Datenschutzfallen in der Kita

veröffentlicht am 7. Januar 2020

Eine Umfrage des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg zeigt: Die Kommunen fühlen sich häufig überfordert damit, die DSGVO Anforderungen zuverlässig umzusetzen. Dass mit der Bestellung eines Datenschutzbeauftragten im Prinzip „alles erledigt” wäre, ist ein gefährliches Missverständnis. Fast jeder Praxishandgriff in einer Kita umfasst die Verarbeitung personenbezogener Daten. Es ist daher unbedingt empfehlenswert, den Mitarbeitern mit maßgeschneiderten, schlanken Schulungsangeboten eine eigene Trittsicherheit zu geben, denn im Alltag ist der Datenschutzbeauftragte oftmals nicht ad hoc erreichbar.

„Insgesamt fühlen die Gemeinden in Baden-Württemberg sich durch die Anforderungen der Datenschutz-Grundverordnung stark belastet. Häufigster Grund dafür ist der Mangel an personellen und zeitlichen Ressourcen, um die neuen Herausforderungen im Datenschutz stemmen zu können.” Mit diesen Worten wird Stefan Brink, der Landesdatenschutzbeauftragte des Landes Baden-Württemberg, in einer Pressemeldung seines Hauses (LfDI) vom 4.11.2019 zitiert. Anlass für diese Einschätzung war die Vorstellung der Ergebnisse einer Umfrage, die er bei allen 1101 baden-württembergischen Gemeinden zur Umsetzung des neuen Datenschutzrechts durchgeführt hatte. Gerade bei kleineren Gemeinden bestehe demnach oft das Missverständnis, dass den Anforderungen der Datenschutz-Grundverordnung bereits mit der Bestellung eines Datenschutzbeauftragten Genüge getan sei. Man muss davon ausgehen, dass die baden-württembergischen Befunde bundesweit zutreffen.

UNSICHERHEIT IST EIN LÄHMENDER ZUSTAND IN DER PRAXIS

Muss für jede Form der Datenverarbeitung eine Einwilligung der Sorgeberechtigten eingeholt werden oder ist das in manchen Fällen auch überflüssig? Woran ist in der Praxis beim Sommerfest zu denken, wenn es um Fotos von der Veranstaltung, aber auch um die Bewerbung der Veranstaltung unter Verwendung von Fotos geht? Wie verhält sich ein Erzieher korrekt, wenn bei einem Kind der Verdacht auf häusliche Gewalt besteht? Fragen wie diese sind regelmäßig zu hören, wenn man mit der Leitung kommunaler Kitas, Horte und Krippen über Datenschutzfragen spricht.

51 Prozent der baden-württembergischen Gemeinden geben in der o. g. Umfrage an, Unterstützungs- und Beratungsleistungen durch den LfDI zu wünschen. Bei der Frage nach dem Inhalt dieses Unterstützungsbedarfs rangieren Schulungen und Seminare an zweiter Stelle, hinter „Handreichungen, Informationsschriften, Musterformularen”. Das erscheint naheliegend. Nahezu jeder Alltagsprozess in einer Kita tangiert datenschutzrechtliche Fragen. Wenn die Mitarbeiter nicht in die Lage versetzt werden, zumindest alltägliche Sachverhalte selbstständig zu beurteilen, kann sich dies lähmend auf den gesamten Betrieb auswirken – denn der Datenschutzbeauftragte kann schließlich nicht immer auf Knopfdruck bereitstehen, um jede aufkommende Alltagsfrage zu beantworten. Grundwissen und ein darauf basierendes eigenes Urteilsvermögen der Mitarbeiter für den Alltag erscheinen unverzichtbar.

TYPISCHE PROBLEMFELDER: TELEFONAUSKÜNFTE, DATENAUSTAUSCH MIT BEHÖRDEN, DATENÜBERMITTLUNG ÜBER WHATSAPP

Häufige Fußangeln in der Praxis liegen beispielsweise bei telefonischen Auskünften an die Sorgeberechtigten. Diese dürfen allenfalls dann erfolgen, wenn man keinerlei Zweifel an der Identität des Anrufers und dessen Informationsrecht hegt. Ein Rückruf unter der von den Sorgeberechtigten hinterlegten Telefonnummer kann Abhilfe schaffen.

Generell muss bei der Datenweitergabe an andere Stellen, auch wenn es sich um Behörden handelt, darauf geachtet werden, dass der Umfang der offengelegten Daten strikt an dem Zweck der Übermittlung ausgerichtet ist, da ansonsten das grundlegende Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. c) DSGVO) verletzt wird. Im SGB VIII ist für die Kitas in öffentlicher Trägerschaft die Zusammenarbeit mit den Schulen vorgegeben. „Zusammenarbeit” bedeutet jedoch nicht notwendigerweise die (teilweise angeforderte) vollständige Offenlegung der Bildungsdokumentation. Aus der gesetzlichen Anforderung lässt sich außerhalb der Anzahl der für die betreffende Grundschule zu erwartenden Einschulungskinder zunächst nur die Informationstiefe „Name”, „Geschlecht” und „Geburtsdatum“ zwingend herleiten.

Ein im Alltag leider oft kaum beachtetes Thema ist die Verteilung von Dienstplänen. Die Praxis, den Dienstplan (oder auch andere betriebliche Daten wie z. B. Buchungszeiten von Kindern) schnell mit dem privaten Handy abzufotografieren und den Kollegen über die WhatsApp-Gruppe zur Verfügung zu stellen, bedeutet einen Datenschutzverstoß, auch wenn diese Praxis – aus Unwissenheit heraus – in vielen Fällen alltäglich ist. Da auf diese Weise personenbezogene Daten desjenigen, von dem im Dokument die Rede ist, ohne dessen Einwilligung verarbeitet werden und anschließend aufgrund der Geschäftsbedingungen der Facebook-Gruppe keine Einflussnahme des Verantwortlichen mehr möglich ist, erfolgt eine Datenverarbeitung ohne Rechtsgrundlage sowie die Übermittlung in ein Drittland, worauf der Betroffene zuvor hätte hingewiesen werden müssen. Hinzu kommt die Verwendung des privaten Handys, womit die Daten die Einflusssphäre der Einrichtung ohnehin auf Nimmerwiedersehen verlassen.

PRÄSENZSCHULUNGEN SIND WÜNSCHENSWERT, KOMMEN ABER TEILWEISE NICHT IN BETRACHT

Nicht in allen Bundesländern existiert ein umfassendes, speziell auf die Belange der Kommunen angepasstes Schulungsangebot zum Datenschutz. Für Baden-Württemberg ist dies mit dem Schulungs- und Fortbildungszentrum beim LfDI in Aussicht gestellt. Hinzu kommt, dass eine dokumentierte Schulung zahlreicher Mitarbeiter, die in kommunalen Einrichtungen wie Kitas, aber auch Pflegeeinrichtungen und Krankenhäusern, dringend angezeigt ist, in Form von Präsenzschulungen viel Zeit und auch Geld in Anspruch nimmt.

Der praktische Nutzen einer Datenschutzschulung hängt davon ab, ob tatsächlich die alltäglichen Fragen und Nöte der Mitarbeiter in Sachen Datenschutz angesprochen und beantwortet werden. Standardschulungen ohne Bezug zur Arbeitswirklichkeit bieten keine wirkliche Lösung. Eine weitere Gefahr lauert darin, die Wiedergabe der Rechtsvorschriften zu hoch zu dosieren – dies spricht Menschen nicht an, die sich für einen sozialen Beruf entschieden haben.

E-LEARNING KANN EINE ALTERNATIVE SEIN

Weil die traditionelle Präsenzschulung oftmals auch aufgrund der Arbeitszeitmodelle und des Schichtdienstes nicht in Frage kommt, stellt sich die Frage nach geeigneten E-Learning-Formaten. Rödl & Partner hat Videotutorials zum Datenschutz speziell für Kindertagesstätten, für Krankenhäuser und für Pflegeeinrichtungen entwickelt, die jeweils die branchenspezifischen Fragestellungen verständlich beantworten und mit deren Hilfe systemgestützt der erforderliche Nachweis einer vollständigen Mitarbeiterschulung im Datenschutz geführt werden kann.