kommunale IT und Software > Wissen > IT / TECHNIK > Datenschutz > Datenschutzkonzeption Kindertagesstätten

Datenschutzkonzeption Kindertagesstätten

DATENSCHUTZKONZEPTION AN KINDERTAGESSTÄTTEN

In einer Kindertagesstätte werden personenbezogene Daten gespeichert und verarbeitet. Zum Zuge der Entwicklungsbeobachtung des Kindes erfolgen in gewissen Einrichtungen ein Profiling und eine Dokumentation zum Kind.

Die Anforderungen an den Datenschutz umfassen die Prozesse der Datenerhebung, Datenverarbeitung, Datenverwaltung, Dokumentation der Prozesse, die Protokollierung von Verstößen gegen den Datenschutz sowie getroffene technisch organisatorische Maßnahmen.

Betroffener Personenkreis:

  • Kinder
  • Eltern
  • Erzieher
  • sonstige Mitarbeiter (technisches Personal)

Datenumfang:

  • Namen
  • Anschriften
  • Geburtsdaten
  • Merkmale zur Religion
  • Profiling
  • Fotos
  • Kommunikationsdaten (Telefon, Email)
  • Hinweise zu Erkrankungen

Grundsätze der Datenerhebung:

Die Erhebung und Verarbeitung von personenbezogenen Daten hat unter Beachtung des Artikels 5 der EU-DSGVO zu erfolgen. Die rechtlichen Grundlagen im Bereich der Kindertagesstätten sind das Kitagesetz (KitaG) in Verbindung mit dem Sozialgesetzbuch (SGB) – Achtes Buch (VIII) – Kinder- und Jugendhilfe. Im Zuge der EU-DSGVO ist für den Umfang der erfassten Daten, die Rechtmäßigkeit und die Notwendigkeit der Erfassung der Daten (Datenminimierung) zu prüfen und zu dokumentieren. Die erhobenen Daten sind nur zweckgebunden und für die in der Kindertagesstätte relevante Verarbeitung zu verwenden und nicht für Datenverarbeitungen außerhalb des Bereichs der Kindertagesbetreuung.

Die Verarbeitung personenbezogener Daten ist dann zulässig, wenn die Rechtmäßigkeit der Datenverarbeitung gegeben ist, also eine gesetzliche Grundlage vorhanden ist oder die betroffene Person ihre Einwilligung gegeben hat. Wenn keine der beiden Bedingungen zutrifft, bleibt die Verarbeitung verboten (Verbot mit Erlaubnisvorbehalt). Die erfassten Daten müssen sachlich richtig sein und müssen auf Verlangen bei Fehlerhaftigkeit korrigiert werden.

Es sind Aufbewahrungsfristen zu definieren und ihm Rahmen dieser Aufbewahrungsfristen nach Ablauf Daten zu löschen bzw. zu vernichten. Hier ist zu empfehlen, dass die personenbezogenen Daten spätestens 1 Jahr nach Verlassen des Kindes aus der Einrichtung zu entfernen sind.

Die Sicherheit und die Vertraulichkeit der Daten muss zu jeder Zeit gewährleistet sein. Der Zugriff auf die Daten ist auf die zwingend notwendigen Personen einzuschränken. Der Zugang zu diesen Daten ist mit einem sicheren personenidentifizierbaren Zugang mit komplexem Passwort abzusichern. Der Zutritt zu Räumen mit personenbezogenen Daten bzw. der Zugriff auf Akten mit personenbezogenen Inhalten ist vor dem Zugriff Dritter zu schützen.

Es sind technisch-organisatorische Maßnahmen zu treffen und zu dokumentieren, die den Schutz der Daten gewährleisten. Die getroffenen technisch-organisatorischen Maßnahmen sind in regelmäßigen Abständen auf ihre Wirksamkeit und auf die Aktualität nach dem technischen Standard zu überprüfen. Die Überprüfungen sind zu dokumentieren und eventuell daraus resultierende Änderungsvorschläge dem Datenschutzbeauftragten vorzulegen.

Für Kindertagesstätten weisen wir vor allem auf die Grundsätze Informationspflicht (Artikel 13 EU-DSGVO), Auskunftsrecht (Artikel 15 EU-DSGVO), Recht auf Berichtigen (Artikel 16 EU-DSGVO), Recht auf Löschen von Daten (Artikel 17 EU-DSGVO), Recht auf Einschränkung der Verarbeitung (Artikel 18 EU-DSGVO), Datenübertragung (Artikel 20 EU-DSGVO) und Widerspruchsrecht (Artikel 21 EU-DSGVO) hin.

Dokumentation:

  • Aufstellung aller IT-Geräte der Kindertagesstätte
  • Netzwerkplan / Patchplan
  • Dokumentation der Zugriffsberechtigungen
  • Dokumentation externer Zugänge
  • Dokumentation zu Funktionalität der Datensicherung
  • Verarbeitungsverzeichnis zu eingesetzten EDV-Verfahren (Artikel 30 DSGVO)
  • Prozessablauf bei Auskunftsersuchen („Recht auf Auskunft“)
  • Prozessablauf zu Datenlöschungen („Recht auf Vergessenwerden“)
  • Prozessablauf zur Meldung von Verstößen gegen den Datenschutz
  • Risikofolgeabschätzung und geeigneter Maßnahmen (Artikel 35 DSGVO)

Auftragsdatenverarbeitung:

Sofern externe Personen oder Firmen in Kontakt mit den personenbezogenen Daten kommen, sind diese zu dokumentieren. Für diese Fälle ist mit dem betroffenen Personen und Firmen eine Auftragsdatenverarbeitung abzuschließen. 

Einverständniserklärung:

Daten die die Kindertagesstätte erhebt, benötigen eine Einverständniserklärung des Eigentümers der Daten oder der Personensorgeberechtigten oder gesetzlicher Vertreter. Die Abgabe des Einverständnisses muss freiwillig geschehen. In der Einverständniserklärung muss auf das Rechts des Eigentümers auf Auskunft und Berichtigung hingewiesen werden. Die Einwilligungserklärung ist zu unterzeichnen.

Umfang der Datennutzung:

Für einen ordnungsgemäßen laufenden Ablauf der Kindertagestätte ist die Verarbeitung personenbezogener Daten zulässig, wie sie sich aus den gesetzlichen Vorgaben ableiten lässt.

Für Verarbeitungen außerhalb des ordnungsgemäßen Kitabetriebes ist die Notwendigkeit der Verarbeitung zu prüfen bzw. die Einhaltung des Datenschutzes und des Persönlichkeitsrechtes zu prüfen. Dies betrifft insbesondere das Erstellen und die Speicherung von Fotos und deren Verbreitung. Eine hohe Prüfung ist hier insbesondere für Medien notwendig, aus den sich die Informationen nicht mehr entfernen lassen (Webseiten, Social Media).

Schutzbedarf:

Nach Artikel 32 der EU-DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden. Grundsätzlich müssen alle Beschäftigten einer Kindertagesstätte über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden. Die Unterweisungen sind zu dokumentieren und von den Beschäftigten als Nachweis gegenzuzeichnen.

Webseiten:

Im Impressum der Webseiten von Kindertagesstätten ist als Ansprechpartner der Leiter der Kindertagesstätte zu benennen, und entsprechend der vom örtlichen Träger zuständige benannte Verantwortliche für den Datenschutz inklusive Kontaktinformationen. Ebenso muss im Impressum der örtliche Träge der Kindertagesstätte inklusive Kontaktinformationen benannt sein.

Die Webseite muss den gesetzlichen Ansprüchen der EU-DSGVO und des Telemediengesetzes entsprechend und konform sein.

Wird eine Analyse-Software wie Google Analytics eingesetzt, muss der Grund der Nutzung genannt und ein Hinweis veröffentlicht werden, wie Besucher der Erhebung ihrer Daten widersprechen können. Ebenso muss der Webseiten-Benutzer auf den Einsatz von Cookies hingewiesen werden bzw. bedarf dies ebenso einer Zustimmung des Nutzers. Werden Daten über Kontaktformulare erhoben, bedarf es eines Hinweises auf die Datenschutzerklärung. Diese muss detailliert offenlegen, wo und zu welchem Zweck Daten erhoben werden, wie sie verarbeitet, wie lange und wo sie gespeichert und wann sie gelöscht werden. Und sie muss eine Kontaktmöglichkeit zum Datenschutzbeauftragten beinhalten.

Rechtsgrundlagen:

  • Sozialgesetzbuch  VIII – Kinder und Jugendhilfe – in der Fassung der Bekanntmachung vom 11. September 2012 (BGBl. I S. 2022), das zuletzt durch Artikel 10 Absatz 10 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist“
  • Zweites Gesetz zur Ausführung des Achten Buches des Sozialgesetzbuches – Kinder- und Jugendhilfe – (Kindertagesstättengesetz – KitaG) In der Fassung der Bekanntmachung vom 27. Juni 2004 (GVBl.I/04, [Nr. 16], S.384) zuletzt geändert durch Artikel 1 des Gesetzes vom 18. Juni 2018 (GVBl.I/18, [Nr. 11])
  • Infektionsschutzgesetz
  • EU Datenschutzgrundverordnung (EU-DSGVO)
  • Bundesdatenschutzgesetz (BDSG)