Datenschutz in katholischen Kindertageseinrichtungen

Um Ihnen die Arbeit zu erleichtern, möchten wir Ihnen die wichtigsten Begriffe des Datenschutzrechts hier kurz erläutern:

Datenschutzaufsicht: Die Katholische Datenschutzaufsicht Nord ist die Aufsichtsbehörde für Norddeutschland. Diese überprüft ggf. auch in den Einrichtungen vor Ort die Einhaltung der datenschutzrechtlichen Vorgaben. Die Ergebnisse der Prüfung werden meist in einem Bericht zusammengefasst. Die Datenschutzaufsicht kann Datenverarbeitungen beanstanden oder sogar ganz untersagen und auch Bußgelder verhängen. Neben der Katholischen Datenschutzaufsicht Nord gibt es noch die Kirchliche Datenschutzaufsicht Ost, das Katholische Datenschutzzentrum, das Katholische Datenschutzzentrum Frankfurt am Main und den Diözesandatenschutzbeauftragten der Bayerischen Bistümer. 

Datenschutzbeauftragter: Der Datenschutzbeauftragte des Trägers unterstützt auch die Kita bei der Umsetzung der gesetzlichen Anforderungen. Er ist zur Verschwiegenheit verpflichtet und als Vertrauensperson zu verstehen.

Personenbezogene Daten: Alle Daten, die man einer bestimmten Person zuordnen kann oder die eine Person näher beschreiben. Hierzu zählen bspw. Name, Anschrift, Geburtsdaten, IBAN, Kfz-Kennzeichen, Personalnummer, etc.

Betroffene Person: Die betroffene Person ist die Person, deren Daten von der Kita bzw. dem Träger verarbeitet werden. Mitarbeitende sind betroffene Person, wenn Daten aus ihrem Beschäftigungsverhältnis verarbeitet werden. Das betreute Kind und dessen Sorgeberechtigte sind betroffene Personen, wenn ihre Daten im Rahmen der Betreuung in der Kita verarbeitet werden.

Kirchliches Datenschutzgesetz: Die katholische Kirche darf aufgrund des Selbstverwaltungsrechts den Datenschutz für sich selbst gesetzlich regeln. Für kirchliche Einrichtungen gilt daher nicht die Europäische Datenschutz-Grundverordnung (DSGVO), sondern das Gesetz über den Kirchlichen Datenschutz (KDG).

Datenschutz-Information nach § 15 KDG: In einigen Fällen verwendet die Kita die Daten anderer Menschen. Über die Nutzung dieser Daten müssen die betroffenen Personen von der Kita bzw. vom Träger frühzeitig und umfassend informiert werden, etwa wie lange diese Daten gespeichert werden oder ob Dritte Kenntnis von Ihnen erhalten.

Auftragsverarbeitung: Hierbei handelt es sich um Dienstleistungen, die Dritte (Unternehmen) für die Kita übernehmen. Voraussetzung ist, dass diese Dienstleister mit Personendaten des Trägers bzw. der Kita in Berührung kommen (könnten). Hierunter fallen z. B. Aktenvernichter oder IT-Dienstleister der Kita.

Viele weitere Definitionen finden Sie im KDG unter § 4 (hier).

Für die Kita selbst muss kein eigener Datenschutzbeauftragter bestellt werden, der Datenschutzbeauftragte des Trägers ist auch für die Betreuung der Kita zuständig.

Jede Person, die in der Kita mit personenbezogenen Daten zu tun hat, ist auf das Datengeheimnis zu verpflichten. Das betrifft auch ehrenamtlich Tätige, wie bspw. die Mitglieder des Elternbeirates, die eine Liste mit Namen und Adressen der Eltern erhalten

Die Verpflichtung der Hauptamtlichen hat i. d. R. über den Träger zu erfolgen, die unterzeichnete Verpflichtungserklärung ist dann in der Personalakte abzulegen. Die Verpflichtungserklärungen der Ehrenamtlichen sind in einem separaten Ordner in der jeweiligen Einrichtung aufzubewahren.

Bei Unterzeichnung der Verpflichtungserklärung sollte stets auch das Merkblatt zum Datenschutz ausgegeben werden.

Dokument: Verpflichtungserklärung für Hauptamtliche

Dokument: Merkblatt zum Datenschutz

Warum ist diese Information wichtig?

Ein wichtiges Ziel des Datenschutzes ist Transparenz. Wenn die Kita die Daten von Personen in irgendeiner Form nutzt (verarbeitet), müssen diese Personen so früh wie möglich darüber informiert werden, was mit ihren Daten geschieht. Wir sprechen hier von einer Datenschutz-Information nach § 15 KDG oder auch von einer § 15-Information.

Die Kita verarbeitet i. d. R. die Daten der Kinder, aber auch die Daten der Beschäftigten und der Eltern/Sorgeberechtigten. Für diese Personen müssen Datenschutz-Informationen bereitgestellt werden.

Dass die betroffenen Personen informiert werden müssen, und über welche Punkte zu informieren ist, ergibt sich aus § 15 KDG.

Diese Information erfolgt i. d. R. schriftlich. Eine ausführliche Datenschutz-Information sollte als Anhang in den Betreuungsvertrag aufgenommen werden. Wir stellen Ihnen dafür ein Muster zur Verfügung.

Was ist hierbei zu beachten?

Wenn in der Kita regelmäßig aushängende Listen verwendet werden – etwa für die Anmeldung zu Veranstaltungen oder als Eintragung, wer einen Kuchen zum Sommerfest mitbringt – ist auch dafür eine Information notwendig. Diese Information sollte bspw. am Schwarzen Brett ausgehängt werden. Unser Muster ist so formuliert, dass es für alle Listen anwendbar ist und nicht für jede Liste neu erstellt werden muss.

Um Ihnen die Arbeit hier zu erleichtern, haben wir für die Standardsituationen bereits die erforderlichen Schreiben für Sie erstellt. Diese müssen nur minimal an den markierten Stellen von Ihnen angepasst werden:

Dokument: Datenschutz-Information Betreuungsvertrag

Dokument: Datenschutz-Information für aushängende Listen

Was ist eine Datenpanne?

Von einer Datenschutzverletzung (oder einfacher Datenpanne) sprechen wir insbesondere dann, wenn ein Unbefugter Zugang zu personenbezogenen Daten hat bzw. haben könnte, für die Ihre Kita verantwortlich ist.

Eine Datenpanne kann z. B. vorliegen, wenn

• Papierdokumente mit personenbezogenen Daten verloren gehen,
• bei einem Einbruch ein PC/Laptop oder eine Kamera gestohlen wird,
• eine E-Mail an den falschen Empfänger versandt wird oder
• bei einer E-Mail an eine Vielzahl von Empfängern (etwa einem Newsletter) nicht die Blindkopie-Funktion (BCC) verwendet wird.

Was ist zu tun?

Fehler passieren – das ist menschlich. Wenn eine Datenpanne vorliegt, muss geprüft werden, ob Meldepflichten bestehen, also

• ob die Datenschutzaufsicht zu informieren ist (hierzu existieren unterschiedliche Meldeformulare, siehe Frage „Wo finde ich weitere Dokumente zum Datenschutz?“) und
• ob zudem auch die betroffenen Personen über diesen Vorfall zu unterrichten sind.

Ob eine Meldung erfolgen muss, hängt davon ab, welche Risiken für die Person, deren Daten einem unbefugten Dritten zur Kenntnis gelangt sind, bestehen.

Die Prüfung muss schnell erfolgen. Sollten Meldungen erforderlich sein, müssen diese innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne auf den Weg gebracht werden.

Wenn eine Datenpanne passiert ist, melden Sie sich so schnell wie möglich bei uns. Wir führen mit Ihnen gemeinsam die rechtliche Prüfung durch und helfen Ihnen, die Meldungen vorzunehmen.

Bei Datenpannen sollten Sie außerdem auch Rücksprache mit Ihrem Träger halten.

Dokument: Richtlinie zum Umgang mit Datenpannen

Ein wichtiger Punkt des Datenschutzrechts ist die Stärkung der Rechte von Personen, deren Daten verarbeitet werden.

Diese Personen sollen vor allem die Möglichkeit haben, sich darüber zu informieren, welche ihrer Daten von der Kita gespeichert und verarbeitet werden. Sofern diese Daten von der Kita nicht oder nicht mehr gespeichert bzw. genutzt werden dürfen, kann auch verlangt werden, dass sie gelöscht werden.

Solche Anfragen müssen Sie innerhalb eines Monats beantworten. Diese Auskünfte sind kostenfrei zu erteilen.

Wenn Sie eine solche Betroffenenanfrage erhalten, sollten Sie in jedem Fall auch Rücksprache mit Ihrem Träger halten.

Dokument: Umgang mit der Geltendmachung von Betroffenenrechten

Kann oder soll eine Tätigkeit nicht durch die Kita oder deren Träger selbst vorgenommen werden, wird regelmäßig ein Dienstleister beauftragt.

Warum ist das für den Datenschutz wichtig?

Wenn der Dienstleister hierbei personenbezogene Daten verarbeitet oder zumindest mit diesen in Berührung kommt, muss zwischen Träger (Auftraggeber) und Dienstleister (Auftragsverarbeiter) ein spezieller Vertrag abgeschlossen werden. Dies ergibt sich aus § 29 KDG.

Welche Fälle betrifft dies?

Ein Vertrag zur Auftragsverarbeitung ist z. B. notwendig, wenn externe Dienstleister

• die EDV in der Kita betreuen, die Computer oder andere Geräte zur Verfügung stellen und diese auch warten,
• die eingesetzten Programme warten und bei Problemen helfen,
• für den Betrieb der Webseite die Hardware bereitstellen,
• Dokumente und Unterlagen für die Kita archivieren oder vernichten.

Diese Dienstleistungen werden im Gesetz als Auftragsverarbeitung bezeichnet. Mit dem Dienstleister muss dann ein entsprechender Vertrag geschlossen werden. Diesen Vertrag nennt man Vertrag zur Auftragsverarbeitung (AVV). Auf Englisch werden diese Verträge als Data Processing Agreement, kurz DPA, bezeichnet.

In diesem Vertrag dokumentiert der Dienstleister, welche Maßnahmen er getroffen hat, um sicherzustellen, dass keine Unbefugten auf die Daten zugreifen können.

Der Vertrag muss zwischen Träger und Dienstleister geschlossen werden. Sie sollten also in jedem Fall Rücksprache mit dem Träger halten.

Wenn Sie einen solchen Vertrag abschließen müssen, können Sie dazu unser Muster nutzen.

Dokument: Muster-Vertrag zur Auftragsverarbeitung

Häufig bietet der Dienstleister der Kita bzw. dem Träger eigene Vertragstexte zur Auftragsverarbeitung an. Sie können uns diese Verträge zur Prüfung übermitteln.

Oft beziehen sich die Verträge von Dienstleistern auf die DSGVO. Dann benötigen Sie noch eine ergänzende Vereinbarung, die sicherstellt, dass der Dienstleister das kirchliche Datenschutzrecht beachtet.

Dokument: Muster-Ergänzungsvereinbarung zum DSGVO-Vertrag

Was ist zu tun?

Gemeinsam prüfen wir, mit welchen Dienstleistern Datenschutzverträge abzuschließen sind. Wir unterstützen Sie bei der inhaltlichen Prüfung der Verträge und der Abstimmung mit dem Dienstleister.

Sollen neue Dienstleister für die Kita tätig werden, informieren Sie uns bitte rechtzeitig. Auch der Träger sollte hierüber informiert werden.

Im Kita-Alltag werden immer wieder Fotos der Kinder angefertigt. Dies ist allerdings nur mit Einwilligung der Sorgeberechtigten möglich. Diese Einwilligung ist unabhängig davon notwendig, ob Fotos nur innerhalb der Kita (z. B. in Portfolios oder Aushängen) oder auch extern (z. B. auf der Webseite) verwendet werden.

Diese Einwilligung muss jährlich – am besten zu Beginn des Kita-Jahres – eingeholt werden. Darin sollten so gut wie möglich alle bereits geplanten Veranstaltungen benannt werden, bei denen Fotos angefertigt werden sollen.

Nutzen Sie dafür bitte unser Muster und ergänzen darin alle geplanten Veranstaltungen. Dafür können Sie sich am Veranstaltungskalender der Kita orientieren.

Dokument: Einwilligungserklärung Foto für Kita-Kinder

Die Bildungs- und Entwicklungsdokumentationen sollte bereits im Betreu­ungsvertrag geregelt werden. Die Dokumentation ist grundsätzlich vom Bildungs- und Förderungsauftrag der Kita umfasst. Dennoch sollten die Eltern eingebunden werden, wenn es um den Inhalt und Umfang der Dokumentation geht.

Der Inhalt der Dokumentation darf nur den Erzieher*innen und den Eltern bekannt sein. Soll diese auch Dritten zur Verfügung gestellt werden, bspw. im Rahmen des Wechsels an die Grundschule, bedarf es zwingend der Einwilligung der Eltern. Siehe auch „Dürfen Daten an die Grundschule weitergegeben werden?“.

Die Weitergabe von Daten eines Kindes an eine Schule ist nur dann möglich, wenn dazu eine Einwilligung der Sorgeberechtigten vorliegt. Das gilt auch bei der Weitergabe von einer katholischen Kita an eine katholische Schule.

Elternbeirat

Besteht in der Einrichtung ein Elternbeirat, sollten dessen Mitglieder auf das Datengeheimnis verpflichtet werden.

Zur originären Aufgabe des Elternbeirates gehört die Kommunikation mit den Eltern. Neben Aushängen in der Einrichtung dürfen diese auch postalisch Kontakt aufnehmen und hierfür eine Liste mit Namen und Anschriften von der Kita erhalten. Für die Nutzung von Telefonnummer bzw. E-Mail-Adresse bedarf es allerdings der Einwilligung der Eltern. Dieser Punkt kann über den Betreuungsvertrag geregelt werden.

Dokument: Verpflichtungserklärung

Dokument: Merkblatt zum Datenschutz

Förderverein

Für die Weitergabe von Daten der Kinder, Eltern und Beschäftigten an den Förderverein bedarf es ausnahmslos der Einwilligung der betroffenen Personen bzw. bei Daten der Kinder der Einwilligung der Eltern. Dieser Punkt kann über den Betreuungsvertrag geregelt werden.

In vielen Situationen werden Listen genutzt, etwa für die Anmeldung zu Veranstaltungen oder zur Koordination von Spenden (z. B. Kuchenspenden). Die Listen können bspw. im Rahmen eines Elternabends erstellt werden oder mittels Aushang einer Liste in der Gruppe, in die sich jeder individuell eintragen kann.

Die Erstellung solcher Elternlisten steht unter dem Vorbehalt einer entsprechenden Einwilligung. Dabei gilt das eigenhändige Eintragen in eine Liste als Einwilligung in die Datenverarbeitung.

Es ist jedoch notwendig, die Personen, die sich in die Liste eintragen, darüber zu informieren, wie ihre Daten verarbeitet werden. Es sollte daher eine Datenschutz-Information für aushängende Listen genutzt werden. Unser Muster hierfür ist so gestaltet, dass es generell gilt und nicht für jede Liste neu angefertigt werden muss. Diese Information sollte etwa am Schwarzen Brett ausgehängt werden, damit sie allen Besuchern der Kita zugänglich ist.

Dokument: Datenschutz-Information nach § 15 KDG für aushängende Listen

Bei telefonischen Auskünften ist Vorsicht geboten! Gerade bei Telefonanrufen kann die Identität des Anrufers nicht oder nicht unmittelbar geprüft werden – als Polizist*in, Elternteil oder Mitarbeiter*in einer Behörde kann sich jede*r ausgeben. Bei anrufenden Sorgeberechtigten kann die Telefonnummer mit den im Betreuungsvertrag angegebenen Nummern abgeglichen werden. Auch kann die Identität durch Abfrage von „Insiderwissen“ geprüft werden. Bei unbekannten Rufnummern oder Zweifeln an der Identität des Anrufers ist auf eine schriftliche Anfrage (Textform, d. h. E-Mail genügt) zu verweisen.

Aufgrund des geltenden Masernschutzgesetztes sind Kita-Beschäftigte und in Kitas betreute Kinder verpflichtet, einen Nachweis über ihren Masernschutz zu erbringen. Die Leitungen der Einrichtungen müssen den Impfnachweis bzw. eine ausreichende Masern-Immunität kontrollieren und dokumentieren, bevor die jeweiligen Personen die Beschäftigung aufnehmen bzw. betreut werden dürfen. Dies sollte entweder durch die Vorlage einer ärztlichen Bescheinigung, durch die Vorlage des Vorsorgeuntersuchungshefts oder durch Vorlage des Impfausweises und die anschließende Anfertigung einer Aktennotiz hierüber erfolgen.

Die Anfertigung von Kopien ist nicht erlaubt.

Eine zentrale Regelung des Datenschutzrechts ist es, dass Daten nur so lange aufbewahrt werden dürfen, wie sie auch tatsächlich benötigt werden. Verlängert wird dieser Zeitraum häufig durch gesetzliche Aufbewahrungsfristen.

Wir empfehlen folgende Aufbewahrungsfristen:

Anmeldeunterlagen: Drei Monate ab Abschluss des Anmeldeverfahrens; das Anmeldeverfahren ist abgeschlossen, wenn eine positive oder negative (rechtskräftige) Bescheidung erfolgte.

Warteliste: maximal zwölf Monate bei Stichtag-Anmeldung

Betreuungsvertrag: zehn Jahre nach Abschluss des Jahres (zum 31. Dezember), in dem die Betreuung endete

Kinderakte: zwei Jahre nach Ende der Betreuung

Bildungs- und Entwicklungsdokumentation: ein Jahr nach Ende der Betreuung bis maximal zum Ende der Grundschulzeit

Wenn diese Aufbewahrungsfristen abgelaufen sind, müssen Papierunterlagen vernichtet werden. Dafür können entweder Datentonnen von externen Aktenvernichtungsunternehmen genutzt werden oder eigene Schredder. Die Schredder sollten dabei nicht zu große Schnipsel produzieren. Nicht ausreichend ist es, wenn der Schredder das Papier nur in lange Streifen schneidet.

Auch elektronische Daten müssen nach Ablauf der Aufbewahrungsfrist so gelöscht werden, dass sie nicht wiederhergestellt werden können.

Ein weiterer wichtiger Punkt ist der Schutz der EDV (PCs, Laptops, Server, Tablets,…) in der Kita. Hier sollten verschiedene Maßnahmen ergriffen werden, damit unbefugte Dritte nicht auf die dort gespeicherten Daten zugreifen können:

• Es muss sichergestellt sein, dass sich Dritte nicht unbeaufsichtigt in der Kita aufhalten (auch wenn Ihnen diese persönlich bekannt sind).
• Die Software auf den Geräten sollte immer auf dem neuesten Stand sein.
• Der Zugang zu den Geräten sollte durch individuelle Kennworte gesichert sein.
• Das Kennwort sollte mindestens achtstellig sein, aus groß- und kleingeschriebenen Buchstaben bestehen sowie mindestens eine Zahl und ein Sonderzeichen enthalten. Aufgeschriebene Kennworte bitte sicher verwahren.
• Die Geräte sollten auch dann gesperrt werden, wenn der Arbeitsplatz nur kurz verlassen wird (Windows-Taste und Taste „L“ betätigen).
• Die Festplatten der Geräte sollten verschlüsselt werden.
• E-Mail-Nachrichten an einen größeren Adressatenkreis, etwa an die Sorgeberechtigten, müssen so versandt werden, dass für die übrigen Empfänger nicht ersichtlich ist, wer die E-Mail noch erhalten hat. Hierzu sind die E-Mail-Adressen der Empfänger in das BCC-Feld des E-Mail-Programms einzutragen.
• Sollen Personendaten per E-Mail versendet werden (Teilnehmer- oder Adressenliste), sollten diese Daten in einem verschlüsselten Anhang verschickt werden, der mit einem (mindestens achtstelligen) Kennwort gesichert ist.

Die wichtigsten Punkte und deren praktische Umsetzung haben wir für Sie in einer Arbeitshilfe zusammengefasst.

Dokument: Maßnahmen zur Erhöhung der IT-Sicherheit

Ausführlichere Informationen zum Datenschutz finden Sie in unserer Arbeitshilfe zum Datenschutz in Kindertagesstätten, bei Fragen können Sie sich aber auch jederzeit an uns wenden.

Dokument: Arbeitshilfe

Außerdem gibt es folgende Internetseiten, die zum katholischen Datenschutzrecht informieren:

• datenschutz notizen

Die datenschutz notizen, der Blog der DSN GROUP. Hier finden Sie zahlreiche Beiträge unserer Berater*innen, auch zum kirchlichen Datenschutzrecht.

• Die Katholische Datenschutzaufsicht Nord

Auf der Webseite der Katholischen Datenschutzaufsicht Nord finden Sie einige sehr hilfreiche Informationen und Arbeitshilfen zum kirchlichen Datenschutz, die Beschlüsse der kirchlichen Aufsichtsbehörden und ein Online-Meldeformular für Datenpannen.

• Die Kirchliche Datenschutzaufsicht Ost

Auf der Webseite der Kirchlichen Datenschutzaufsicht Ost finden Sie weitere Informationen und ein Online-Meldeformular für Datenpannen.

• Das Katholische Datenschutzzentrum

Das Katholische Datenschutzzentrum biete auf seiner Webseite ein Online-Meldeformular für Datenpannen und weitere Informationen.

• Das Katholische Datenschutzzentrum Frankfurt am Main

Das Katholische Datenschutzzentrum Frankfurt am Main bietet auf seiner Webseite ein Online-Meldeformular für Datenpannen und weitere Informationen.

• Der Diözesandatenschutzbeauftragte der Bayerischen Bistümer

Den Diözesandatenschutzbeauftragten der Bayerischen Bistümer können Sie z. B. über die Webseite des Erzbistums München erreichen.

• Gesetze

Kirchliches Datenschutzgesetz (KDG)

Durchführungsverordnung zum Kirchlichen Datenschutzgesetz (KDG-DVO)