Datenschutz im Kindergarten: Wie die DSGVO-Umsetzung im Kindergarten gelingt

Mit sogenannten Codes of Conduct eröffnet die EU-DSGVO die Möglich­keit, branchen­weit Daten­schutz­standards vorzu­legen. Voraus­setzung ist aller­dings ein re­präsentativer Dach­verband – den es z.B. bei der Kinder­betreuung aber nicht gibt. Trotz­dem gibt es eine Lösung für praktische Verhaltensregeln.

Ein Code of Conduct für die Kinderbetreuung

Von Florian Eichberger

Man kann mit eigenen Ohren hören, ob es einer Kita gut geht. Nicht an der Lautstärke der Kinder – dass Kinder lachen, weinen, toben und trällern, ist normal –, sondern am Stresspegel in den Stimmen der Kindergärtnerinnen. Und es sind nicht die Kinder, die ihnen auf die Nerven gehen. Es sind zu große Gruppen, zu wenig Raum, zu wenig Zeit, zu viel Papierkram, fast schon regelmäßige Ausnahmesituationen, quengelnde Eltern und starrsinnige Ämter. Und dann kommt auch noch die Europäische Datenschutz-Grundverordnung (EU-DSGVO).

Die Kinderbetreuung muss sich Tag für Tag im Spannungsdreieck zwischen Selbstbild, Ressourcenknappheit und den Ansprüchen von Eltern, Einrichtungsträgern und Behörden zurechtfinden. Dabei wollen Kindergärtnerinnen und Erzieherinnen am liebsten nur in Ruhe mit den Kindern arbeiten. Was sie davon abhält, sind vor allem Dokumentationspflichten und der weiterhin virulente Personalmangel. Das ist schon mehr als genug.

Zu viel für eine Zusatzaufgabe

Tatsächlich ist die Überlastung in vielen Einrichtungen der Kinderbetreuung so groß, dass es für Kindergärtnerinnen und Erzieherinnen oft nur mehr darum geht, den Tag irgendwie „auszuhalten“ – dieses Stichwort fällt mehrfach in der HiSKiTa-Studie der BertelsmannStiftung „Professionelles Handeln im System“ (2020). Die Personaldecke ist fast überall dünn, Ausfälle und Vakanzen lassen oft nur einen Notbetrieb zu. Freie Stellen können erst spät, manchmal gar nicht mehr besetzt werden. Rund ein Drittel der Beschäftigten klagt über Dauerstress – so ein Ergebnis der aktuellen OECD-Studie TALIS Starting Strong.

Interessanterweise hat gerade der Rechtsanspruch auf einen Krippenplatz dazu geführt, dass dem Datenschutz in der Kinderbetreuung weniger Relevanz beigemessen wird. Weil die Politik möglichst rasch möglichst viele Pädagoginnen an die Front bringen wollte, ist der Anteil von jungen Berufseinsteigerinnen und von reaktivierten Erzieherinnen deutlich gestiegen. Tatsächlich machen die Älteren laut Fachkräftebarometer des Deutsches Jugendinstituts sogar den größten Teil des neu gewonnenen Personals aus: 29 % sind 50 Jahre oder älter. Während Kindergärtnerinnen, die in der Mitte ihres Lebens stehen, Formalitäten eher hinnehmen – es sind schließlich nur einige neben vielen, wenn man Familie hat –, stellen Ältere die „neumodischen Vorschriften“ im Zweifelsfall eher hintan. Motto: Es ist früher auch ohne gegangen.

KiGA-Altersgrafik.jpg
Pädagogisches und leitendes Personal in Kindertageseinrichtungen nach Altersgruppen 2006 bis 2018 (Deutschland; Anzahl; in Prozent): Die meisten sind über 50 – das zeigt das Fachkräftebarometer Frühe Bildung 2019 (Bild: Deutsches Jugendinstitut e.V. – Autorengruppe Fachkräftebarometer)

Junge Kräfte wiederum finden sich immer öfter in Situationen wieder, die sie überfordern und gar keinen Raum für Datenschutzbedenken lassen. Wenn eine 21-Jährige am Morgen erfährt, dass sie heute die Kleinkindgruppe allein besorgen muss und, Überraschung!, Carla von ihrer Mutter schon wieder mit voller Windel gebracht wurde, geht es für alle nur mehr darum, den Tag ohne Zwischenfälle zu überstehen. Hat Carlas Mutter gerade ein Handy-Foto gemacht? Egal, denn zugleich möchte eine andere Mama endlich wissen, warum in der Sternengruppe eigentlich so wenig gebastelt wird …

Datenschutz muss umsetzbar sein

Kinder sollen besonderen Schutz genießen, ebenso ihre Daten. Datenschutz in Kitas, Kindergärten, Tagesbetreuungen und anderen frühpädagogischen Einrichtungen ist praktischer Kinderschutz. Und es ist gut so, dass die DSGVO Kinder von sich aus als besonders schutzbedürftig erkannt hat (DSGVO-Erwägungsgrund 38). Schon Zwölfjährige würden sich schön bedanken, wenn sie im Klassen-Chat mit Fotos aus ihrer Kindergartenzeit konfrontiert würden, die frei im Internet kursieren.

Bleiben wir kurz bei diesem Beispiel – es ist das mit Abstand am meisten diskutierte in diesem Zusammenhang. Der Berliner Beauftragten für Datenschutz und Informationsfreiheit ist es gelungen, das Thema „Foto und DSGVO“ in der Handreichung „Datenschutz bei Bild-, Ton- und Videoaufnahmen“ auf 45 Seiten zusammenzufassen. Aber: Sie eignet sich eher für Einrichtungsträger und vielleicht für Leiterinnen, aber kaum für Erzieherinnen, Kindergärtnerinnen oder Tagesmütter. Die Umsetzungshinweise machen dort halt, wo die Zweifelsfragen der täglichen Arbeit beginnen.

2020-BlnBDI-Datenschutz Bild Ton Video.jpg

Handreichung zum Download
Den Berliner Leitfaden für Kindertageseinrichtungen „Datenschutz bei Bild-, Ton-und Videoaufnahmen“ gibt es bei der dortigen Beauftragten für Datenschutz und Informationsfreiheit online als PDF-Download. Direkt praxisrelevant ist davon hauptsächlich das Kapitel 3: zehn Seiten und drei Zeilen. Was leider nicht dabei ist: eine Mustervorlage zur Elterneinwilligung, das Infoblatt für Eltern und dergleichen. Die Handreichung ist trotzdem ein sehr guter Ansatz, eine komplexe Problematik relativ kompakt und einfach zu vermitteln. (Bild: Senatsverwaltung für Bildung, Jugend und Familie – Berliner Beauftragte für Datenschutz und Informationsfreiheit)

Dies ist fast überall so: Der „letzte Schritt“ bleibt einem überlasteten Personal überlassen, das oft extrem verunsichert ist. Denn so viel wissen alle: Die DSGVO ist streng und kann extrem teuer kommen. Das hat sogar zur Folge, dass Kindergärten manchmal überreagieren – und damit vom Regen in die Traufe kommen. Bei einer Kita-Veranstaltung mit Fotograf diejenigen Kinder, deren Eltern keine Fotos wünschen, in einen Nebenraum zu schieben oder sie mit roten Mützen zu kennzeichnen, ist sicher keine gute Idee.

Datenschutz muss belegbar sein

Das Problem besteht nicht darin, den Datenschutz in der Kinderbetreuung durchzusetzen – das klappt insgesamt schon ganz gut. Die Aufgabe besteht vielmehr darin, den Datenschutz verlässlich, prüfbar und nachweisbar zu organisieren – und ihn den Betreuerinnen so leicht und sicher wie möglich zu machen.

Praktischer Datenschutz in der Kinderbetreuung findet auf vier Ebenen statt. Notwendig sind

  1. eine Verbands- oder Dachstruktur, der klar ist, dass das Personal auf den Spielteppichen Besseres zu tun hat als Paragraphen zu studieren, und die aktiv nach Lösungen sucht, wie sich in ihren Einrichtungen ein angemessenes, einheitliches Datenschutzniveau sicherstellen und am besten auch nachweisen lässt (statt juristische Schriftsätze einfach an die Leiterinnen durchzureichen);
  2. eine verantwortliche Leitung, die Elterneinwilligungen, Vereinbarungen mit Drittanbietern etc. sauber gesammelt und eine gute Übersicht über Verfahren, Löschfristen etc. hat, Auskunftsersuchen einfach beantworten und auf Nachfrage jederzeit problemlos ein DSGVO-konformes Datenschutzniveau nachweisen kann, die ihren Mitarbeiterinnen den Rücken frei hält und ihnen klare Verhaltensregeln mitgeben kann, die überschaubar, verständlich und machbar sind;
  3. ein Personal, das handlungssicher ist und weiß, was notwendig ist, was erlaubt und was nicht erlaubt ist – und vielleicht sogar, was die Eltern verlangen dürfen. Zu wünschen wären dazu
  4. kooperative Eltern, die wissen, dass Einwilligungserklärungen zum Besten ihrer Kinder sind (und die Einwilligung freiwillig ist), die ungefähr ihre Elternrechte kennen und sich auch selbst an die Datenschutzprinzipien halten.

Code of Conduct: Praktische Verhaltensregeln

Dem Gesetzgeber war offenbar bewusst, dass die Umsetzung der Datenschutz-Grundverordnung je nach Branche unterschiedlich ausfallen muss. In Art. 40 DSGVO geht es unter anderem um konkrete Verhaltensregeln, sogenannte Codes of Conduct, und darum, wer dazu befugt ist, sie aufzustellen. Um es kurz zu machen: niemand, zumindest nicht für die Kinderbetreuung. Die Datenschutzkonferenz hat bereits klar gemacht, dass sie Verhaltensregeln nur von einer Art Gesamtverband akzeptieren würde. Einen solchen Gesamtverband der Kinderbetreuungseinrichtungen Deutschlands gibt es natürlich nicht. Dass ein förmlicher Code of Conduct wie eine Zertifizierung mit erheblichem Aufwand verbunden wäre und spätestens beim Audit erhebliche Kosten aufwerfen würde, sei nur am Rande bemerkt. Es besteht auf absehbare Zeit ohnedies keine Aussicht auf DSK-approbierte Verhaltensregeln für Kitas, Krippen und Kindergärten.

Diese missliche Lage ist erkannt – und sie hat seit Anfang 2021 sogar eine praktische Lösung gefunden: in Verhaltensregeln für die Kinderbetreuung, wie sie die Datenschutzexperten um Dr. Sebastian Kraska von der Münchner IITR Datenschutz GmbH formuliert haben. Sie setzen an die Stelle von DSK-Richtlinien eine kontrollierte privatrechtliche Selbstverpflichtung. „Privatrechtlich“ heißt: Wer teilnimmt, verpflichtet sich, den Standard einzuhalten, und bekommt das schriftlich bestätigt.

Iitr-leitzordner-verhaltensregeln-kinderbetreuung.jpg
IITR hat Datenschutz-Verhaltensregeln für die kommunale sowie privatrechtliche Kinderbetreuung zusammengestellt und um praxisgerechte Vorlagen und Erklärungen ergänzt. Die Dokumente dazu passen samt Vorlagen in einen Leitz-Ordner, der auch noch Platz für die Ablage der Einwilligungen bietet. Alle zwei Jahre bestätigt eine Urkunde, dass die Auffrischungsprüfung absolviert ist. (Bild: IITR Datenschutz GmbH)

Gelebter Datenschutz in der Kinderbetreuung

Die Verhaltensregeln für die Kinderbetreuung von IITR orientieren sich an den niedersächsischen Praxistipps „Datenschutz in der Kindertagesstätte“. Ihr Kern sind klare Verhaltensregeln, die von Datenschutzexperten mit Kita-Sachkenntnis formuliert sind, möglichst kurz, möglichst klar, möglichst praxisorientiert. Mit dabei sind außerdem Vorlagen für Datenschutzerklärungen, Elterneinwilligungen, Vereinbarungen mit Drittanbietern, die Beantwortung von Auskunftsersuchen etc. Dieses Material passt in einen einzigen Leitz-Ordner, der auch noch Platz für die Ablage bietet. Vermittelt wird das Praxiswissen durch Einweisungen vor Ort, Live-Webinare und flexibles E-Learning im Internet – nicht mehr als nötig, aber auch nicht weniger.

Alle zwei Jahre steht außerdem ein Audit an, das jedoch kein Angstgegner ist: Es findet ebenfalls online als Selbstabfrage statt – IITR hat für solche Zwecke das Instrument PSE (Privacy Status Evaluation) entwickelt – und sollte nicht länger als zwei Stunden in Anspruch nehmen. Dazu erhalten teilnehmende Kitas und Kindergärten eine Urkunde, die sichtbar ausweist, dass sie sich aktiv mit dem Datenschutz auseinandersetzen. Die Jahresgebühr beträgt 100 Euro.

  1. Verbände und Verbunde haben damit die Möglichkeit, all ihren nachgelagerten bzw. assoziierten Einrichtungen ein einheitliches, sicheres und anwendbares Set von praxisgerechten DSGVO-Regeln und -Verfahren an die Hand zu geben. Das strukturierte Vorgehen erleichtert außerdem den Anschluss an ein Datenschutz-Management-System und die konsolidierte Datenübergabe etwa bei Gesundheits- und Entwicklungsscreenings oder von Sozialdaten nach SGB VIII.
  2. Die Leiterinnen können diese Verhaltensregeln direkt an die Mitarbeiterinnen weitergeben – ohne dass sie selbst zuerst auf Fortbildung gehen müssten. Ein Newsletter hält sie zu aktuellen Entwicklungen auf dem Laufenden. Der Nachweis eines DSGVO-konformen Umgangs mit Kinder- und Beschäftigtendaten ist jederzeit problemlos möglich, auch Auskunftsersuchen nach Art. 15 DSGVO können unkompliziert beantwortet werden.
  3. Das Personal bekommt einfache, verständliche Regeln und weiß zuverlässig, was zu tun und zu unterlassen ist – ohne unnötigen Zeitaufwand. Die Kinderbetreuung hat Vorrang.
  4. Den Eltern gegenüber lässt sich die Selbstverpflichtung mit Urkunde einfach kommunizieren. Sichtbare DSGVO-Konformität ist die beste Basis für ein gutes Vertrauensverhältnis.

Einrichtungsträger in der Verantwortung

Die DSGVO-Umsetzungsverantwortung mit all ihren Zweifelsfällen dem Personal und den Kita-Leiterinnen zu überlassen, wird auf Dauer nicht durchzuhalten sein. Als Träger riskiert man damit, dass Fachkräfte, die jetzt schon an den Grenzen ihrer Belastbarkeit arbeiten, irgendwann nicht mehr können. Wir erinnern uns an den Elternaufschrei, der durchs Land ging, als die systemrelevanten Kitas im Frühjahr 2020 schließen mussten.

Vielerorts, vor allem bei Glaubensgemeinschaften und in den Gemeinden, werden auf eigene Faust DSGVO-Umsetzungen erarbeitet. Das ist möglich, aber riskant. Nicht immer sind die Datenschutzbeauftragen auch Datenschutzexperten. Selten passen die Weisungen für den Bauhof auch für den Kindergarten. Und viel zu oft bleiben diese Leitlinien noch zu allgemein. Hinzu kommt: Bis z.B. Kommunen eine relevante Gerichtsentscheidung wahrgenommen und in ihre Konzepte eingearbeitet haben, müssen sich die Einrichtungen vor Ort selbst behelfen.

Das ist einfach zu viel verlangt. Mit dem Konzept von Verhaltensregeln hätte die DSGVO zwar ein gutes Instrument geschaffen, mit dem sich die allgemeinen Datenschutzbestimmungen in die Handlungszusammenhänge der Kinderbetreuung übersetzen ließen – und zwar übergreifend für alle Einrichtungen einer Trägerschaft oder eines Kindergartenverbunds. Weil die DSGVO vor einen solchen Code of Conduct aber auch unrealistisch hohe Hürden gesetzt hat, bleiben als beste Alternative freiwillige, privatrechtlich abgesicherte Verhaltensregeln.

Nützliche Links