Hier eine verständliche Zusammenfassung zum Thema Datenschutz und Kita von Dr. Datenschutz:
„Datenschutzrecht gilt auch für Kinder
In Deutschland wird mit dem einfachgesetzlichen Datenschutzrecht ein gewichtiger Aspekt des Rechtes auf informationelle Selbstbestimmung als eine Ausprägung des verfassungsrechtlich gewährten Allgemeinen Persönlichkeitsrechtes (Art. 2 Abs. 1 Grundgesetz für die Bundesrepublik Deutschland (GG), Art. 1 Abs. 1 GG) umgesetzt und abgesichert. Dieses Grundrecht steht auch Kindern zu. Denn obschon immer mal wieder Rufe nach speziellen Kindergrundrechten laut werden, gelten die Grundrechte bereits heute und im Übrigen schon seit Erlass des GG gleichsam für Erwachsene wie für Kinder.
Auf europäischer Ebene gilt seit dem 25.05.2018 die Datenschutz-Grundverordnung (DSGVO). Die DSGVO verwirklicht ihres Zeichens den in Art. 16 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union (AUEV) sowie in Art. 8 der Charta der Grundrechte der Europäischen Union (EU-Grundrechtecharta) normierten Schutz personenbezogener Daten. Wie bereits das Grundgesetz vermitteln auch der AEUV und die EU-Grundrechtecharta nicht nur Erwachsenen, sondern ebenso Kindern die in ihnen geregelten Rechte.
Und so ergibt es sich, dass sowohl das einfachgesetzliche deutsche Datenschutzrecht als auch die DSGVO grundsätzlich gleichermaßen für Erwachsene, wie für Kinder gelten.
Sofern es die DSGVO betrifft, folgt dies – neben der oben aufgeführten Herleitung – bereits direkt aus der DSGVO selbst. So werden etwa personenbezogene Daten in Art. 4 Nr. 1 DSGVO – insofern allgemein formuliert – als
„(…) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“
legaldefiniert. Und so wird etwa in Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO explizit auf das Kind als betroffene Person Bezug genommen.
Tatsächlich verhält es sich zudem so, dass die DSGVO im Großen und Ganzen nicht zwischen Erwachsenen und Kindern differenziert. Vereinzelte Abweichungen liegen in der Anerkennung des besonderen Schutzbedarfes, etwa infolge der naturgemäßen Unerfahrenheit, sowie einer tendenziell eher vermuteten Sorglosigkeit von Kindern im Umgang mit personenbezogenen Daten begründet (vgl. Erwägungsgrund 38 S. 1 zur DSGVO).
Datenschutz in Kindertageseinrichtungen: Welche Vorschriften gelten?
Ähnlich und wegen der unterschiedlichen Bedürfnisse von Kindern sowie deren Eltern und hiermit korrespondierend differierenden Erwartungen an Kindertageseinrichtungen, existiert eine Vielzahl an unterschiedlichen Kindertageseinrichtungen, hinter denen diverse Träger stehen. Welche Datenschutzvorschriften für die jeweilige Kindertageseinrichtung gelten hängt maßgeblich von dem hinter ihr stehenden Träger ab. Wir stellen nachfolgend eine Auswahl sowohl der möglichen Träger als auch der jeweils einschlägigen datenschutzrechtlichen Vorschriften dar.
Betrieb durch einen Träger der öffentlichen Jugendhilfe
Für Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden – auf die sich die nachfolgend dargestellten „Informationen“ beschränken – gilt zunächst die DSGVO. Weil der deutsche Gesetzgeber, von einer entsprechenden Öffnungsklausel in der DSGVO Gebrauch machend, die Rechtsgrundlagen der DSGVO für den hier relevanten Bereich durch Vorschriften innerhalb des Sozialgesetzbuch(es) (SGB) I, VIII und XI konkretisiert hat, gelten die bereichsspezifischen Datenschutzvorschriften der § 35 SGB I; §§ 67 bis 85a SGB X sowie der §§ 61 bis 68 SGB VIII ergänzend.
Das Landesdatenschutzgesetz gibt Aufschluss über die jeweils zuständige Datenschutzaufsichtsbehörde des Landes.
Betrieb durch einen Träger der freien Jugendhilfe
Für Kindertageseinrichtungen, die von einem Träger der freien Jugendhilfe betrieben werden, gelten die Vorschriften der DSGVO. Die oben benannten konkretisierenden bereichsspezifischen Datenschutzvorschriften der Sozialgesetzbücher hingegen gelten für diese Kindertageseinrichtungen nicht direkt. Allerdings verpflichtet § 61 Abs. 3 SGB VIII den Träger der öffentlichen Jugendhilfe,
„(…) [sofern Kindertageseinrichtungen] und Dienste der Träger der freien Jugendhilfe in Anspruch genommen [werden], (…) sicherzustellen, dass der Schutz der personenbezogenen Daten bei der Verarbeitung in entsprechender Weise gewährleistet ist.“.
Das Bundesdatenschutzgesetz (BDSG) kann für die Frage danach, ob die Bestellung eines Datenschutzbeauftragten zwar nicht nach Art. 37 DSGVO wohl aber nach § 38 BDSG angezeigt ist relevant werden und das Landesdatenschutzgesetz gibt Aufschluss über die jeweils zuständige Datenschutzaufsichtsbehörde des Landes.
Kirchliche Trägerschaft
Für Kindertageseinrichtungen in kirchlicher Trägerschaft gilt die DSGVO nicht. Vielmehr haben sich die beiden großen christlichen Kirchengemeinschaften in Deutschland je ein eigenes Datenschutzrecht gegeben. So gilt für die Evangelische Kirche Deutschland deren Kirchengesetz über den Datenschutz der Evangelischen Kirche Deutschland (DSG-EKD); für die Katholische Kirche hingegen gilt deren Gesetz über den Kirchlichen Datenschutz (KDG).
Inhaltlich übergreifende Geltung der Grundsätze der Datenverarbeitung
Unbenommen der teilweise differierenden Rechtstexte haben diese doch inhaltlich zumindest eines gemein: Sie alle halten zur Wahrung der – originär in Art. 5 DSGVO verankerten – Grundsätze der Datenverarbeitung an, beziehungsweise es sind ihnen diese immanent. Dies dürfte eine übergreifende Orientierung allen datenschutzrechtlichen Handelns an diesen möglich sowie sinnvoll machen.
Unter den Grundsätzen der Datenverarbeitung besonders hervorzuheben sein dürften
- Der Grundsatz der Rechtmäßigkeit der Datenverarbeitung, wonach jede Datenverarbeitung zu ihrer datenschutzrechtlichen Zulässigkeit einer Rechtsgrundlage bedarf.
- Der Grundsatz der Transparenz der Datenverarbeitung, welcher gewährleisten soll, dass die betroffene Person grundsätzlich vollumfänglich über die Verarbeitung ihrer personenbezogenen Daten informiert ist und daher auf dieser Grundlage, wo dies möglich ist, hierauf einwirken kann.
- Der Grundsatz der Zweckbindung, welcher dazu verpflichtet personenbezogene Daten nur für „(…) festgelegte, eindeutige, legitime Zwecke (…)“ zu erheben und untersagt, sie „(…) in einer mit den [Erhebungszwecken] nicht zu vereinbarenden Weise [weiterzuverarbeiten] (…).“.
- Der Grundsatz der Datenminimierung, der dazu anhält stets nur dasjenige an personenbezogenen Daten zu verarbeiten, welches für den jeweils mit der konkreten Datenverarbeitung verfolgten Zweck erforderlich ist.
Schutz personenbezogener Daten von Beschäftigten
Nicht nur die personenbezogenen Daten von Kindern und auch nicht nur diejenigen ihrer Eltern, sondern ferner die personenbezogenen Daten der Beschäftigten in Kindertageseinrichtungen genießen Schutz.
Sofern es die Beschäftigten in Kindertageseinrichtungen in kirchlicher Trägerschaft betrifft, finden sich entsprechende Regelungen im Datenschutzgesetz der jeweiligen Kirchengemeinschaft. Sofern es um den Schutz von personenbezogenen Daten der Beschäftigten in Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, geht, ist neben der DSGVO das Landesdatenschutzgesetz des jeweiligen Bundeslandes heranzuziehen. Sind schließlich personenbezogene Daten der Beschäftigten in Kindertageseinrichtungen, die von einem Träger der freien Jugendhilfe betrieben werden, betroffen, so gilt es in diesem Zusammenhang neben der DSGVO insbesondere § 26 BDSG zu beachten, wobei insofern hinsichtlich des § 26 Abs. 1 S. 1 BDSG die diesbezüglichen neueren Entwicklungen im Hinterkopf behalten werden sollten.
Informationen für Betreuungspersonen
Personenbezogene Daten werden häufig direkt bei der betroffenen Person erhoben. Für Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, schreibt § 62 Abs. 2 S. 1 SGB VIII dies sogar vor, wobei jedoch in § 62 Abs. 3 SGB VIII Ausnahmen hierzu normiert sind.
Handelt es sich bei der betroffenen Person um ein betreutes Kind, so sind es die Betreuungspersonen in der Kindertageseinrichtung, die am häufigsten im Kontakt mit der betroffenen Person sind und hierbei regelmäßig personenbezogene Daten erheben. In diesem Zusammenhang gilt es übergreifend zu beachten, dass personenbezogene Daten, welche von einer Kindertageseinrichtung, die von einem Träger der öffentlichen Jugendhilfe betrieben wird im Zusammenhang ihrer Aufgaben nach dem SGB VIII erhoben werden (hier in Gestalt der dort beschäftigten Betreuungsperson), gem. § 62 Abs. 1 SGB VIII
„(…) nur erhoben werden [dürfen], soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist“.
Die Aufgaben in diesem Sinne lassen sich § 2 Abs. 2 Nr. 3 SGB VIII in Verbindung mit § 22 SGB VIII entnehmen. Es handelt sich hierbei um Aufgaben der Förderung der Persönlichkeitsentwicklung, der Erziehung und Bildung sowie der Unterstützung der Eltern bei einer besseren Vereinbarkeit von Beruf mit Familie. Sollen personenbezogen Daten erhoben werden, deren Kenntnis nicht zur Erfüllung dieser Aufgaben erforderlich ist, bedarf es insofern einer anderen datenschutzrechtlichen Rechtsgrundlage; häufig – nicht immer – wird dies die Einwilligung sein.
Der Betreuungsalltag bringt wiederkehrende Situationen, in denen sich datenschutzrechtliche Fragestellungen ergeben, mit sich. Einige davon wollen wir nachfolgend beleuchten.
Fotos / Videos von betreuten Kindern auf Ausflügen, bei Festen etc.
Fertigen Betreuungspersonen auf Ausflügen, bei Festen oder im Betreuungsalltag Fotos und/oder Videos der betreuten Kinder an, so ist dies regelmäßig nicht zur Erfüllung einer der Aufgaben einer Kindertageseinrichtung, die von einem Träger der öffentlichen Jugendhilfe betrieben wird, erforderlich. Entsprechendes gilt für eine weitere Verarbeitung derartiger Aufnahmen. Daher bedürfen Bertreuungspersonen – in Ermangelung anderweitig in Betracht kommender Rechtsgrundlagen – in der Regel sowohl für das Anfertigen als auch für eine etwaige Weiterverarbeitung solcher Aufnahmen einer Einwilligung der betroffenen Person. Mit Blick auf die Altersgruppe der hier insofern betroffenen minderjährigen Kinder wird eine solche Einwilligung von den sorgeberechtigten Eltern einzuholen sein (siehe hierzu unten unter: Informationen für Eltern).
Wichtig ist es darauf zu achten, dass die hohen Anforderungen an eine solche Einwilligung eingehalten werden. Es sei in diesem Zusammenhang besonders auf die Informiertheit der Einwilligung hingewiesen. Die Eltern müssen in Stellvertretung ihres Kindes daher etwa genau wissen wann, von wem, unter Einsatz welcher Mittel und zu welchen Zwecken Fotos oder Videos von ihrem Kind angefertigt werden sollen und was mit diesen Aufnahmen im Anschluss passiert.
Weitergabe von Adresslisten in der Elternschaft
Die Weitergabe von Adresslisten (Namen, Postanschrift, Telefonnummern, etc.) der betreuten Kinder an die Eltern der übrigen Kinder ist nicht für die Erfüllung einer der im SGB VIII normierten Aufgaben einer Kindertageseinrichtung, die von einem Träger der öffentlichen Jugendhilfe betrieben wird, erforderlich. Als datenschutzrechtliche Rechtsgrundlage einer solchen Weitergabe kommt nur die Einwilligung der sorgeberechtigten Eltern jedes auf der Adressliste eingetragenen Kindes in Betracht.
Wichtig ist hinsichtlich des Einholens der Einwilligung, dass die einwilligenden Eltern genau darüber informiert sein müssen, an wen die Adressliste herausgegeben werden wird. Sollte sich der Kreis der Empfänger nachträglich erweitern, so müsste vor einer entsprechenden Weitergabe eine, um diese Erweiterung ergänzte, neue Einwilligung eingeholt werden.
Weitergabe personenbezogener Daten der Kinder an die (künftige) Grundschule
Nach der Betreuung in einer Kindertageseinrichtung folgt für die Kinder häufig der Wechsel auf eine Grundschule und manche Kinder werden auch nach dem Übergang in die Grundschule am Nachmittag weiter in Kinderhorten oder in altersgemischten Gruppen betreut.
Die Zusammenarbeit zwischen Betreuungspersonen der Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, und der (zukünftigen) Schule ist ausweislich des § 22a Abs. 2 Nr. 3 SGB VIII gerade erwünscht,
„(…) um den Kindern einen guten Übergang in die Schule zu sichern [beziehungsweise] (…) die Arbeit mit Schulkindern in [Kindertageseinrichtungen] (…) zu unterstützen.“.
Doch Obacht bei der Weitergabe personenbezogener Daten eines Kindes: eine solche ist nur mit Einwilligung der sorgeberechtigten Eltern des betroffenen Kindes datenschutzrechtlich zulässig.
Erstellung / Weitergabe von Entwicklungsdokumentationen
Aus § 22 Abs. 3 SGB VIII geht hervor, dass der Förderungsauftrag von Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, neben der Betreuung des Kindes auch dessen Erziehung und Bildung umfasst. Ferner heißt es, die Förderung solle sich mitunter am Entwicklungsstand des einzelnen Kindes orientieren. In § 22 Abs. 2 SGB werden Aufgaben aufgezählt, die eine Kindertageseinrichtung, die von einem Träger der öffentlichen Jugendhilfe betrieben wird, wahrnehmen solle und es heißt dort ferner, die Erziehungsberechtigten sollten einbezogen werden.
Es ergibt sich aus den vorbeschriebenen Regelungen des SGB VIII, dass für die Erfüllung des Förderungsauftrages der Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, eine Dokumentation jedenfalls des Entwicklungsfortschrittes des jeweiligen Kindes erforderlich sein wird.
Auch in den einschlägigen landesrechtlichen Normen finden sich – mögen auch insofern zwischen den verschiedenen Bundesländern Unterschiede bestehen – doch mitunter mindestens Anklänge die in dieselbe Richtung deuten.
So heißt es etwa in Art. 11 Abs. 3 BayKibiG:
„Die pädagogischen Fachkräfte informieren die Eltern regelmäßig über den Stand der Lern- und Entwicklungsprozesse ihres Kindes in der Tageseinrichtung. Sie erörtern und beraten mit ihnen wichtige Fragen der Bildung, Erziehung und Betreuung des Kindes.“
Und in § 3 Abs. 3 S. 2 KiTaG RLP heißt es gar ausdrücklich:
„Für eine entwicklungsgemäße Förderung ist die Beobachtung und Dokumentation der kindlichen Entwicklungsprozesse unter Beachtung der pädagogischen Konzeption und des Datenschutzes erforderlich. Die Dokumentation kann auch Foto- oder Videodokumente enthalten und ist Grundlage für Entwicklungsgespräche mit den Eltern.“
Dies vorweggeschickt dürfte das Erstellen einer Entwicklungsdokumentation – ihrer Art und insbesondere Datenintensität nach in Abhängigkeit der jeweils einschlägigen Vorschriften – datenschutzrechtlich zulässig sein.
Wichtig ist jedoch: Eine Weitergabe derlei Entwicklungsdokumentation wird hierauf nicht gestützt werden können, sondern vielmehr einer entsprechenden Einwilligung der sorgeberechtigten Eltern des jeweils betroffenen Kindes bedürfen.
Informationen für Eltern
Auch für die Eltern von Kindern in Kindertageseinrichtungen, die von einem Träger der öffentlichen Jugendhilfe betrieben werden, stellen sich datenschutzrechtliche Fragen und dies aus unterschiedlichen Perspektiven.
Stellvertretende Wahrnehmung der Datenschutzrechte von Kindern
Werden personenbezogene Daten eines Kindes verarbeitet beziehungsweise sollen sie verarbeitet werden, so stehen die hieraus erwachsenden Rechte dem insofern (potentiell) betroffenen Kind selbst und gerade nicht dessen Eltern zu. Zwar folgt hieraus, dass die Wahrnehmung dieser Rechte zunächst einmal dem Kind als Rechteinhaber ganz selbst überlassen ist; es ist also etwa zunächst einmal an dem Kind in eine Verarbeitung seiner personenbezogenen Daten einzuwilligen oder sich dagegen zu entscheiden. Gleichwohl ist jedoch insofern alternativ eine Stellvertretung rechtlich zulässig. Hinsichtlich von minderjährigen Kindern steht eine solche deren sorgeberechtigten Eltern in Ausübung ihrer elterlichen Sorge gemeinsam zu und obliegt diesen zugleich. Die Eltern haben bei der Ausübung der elterlichen Sorge und mithin auch im Rahmen einer Stellvertretung
„(…) die wachsenden Fähigkeiten [sowie] das wachsende Bedürfnis [ihres] Kindes zu selbstständigem verantwortungsbewusstem Handeln (…)“
zu berücksichtigen. Mit steigendem Alter führt dies – je nach Kind früher oder später – dazu, dass die Eltern sich hinsichtlich der Inhalte der Stellvertretung mit ihrem Kind abstimmen müssen. Für Kinder in Kindertageseinrichtungen dürfte dies angesichts der insofern regelmäßig betroffenen Altersgruppen indes nur selten der Fall sein, etwa hinsichtlich von Kindern in Kinderhorten. Eltern müssen dies jedoch unbedingt im Hinterkopf behalten, zumal der Zeitpunkt des Beginns erforderlicher Abstimmungen stets in Abhängigkeit zu dem individuellen Entwicklungsstand des Kindes steht.
Fotos / Videos auf Festen der Kindertageseinrichtung
Fertigen Eltern auf Festen der Kindertageseinrichtung Fotos und/oder Videos von „fremden“ Kindern, deren Eltern, Betreuungspersonen oder sonstigen Gästen „(…) zur Ausübung ausschließlich familiärer oder persönlicher Tätigkeiten (…)“ an, so liegen regelmäßig die Voraussetzungen der so genannten Haushaltsausnahme (Art. 2 lit. c) DSGVO) vor. In diesem Fall gelangt das Datenschutzrecht nicht zur Anwendung. Weil die Voraussetzungen dieser Ausnahme jedoch nur sehr zurückhaltend angenommen werden können, ist insofern Obacht geboten.
Jedenfalls wenn Fotos und/oder Videos zur Veröffentlichung, etwa in sozialen Netzwerken oder über Messenger Dienste, angefertigt beziehungsweise später hierfür verwendet werden, dürfte es diesbezüglich einer datenschutzrechtlichen Rechtsgrundlage bedürfen.
In Betracht kommt insofern letztlich nur die (vorab einzuholende) Einwilligung der betroffenen Person. Handelt es sich bei dieser um ein Kind, wird regelmäßig die Einwilligung beider sorgeberechtigter Elternteile dieses Kindes einzuholen sein.
Nicht zuletzt aufgrund der insofern bestehenden datenschutzrechtlichen Nachweis- und Dokumentationspflichten empfiehlt es sich, bereits vor dem jeweiligen Fest in der Gemeinschaft aller Eltern im Detail über das beabsichtigte Anfertigen von Fotos und/oder Videos sowie deren etwaiger Weiterverarbeitung zu sprechen und – sofern erforderlich – die entsprechenden Einwilligungen schriftlich einzuholen.
Informationen für Arbeitgeber
Wie bereits eingangs aufgezeigt befasst sich das Datenschutzrecht im Kontext von Kindertageseinrichtungen nicht ausschließlich mit dem Schutz der personenbezogenen Daten von betreuten Kindern und deren Eltern. Wird eine Kindertageseinrichtung von einem Träger der öffentlichen Jugendhilfe betrieben, ist für diesen der folgende Aspekt als Arbeitgeber im Verhältnis zu den in der Kindertageseinrichtung beschäftigten Betreuungspersonen von besonderer Bedeutung.
Darf ein erweitertes Führungszeugnis angefordert werden?
Betreibt ein Träger der öffentlichen Jugendhilfe eine Kindertageseinrichtung darf er sich nicht nur, sondern muss er sich vielmehr gem. § 72a Abs. 1 S. 2 SGB VIII bei Einstellung oder Vermittlung eines Beschäftigten und sodann in regelmäßigen Abständen ein erweitertes Führungszeugnis von diesem vorlegen lassen.
Wichtig ist in diesem Zusammenhang: § 72a Abs. 1 S. 2 SGB VIII verpflichtet nur zur Vorlage, nicht zur Aufbewahrung des Originales oder einer Abschrift des erweiterten Führungszeugnisses. Insbesondere weil ein solches sensible personenbezogene Daten enthält, wird ein bloßer Sichtvermerk, nebst einem Vermerk über das Nichtvorliegen einer rechtskräftigen Verurteilung wegen einer der in § 72a Abs. 1 SGB VIII genannten Strafen, zur Erreichung des Zweckes der Erfüllung der Pflicht aus § 72a Abs. 1 SGB VIII ausreichen. Eine darüberhinausgehende Verarbeitung des personenbezogenen Datums „erweitertes Führungszeugnis“ dürfte daher regelmäßig datenschutzrechtlich unzulässig sein.
Kindergarten, Kita und Co.: Diverse Datenverarbeitungen auch hier
Wie das übrige Leben ist auch der Kontakt zur und der Aufenthalt in der Kindertageseinrichtung von diversen Datenverarbeitungen durchflochten. Ob diese jeweils datenschutzrechtlich zulässig sind und wie beabsichtigte Datenverarbeitungen auf datenschutzrechtlich „sichere Füße“ gestellt werden können, lässt sich am besten und letztlich nur anhand der jeweils einschlägigen Normen beurteilen; ein erstes Gefühl hierfür dürften aber bereits die dargestellten Beispiele vermittelt haben. Gerade für neu auftauchende Datenverarbeitungen gilt jedoch: „know your facts“ oder konkreter „kenne, die einschlägigen Normen“.“
