) Weiterhin nutzt WhatsApp durch die Kommunikationsverläufe aggregierte personenbezogene Daten für eigene Zwecke. Zwar findet grundsätzlich eine Ende-zu-Ende verschlüsselte Kommunikation statt, dies gilt jedoch grundsätzlich nur für die Inhalte der Gesprächsverläufe und nicht für die dabei anfallenden Metadaten. Hierzu gehören insbesondere IP-Adressen, Standortdaten, Zeitstempel, Angaben zu Sender und Empfänger sowie weitergehende Informationen über das Smartphone und Betriebssystem. Es ist somit grundsätzlich möglich eine detaillierte Profilbildung über die Nutzenden vorzunehmen. Auf die Aussage des BfDI Prof. Ulrich Kelber, es sei davon auszugehen, dass WhatsApp diese Daten an Facebook weitergebe, entgegnete WhatsApp lediglich, dass eine Übermittlung dieser Daten nicht stattfinde. Auch im Rahmen der überarbeiteten WhatsApp Datenschutzrichtlinie erfolgt jedoch ausschließlich eine recht allgemeine Beschreibung der Verwendungszwecke.

(4) Zudem ist anzumerken, dass die Datenverarbeitungen von WhatsApp zu Teilen nicht transparent und präzise dargestellt werden und demnach nicht den Anforderungen des Art. 12 Abs. 1 S. 1 DS-GVO entsprechen. In der WhatsApp Datenschutzrichtlinie heißt es beispielsweise: „Aus diesen Gründen und auf diese Weise verarbeiten wir deine Daten: Zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices, wenn wir die Daten als Datenverantwortlicher verarbeiten. Berechtigte Interessen, auf die wir uns stützen: Zur Bereitstellung genauer und zuverlässiger aggregierter Berichte für Unternehmen und sonstige Partner, um eine genaue Preisgestaltung und genaue Leistungsstatistiken zu gewährleisten, und um den Wert aufzuzeigen, den unsere Partner durch die Nutzung unserer Dienste realisieren; und im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.Verwendete Datenkategorien: Wir verwenden Informationen, die in den Abschnitten Informationen, die du zur Verfügung stellst, Automatisch erhobene Informationen und Informationen Dritter dieser Datenschutzrichtlinie zu diesen Zwecken. […].“ [Unterstreichungen durch den Autor]. Ob eine derartige allgemeine Beschreibung der Datenverarbeitung und unter Nutzung unzähliger Verweise den Anforderungen einer präzisen, transparenten, verständlichen und leicht zugänglichen Datenschutzinformation genügen, ist äußerst fraglich.

Weitere Kritikpunkte lauten, dass der Quellcode von WhatsApp nicht offengelegt wird, keine näheren Informationen zu gegebenenfalls bestehenden Sicherheitsaudits vorliegen und darüber hinaus Tracker zur Analyse des Nutzungsverhaltens eingebunden sind. Grundsätzlich ähnliche Bedenken gelten auch hinsichtlich der Nutzung von Telegram. Dieser Dienst wird zu Unrecht oft als geeignete Alternative empfohlen.


DIE NUTZUNG VON MESSENGER-DIENSTEN IM PRIVATEN UMFELD

Doch auch im Rahmen der privaten Nutzung von Messenger-Diensten, für die die Regelungen der DS-GVO regelmäßig nicht einschlägig sind, sollten datenschutzrechtliche Aspekte schon vor der Wahl eines bestimmten Dienstes berücksichtigt werden. Denn bereits aus der Erhebung von Metadaten lassen sich weitestgehend Rückschlüsse zum Verhalten einzelner Personen ziehen.

Nicht selten wird einer datenschutzversierten Person hinsichtlich datenschutzrechtlicher Bedenken das Argument entgegengehalten, dass ein solches Geschäftsmodell billigend in Kauf genommen werde, da man ohnehin nichts zu verbergen habe. Dass eine solche Argumentation wesentlich zu kurz greift, dürfte einem Jeden mit Blick auf einzelne Berichte bewusstwerden, wonach soziale Netzwerke durchaus in der Lage sind anhand psychologischer Analysen nutzende Personen auszumachen, die sich „nervös“, „gestresst“, „überfordert“, „ängstlich“, „dumm“, „nutzlos“ oder „wie ein Versager“ fühlen. Für Werbetreibende bestehe daraufhin die Chance, diesen Personen durch Werbung in derartigen Situationen gezielt anzusprechen.

Aber auch fernab von solchen Szenarien sollte die Praxis vieler Messenger-Dienste hinsichtlich des zwingenden Kontaktbuchabgleichs ebenfalls im privaten Kontext kritisch hinterfragt werden. Zwar sind die Regelungen der DS-GVO im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten gemäß Art. 2 Abs. 2 lit. c DS-GVO nicht einschlägig, jedoch greift bei Datenverarbeitungen im privaten Umfeld oftmals das allgemeine Persönlichkeitsrecht. Frei nach Kant gilt es hierbei sich zu fragen: „Würde ich selbst wollen, dass Freunde und Bekannte meine Telefonnummer an Internetdienste weitergeben, zu denen ich in keinerlei Verbindung stehe?“ Eine solche ungewollte Offenlegung von Kontaktdaten findet zudem meist schon auf einer niedrigeren Ebene statt: Durch Hinzufügen zu Gruppenchats werden bei einigen Messenger-Diensten für alle Mitglieder sichtbar die Telefonnummern sämtlicher Teilnehmer ungewollt dargestellt. Hier gilt es die Verwendung alternativer Messenger-Dienste zu prüfen.


DATENSCHUTZFREUNDLICHE ALTERNATIVEN

Wer nun gerne auf eine datenschutzfreundlichere Alternative umsteigen möchte, hat zwischenzeitlich die Auswahl zwischen mehreren Anbietern. Eine direkte Vergleichsmöglichkeit bietet unter anderem die Übersicht von Mike Kuketz. Die gängigsten datenschutzfreundlichen Alternativen dürften in dieser Darstellung die Messenger-Dienste Threema sowie Signal sein. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg unterstützt grundsätzlich den Einsatz von Threema als datenschutzkonforme Alternative. Der Messenger-Dienst aus der Schweiz bietet zudem im dienstlichen Umfeld die Version „Threema Work“ an. Bei einem Einsatz dieser Version ist der Abschluss eines Vertrages zur Auftragsverarbeitung möglich, um den Anforderungen des Art. 28 DS-GVO nachkommen zu können.


FAZIT

Sowohl im dienstlichen als auch im privaten Umfeld sollten bei einem Einsatz von Messenger-Diensten die datenschutzrechtlichen Anforderungen betrachtet werden. Hierbei ist abzuwägen welche konkreten (funktionellen) Anforderungen an einen Messenger-Dienst bestehen und wie dieser datenschutzkonform eingesetzt werden kann. Auch wenn im privaten Umfeld keine Sanktionen gemäß den Regelungen der DS-GVO drohen, schadet ein Umdenken auch hier sicherlich nicht. Für unentschlossene WhatsApp-Nutzende verbleibt eine gewisse Bedenkzeit: Die neuen Nutzungsbedingungen gelten nunmehr erst ab dem 15. Mai 2021 verbindlich.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Kommentar
  • Messenger
  • Signal
  • Telegram
  • Threema
  • WhatsApp
Lesen