Umsetzung der DS-GVO in NRW

Die DS-GVO als Herausforderung bei der Kinderbetreuung

Betreuungsangebote für Kinder stellen nicht mehr nur pädagogische Ansprüche an die Betreiber der Einrichtungen in Nordrhein-Westfalen. Seit Einführung der Datenschutzgrundverordnung (DS-GVO) und der Anpassung des Bundesdatenschutzgesetzes (BDSG) werden sie vor die Herausforderung gestellt, diesen gerecht zu werden.

Die personenbezogenen Daten, die hier verarbeitet werden, machen diese Vorgaben unumgänglich. Daher möchten wir von Datenschutzberater.NRW Ihnen einen ersten Einblick in die Umsetzung des Datenschutzes in diesem Bereich geben.

Datenschutz und die Kinderbetreuung in NRW

Egal ob KITA, Kindergarten, Offener Ganztag (OGATA) oder Offene Ganztagsschulen (OGS), ohne Kinderbetreuung ist der Alltag der meisten Eltern in NRW fast nicht mehr zu realisieren. Für die Kinder bedeutet das eine weitere Förderung im pädagogischen Bildungsbereich und zusätzliche wichtige soziale Kontakte.

Bei der Betreuung ist es auch notwendig, viele personenbezogene Daten von Kindern und deren Erziehungsberechtigten zu sammeln. Für die Betreuungseinrichtung bedeutet das ein hohes Maß an Datenschutz.

Betroffenenrechte, TOMS und VVT als wichtiger Baustein für die Datenverarbeitung in der Kinderbetreuung

Die DS-GVO und das BDSG geben verschiedene Vorgaben, um den Datenschutz für den Umgang mit personenbezogenen Daten sicher zu stellen und zu dokumentieren. Einige davon möchten wir an dieser Stelle ausführen.

An erster Stelle stehen natürlich die Betroffenenrechte, die zum Beispiel sein können:

  • Informationspflichten für Betroffene
  • Recht auf Auskunft
  • Recht auf Löschung
  • Recht auf Vergessenwerden
  • Recht auf Widerruf

Auch bei der Kinderbetreuung in NRW muss man sich im Datenschutz folgendes deutlich machen: Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nicht erlaubt – es sei denn es gibt eine gesetzliche Grundlage dafür oder der Betroffene (in diesem Fall in der Regel der Erziehungsberechtigte) gibt sein Einverständnis dazu. Dies nennt man Verbot mit Erlaubnisvorbehalt.

Um zu dokumentieren, welche Daten zu welchem Zwecke erhoben werden, muss bei der Verarbeitung von personenbezogenen Daten ein Verzeichnis der Verarbeitungstätigkeiten (VVT) geführt werden. Hier wird grob gesagt festgehalten, wo, warum und wie personenbezogene Daten KiTa, KiGa, OGATA, OGS usw. verarbeitet werden und an wen Sie ggf. weitergegeben werden. Für jede Tätigkeit bei der personenbezogenen Daten eine Rolle spielen, muss eine solche Verarbeitungstätigkeit erstellt werden. Egal ob es um die digitale Erfassung oder eben auch um die Löschung der Daten geht (Wie Sie Daten richtig löschen und vernichten, lesen Sie hier.)

Neben des sogenannten VVT, muss dokumentiert werden, was dafür getan wird, die personenbezogenen Daten zu schützen. Dies wird in den technisch-organisatorischen Maßnahmen (TOMs) der Einrichtung festgehalten. Egal ob es um den abschließbaren Schrank für die Personal- oder Mitgliederakte geht oder ob die IT-Sicherheit durch eine Firewall gesichert ist – alle diese Maßnahmen müssen dokumentiert und stetig weiterentwickelt werden.

Risikoanalyse und Datenschutzfolgenabschätzung für Betreuungseinrichtungen in NRW

Gerade in der Kinderbetreuung kann es notwendig sein, personenbezogene Daten der besonderen Kategorien zu verarbeiten. Denn wer täglich Umgang mit Kindern hat, sie in der Ganztagsbetreuung in NRW beaufsichtigt, der muss zum Beispiel unter Umständen auch Informationen wie Gesundheitsdaten der Kinder erfassen und berücksichtigen – Allergien oder Krankheiten, sowie Medikamentengaben sind dabei wohl die bekanntesten Beispiele.

Wer diese Art der Daten erfasst und verarbeitet, der muss in einer Schwellwertanalyse (Risikoanalyse) beurteilen, welches Risiko bei dieser Datenerfassung für den Betroffenen besteht. Es muss also festgestellt werden, welche Gefahr für den Verlust der Daten und die Weitergabe an Dritte vorliegen kann. In diesem Zusammenhang muss dann auch eine Datenschutzfolgenabschätzung gemacht werden, die dieses genauer analysiert. Dabei muss dargelegt werden, welche besonderen Vorkehrungen zum Schutz der Betroffenendaten getroffen werden. Außerdem, wie man auf mögliche Datenpannen reagieren kann.

Datenschutzhandbuch, Notfallplan bei Datenpannen und Mitarbeiterschulungen für die Kinderbetreuung

Wann immer mit personenbezogenen Daten gearbeitet wird, sollte man nicht nur Vorgaben machen, um Datenpannen zu vermeiden. Es sollte immer auch einen Notfallplan geben, wie mit Datenpannen umgegangen wird. Was passiert also, wenn Daten an Dritte gelangen. Es bietet sich hierbei an, die Szenarien mit den betreuenden Mitarbeitern durchzuspielen. In diesem Zusammenhang sollten auch regelmäßige Mitarbeiterschulungen und -unterweisungen im Datenschutz für die Betreuer durchgeführt werden. Das kann auch über eine Onlineschulung des (externen) Datenschutzbeauftragten geschehen.

Ein Datenschutzhandbuch sollte Teil eines guten Datenschutzes sein. Erarbeiten Sie ein entsprechend für die Mitarbeiter zugängliches Handbuch, in dem die Vorgaben im Datenschutz für die jeweilige Betreuungseinrichtung zugänglich ist. Das Datenschutzhandbuch, zusammen mit dem verpflichtenden Datenschutzmanagementsystem, fügt die Bausteine des Datenschutzes in jeder Betreuungseinrichtung zusammen und bildet die Grundlage für die Dokumentation gegenüber der Aufsichtsbehörde.

Welche Daten dürfen verarbeitet werden und von wem – Eine kleine Anfrage an den Landtag NRW

Neben der DS-GVO ist unter anderem die Weitergabe der Daten von Schülern und Lehrern vor allem zwischen Schulen und OGATA oder OGS bzw. der Sozialarbeit in Schulgesetzen und Verordnungen geregelt.

Wie komplex diese Sachverhalte sind, zeigt auch eine kleine Anfrage, die im Dezember 2019 an den Landtag von Nordrhein-Westfalen gestellt wurde: Datenschutzrechtliche Zusammenarbeit in der Schule, im Hinblick auf den offenen Ganztag (OGT) und die Schulsozialarbeit (Drucksache 17/8328)

Im Folgenden zitieren wie die 4 gestellten Fragen und die in diesem Zusammenhang gegebenen Antworten der Landesregierung:

  1. Welche Personengruppen werden mit der Formulierung „in der Schule nur den Personen“ (§ 120 (1) SchulG) neben Lehrer*innen (§ 57 SchulG) und weiteren Landesbedienstete nach § 58 SchulG gesehen?
  2. Welche personenbezogenen Daten dürfen den Mitarbeitern des offenen Ganztags übermittelt werden bzw. mit diesen ausgetauscht werden?
  3. Ist das Zusammenstellen einer Liste von Schüler*innen und die Weitergabe der Liste an die Mitarbeiter*innen der Multiprofessionellen Teams erlaubt? Und falls ja, aufgrund welcher Rechtsgrundlage ist das erlaubt?
  4. Plant die Landesregierung dies in einer Neufassung der VO DV I klarzustellen?

Die Antwort der Landeregierung aus Januar 2020 lautete wie folgt (Auszug).

  1. Zu den Personen, denen zur Erfüllung ihrer Aufgaben nach § 120 Abs. 1 SchulG NRW personenbezogene Daten zugänglich gemacht werden dürfen, gehört neben den Lehrkräften und sonstigen im Landesdienst stehendem pädagogischen und sozialpädagogischen Personal nach § 58 SchulG auch im Ganztag eingesetztes Personal.
  2. Da nach Aussage der Landesregierung Ganztagsangebote auch von außerschulischen Trägen als schulische Veranstaltung gelten, ist es damit auch zulässig, den Mitarbeiterinnen und Mitarbeitern des offenen Ganztags diejenigen personenbezogenen Daten zugänglich zu machen, welche diese Personen zur Erfüllung der Angebote des Ganztags benötigen. Dazu gehört dann auch der Austausch zu den Förderbedarfen der Schülerinnen und Schüler.
  3. Auch externen Sozialarbeiter bzw. Sozialpädagogen, die anderes als Schulsozialpädagogen im Landesdienst nicht zu den Personen gemäß §58 SchulG NRW zählen, dürfen entsprechend der unter 1. beschrieben Auslegung von §120 Abs. 1 SchulG NRW durch die Landesregierung personenbezogene Daten aus der Schule zugänglich gemacht werden. Dieses ist allerdings nur dann zulässig, sofern sie als Mitglied eines Multiprofessionellen Teams diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das meint hier eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben.
  4. Eine entsprechende Änderung des Schulgesetzes NRW oder der anhängigen Verordnungen ist nicht geplant.

 

Auch wenn man aus der Antwort der Landesregierung eine grundsätzliche Weitergabe bestimmter Daten ableiten kann, so sollte man dies doch in jedem Einzelfall genau durch einen Fachmann prüfen lassen. Beachten sollte man auch, dass OGATA und OGS – aber auch Kitas und Kindergärten – für die Umsetzung Ihres Datenschutzes selbst zuständig sind, auch wenn ggf. Einrichtungen von öffentlichen Trägern genutzt werden.

Datenschutz vom Fachmann prüfen lassen – der externe Datenschutzbeauftragte für Betreuungsangebote in NRW

Wer sich mit dem Datenschutz bei der Kinderbetreuung beschäftigt, der erkennt die Tücken der Umsetzung. Gerade durch die Verknüpfung der Betreuung mit anderen Einrichtungen und den ggf. dazu notwendigen Datenaustausch, gilt es, die Einhaltung des Datenschutzes genau zu prüfen und zu definieren, welche Zuständigkeit an welchem Schnittpunkt eintrifft.

Wenn sich mindestens 20 Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigen, dann muss eine Kindertagesstätte oder ein Betreuungsangebot einen Datenschutzbeauftragten stellen. Dabei ist es egal, um wessen Daten (Mitarbeiter, Interessenten, Bewerber oder betreute Kinder) es sich handelt. Im Alltag ist es für Einrichtungen der Kinder- und Jugendbetreuung in NRW meist sinnvoll einen externen Datenschutzbeauftragten zu berufen, der beratend bei der Umsetzung des Datenschutzes eingesetzt werden kann.

Dies kann durch einen Datenschutzberater abgedeckt werden. Schon allein wegen der vielen Besonderheiten, macht es Sinn den Datenschutz durch einen Datenschutzberater betreuen zu lassen. Der Datenschutzberater kann beratend tätig sein, in dem er:

oder

Mit dem Team von Datenschutzberater.NRW erhalten Sie diese Leistungen aus einer Hand von Fachleuten aus Datenschutz, IT-Sicherheit und Steuerrecht. Wir bieten außerdem eine GoBD-Beratung und IT-Audits als Ergänzung in unseren Leistungen an.

Sie suchen eine Betreuung für Ihren Datenschutz in KITA, Kindergarten, Schulen, OGATA, OGS oder sonstigen Betreuungsangeboten für den Raum Köln, Bonn, Düsseldorf oder ganz NRW? Wir beraten Sie gerne über unser praxisnahes und individuelles Angebot. Senden Sie uns einfach eine Anfrage oder rufen Sie uns an.

 

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit.

Datenschutz für KITAS, Kindergärten, OGATA, OGS und Co. in NRW