Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.
WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?
Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.
WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?
Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.
DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?
Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.
DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?
Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?
DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?
Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.
Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.
DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?
Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.
Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.
DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?
Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.
DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?
Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.
FAZIT
Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.