Verhaltensregeln in der Kinderbetreuung der IITR Datenschutz GmbH
17.02.2021
[IITR – 17.02.21] Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) gilt auch für Kitas, Krippen und Kindergärten. Das erscheint sinnvoll, denn die Daten von Kindern verdienen einen besonderen Schutz. Aber: Für Erzieherinnen, Kindergärtnerinnen oder Tagesmütter muss Datenschutz auch nachvollziehbar und umsetzbar sein.
Sogenannte „Verhaltensregeln“ (auch als „Codes of Conduct“ gem. Art. 40 DSGVO , oder kurz: „CoC“ bezeichnet) waren ursprünglich vorgesehen, die teilweise abstrakten Richtlinien der DSGVO in ein überschaubares Regelwerk für die Anwendung vor Ort überführen.
Diese Verhaltensregeln wird es für die Kinderbetreuung zumindest vorerst nicht geben können. Die Hürden sind zu hoch, die normierende Datenschutzkonferenz akzeptiert zudem Verhaltensregeln, die dann ja auch europaweit gelten müssen, nur von einer branchenübergreifenden Verbandsvertretung. Diese fehlt in der Kinderbetreuung, denn hier gibt es verständlicherweise eine Vielzahl von Verbänden – an Regionszugehörigkeit, Trägerschaft, Konfession, Konzept, Weltanschauung usw. ausgerichtet.
Datenschutz vor Ort – nachvollziehbar, belegbar, umsetzbar
Da die Etablierung von Verhaltensregeln, wie von der DSGVO vorgesehen, praktisch unmöglich ist, sollten Verbände und Träger in der Kinderbetreuung ersatzweise auf ein privatrechtliches Regelwerk zurückgreifen. Die IITR Datenschutz GmbH hat, gestützt auf hierzu einschlägige Veröffentlichungen der Landesdatenschutzbehörden ein Paket entwickelt welches den Einrichtungen der Kinderbetreuung die derzeit größtmögliche Handlungssicherheit gibt:
- Verbände haben damit die Möglichkeit, ihren Einrichtungen ein einheitliches und anwendbares Set von Datenschutz- Regeln an die Hand zu geben.
- Leitungen von Einrichtungen können diese Verhaltensregeln direkt an ihre Mitarbeiterinnen weitergeben – ohne dass sie selbst zuerst auf Fortbildung gehen müssten.
- Mitarbeiterinnen bekommen verständliche Regeln an die Hand und wissen zuverlässig, was im Datenschutz erwartet wird.
- Eltern können Vertrauen schöpfen, eine aushangfähige Urkunde signalisiert die Befassung der Einrichtung mit dem Datenschutz.
Den Kern dieses IITR-Pakets bilden alltagsgerechte Verhaltensregeln, die von Datenschutzprofis mit Sachkenntnis in der Kinderbetreuung formuliert wurden – möglichst kurz, möglichst praxisorientiert.
Das Paket umfasst Vorlagen für Elterneinwilligungen sowie Muster zur Erfüllung von Nachweispflichten und Auflagen der DSGVO. Praxiswissen wird vermittelt durch ein webbasiertes eLearning – 2 Module a 15 Minuten – nicht mehr als nötig, aber auch nicht weniger. Zusätzlich werden Live-Webinare zur Beantwortung offener Fragen angeboten. Alle zwei Jahre wird eine Überprüfung durchgeführt, welche kosteneffektiv über ein in der Wirtschaft eingesetztes Auditiernugs-Instrument ( PSE) per Selbstabfrage stattfindet und nicht länger als zwei Stunden in Anspruch nimmt.
Danach erhalten teilnehmende Kindergärten, Kitas, Kinderhorte, Krippen, Krabbelstuben, Kindertagesstätten und Kinderheime eine neue Urkunde, welche Eltern und allen anderen Beteiligten anzeigt, dass man sich in dieser Einrichtung aktiv mit dem Datenschutz auseinandersetzt.
Im Detail: Verhaltensregeln zum Datenschutz – kurz, klar, praxisorientiert
Datenschutz muss nicht nur für Eltern und Erziehungsberechtigte, sondern auch für die Kindergärtnerinnen und Erzieherinnen nachvollziehbar sein. Nur wer weiß, was beispielsweise „personenbezogene Daten“ meint, wo diese in der Kinderbetreuung anfallen oder was man überhapt unter Datenverarbeitung versteht, wird sich sachgerecht verhalten können.
Datenschutz muss umsetzbar sein
Wer darf die Kinder abholen? Darf ich Kontaktlisten der Erziehungsberechtigten pflegen? Kann ich in Kitas, Kindergärten und Kinderhorten überhaupt noch fotografieren? Darf eine Kindergartenleitung die Fotos von Mitarbeitern weitergeben?
Von der IITR Datenschutz GmbH aufgearbeitete Verhaltensregeln legen die rechtlichen Vorstellungen für eine praktische Anwendung offen. Tätigkeiten am PS, Kommunikation über das Smartphone, E-Mails an eine Elterngruppe (Problematik Blindkopie/BCC!) die sichere Aufbewahrung (Festplatte verschlüsseln!), die Weitergabe von Gesundheitsdaten oder auch nur von Kindergeburtstagen. Die IITR stützt sich mit ihren Verhaltensregeln auf Empfehlungen der Landesämter für Datenschutz sowie einschlägige Fachliteratur und Entscheidungen zur Praxis der Kinderbetreuung. Dazu gehört zum Beispiel die Handreichung der Berliner Behörde zum „Datenschutz bei Bild-, Ton- und Videoaufnahmen“ und die von der der Landesbeauftragten für den Datenschutz Niedersachsen erarbeiteten FAQs zum Datenschutz in der Kindertagesstätte.
Mustertexte und Erklärungen – umfassend, rechtssicher, präzise
Der Datenschutz in der Kinderbetreuung erzeugt Papierkram. Das kann sich keine Einrichtung ersparen – aber man kann den Aufwand strukturieren und vereinfachen. Dazu dient der vor Ort aufzubewahrende Ordner „Verhaltensregeln in der Kinderbetreuung
Die hier enthaltenen Verhaltensregeln führen direkt zu vorbereiteten Mustertexten und Formularen, die nach Bearbeitung im Ordner abgelegt werden.
Darunter befinden sich Vorlagen für Elterneinwilligungen und Mustertexte, die beispielsweise Erklärungen zu Foto-, Film- und Tonaufnahmen, die Abholung des Kindes durch andere Personen, das Führen einer Kontaktliste oder zur Übermittlung personenbezogener Daten des Kindes an die Grundschule umfassen.
Enthalten sind zudem gelegentlich benötigte Vereinbarungen mit Drittanbietern, Vorlagen zur Beantwortung von möglichen Auskunftsersuchen von Eltern, Berichtigungen, Löschung oder Einschränkung personenbezogener Daten und – für den Fall der Fälle – auch Muster für die Dokumentation und gegebenenfalls die Meldung von Datenschutzverletzungen.
Sämtliche Mustertexte lassen sich jederzeit über das Internet unbegrenzt nachladen. Die Sammlung wird den rechtlichen Vorgaben entsprechend aktualisiert oder auch erweitert.
Schulung und Newsletter – flexibel, aktuell, verständlich
Die zugehörige Tiefenressource besteht in einem Zugang zum IITR-Internet-Portal für die Kinderbetreuung.
Hier können Formulare und Unterlagen der Verhaltensregeln nach Bedarf nachgeladen, ergänzt oder eingesehen werden. Neben dieser Mustertextsammlung haben Mitarbeiterinnen hierüber Zugriff auf das webbasierte eLearning-System der IITR Datenschutz GmbH. Geboten werden Lerneinheiten, welches in frei bestimmbaren Zeitfenstern das notwendige Handlungswissen vermittelt. Es handelt sich um ein einfaches Dialogsystem, welches in ca. 2 mal 15 Minuten durch Fragen und Antworten das notwendige Wissen leicht verständlich ausbreitet, ohne dass jemand eine Sorge haben müsste, hierbei durchfallen zu können. Wir vermitteln hierbei lediglich Wissen.
Drei bis vier Live-Webinare pro Jahr, gerichtet an die Leitung ergänzen die regelmäßige Weiterbildung einer Betreuungs-Einrichtung.
Die Einrichtungen erhalten außerdem Updates per Newsletter zu Themen rund um den Datenschutz in der Kinderbetreuung. Als Beispiel hierfür nennen wir die Verwirrungen anlässlich der hierbei entstandenen Unsicherheit, ob und wann Kinder fotografiert werden dürfen. Derartige Vorfälle lösen einen klarstellenden Newsletter aus mit einer Empfehlung, die ggfs. auch mit den Behörden abgestimmt wurde.
Statusermittlung und Überprüfung – günstig, schnell, beurkundet
Damit bleibt nun noch der Nachweis, dass sich eine Einrichtung mit dem Datenschutz in der Kinderbetreuung auseinandersetzt.
Daher erfolgt alle zwei Jahre eine Überprüfung der Verfahren, Dokumentation, durchgeführte Schulungen etc. Dazu wird allerdings kein zeitaufwendiges und teures Datenschutz-Audit vor Ort anberaumt. Die IITR Datenschutz GmbH führt Online-Überprüfungen durch, die in diesem Falle nicht mehr als zwei Stunden in Anspruch nehmen wird.
Derartige Überprüfungen erfolgen durch eine Selbstabfrage über ein auch in der gewerblichen Wirtschaft eingesetztes, webbasierte Audit-Werkzeug: privASSIST. Hier beantwortet die Leitung einer Betreuungseinrichtung eine Reihe von Fragen. Die Eingaben werden auf Plausibilität geprüft, Veränderungen wie Unstimmigkeiten treten hervor. Sind hinterfragte Sachverhalte intern noch zu klären, lässt sich das Audit unterbrechen um zu einem späteren Zeitpunkt fortgesetzt zu werden.
Nach Abschluss dieser Selbstauskunft prüft zunächst PSE, dann auch ein IITR-Mitarbeiter die Angaben und erstellt ein schriftliches Protokoll, welches den bestehenden Status sowie eine Veränderungen zum vorherigen Stand festhält. Zusätzlich wird der Einrichtung eine neue Urkunde zum Nachweis der Befassung mit dem Datenschutz zur Verfügung gestellt.
IITR-Verhaltensregeln – machbar, nachweisbar, sicherer
Es ist gut und richtig, dass die DSGVO Kinder als schutzbedürftig erkannt hat. Verbände und Träger stehen in der Pflicht, den abstrakten Datenschutz der DSGVO für ihre Einrichtungen in die Praxis zu überführen. Juristische Abhandlungen an die Leiterinnen durchzureichen wird nicht zielführend sein.
Gefragt ist eine vor Ort einsetzbare Arbeits-Unterlage für Betreuerinnen. Nur durch verständliche Verhaltensregeln wird Datenschutz machbar.
Die IITR Datenschutz GmbH macht den Datenschutz mit ihren Verhaltensregeln nicht nur durchführbar, sondern auch nachweisbar und damit gegenüber Eltern, Mitarbeitern und der Öffentlichkeit darstellbar.
Mit einer Jahresgebühr von 100 Euro/Einrichtung nimmt sie zudem Rücksicht auf die tendenziell knappen Budgets von Kommunen, Vereinen und sozialen Trägern.