Akteneinsicht

‍Im Sinne einer gelingenden Erziehungspartnerschaft bietet es sich an, dass die pädagogisch Mitarbeitenden die Bildungs- und Lerndokumentationen gemeinsam mit den Eltern (und Kindern) anschauen. Die Kindertagesstätte sollte daher einen Prozess etablieren (z.B. im jährlichen Entwicklungsgespräch) um den Anspruch der Eltern auf »Akteneinsicht« in die Bildungs- und Lerndokumentationen zu gewähren,

+ Auskunft
+ Bildungs- und Lerndokumentation


‍Aufbewahrung

Alle Unterlagen, die personenbezogene Daten enthalten, wie Betreuungsverträge, Lerndokumentationen und Personalakten u.ä., sind grundsätzlich so aufzubewahren, dass sie vor unbefugtem Zugriff, zum Beispiel durch Besucher oder das Reinigungspersonal, geschützt sind. Das kann unter anderem durch die Aufbewahrung in abschließbaren Schränken sichergestellt werden. Es hat sich bewährt unterschiedliche Schränke für Kinder/Familien und Personal im Leitungsbüro und in einem gesicherten Raum die Akten der ausgeschiedenen Kinder aufzubewahren. Personalakten ausgeschiedener Personen werden beim Träger aufbewahrt.

+ Aufbewahrungsfrist
+ Betreuungsverträge
+ Datenlöschung
+ Entsorgung (Vernichtung)
+ Personalakten


Aufbewahrungsfrist

Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet wer-den, wie es für den jeweils definierten Zweck benötigt wird. Wenn der Zweck nicht(mehr) besteht, müssen sie datenschutzkonform gelöscht bzw. entsorgt werden. Dieser Datenlöschung/Entsorgung können gesetzliche Aufbewahrungsfristenentgegenstehen. Generell ist jedoch eine unbegrenzte Aufbewahrung nichtzulässig. Für alle Kategorien von personenbezogenen Daten sind Aufbewahrungsfristen zu definieren und festzulegen und ggf. im Rahmen eines Datenschutzkonzeptes in einer Prozessbeschreibung zu dokumentieren. In der folgenden Liste finden Sie eine Auswahl von typischerweise in der Kitavorkommenden Datenkategorien mit entsprechender Aufbewahrungsfrist. Sie ist insbesondere für die Leitungen der Einrichtungen bestimmt. Es gibt darüber hinaus noch weitere Unterlagen, wie z.B. Personalakten, die vom Träger aufzubewahren sind.

Weiterhin ist die Kassationsordnung der EKHN bindend, die SVG unterstützt bei Fragen.

‍https://www.ekhn.de/ueber-uns/kirchenverwaltung/zentrale-dienste-und-schriftgutverwaltung (zum öffnen des Links: rechtsklick -> im neuen Fenster öffnen)

‍
(Zum speichern des Fotos: rechtsklick -> speichern unter)

Auftragsverarbeiter
‍
Werden personenbezogene Daten durch andere Stellen oder Personen verarbeitet(z.B. Caterer, Steuerberater, Kita-Verwaltungssoftware) bleibt die kirchliche Stelle, die den Auftrag hierfür gegeben hat, für die Einhaltung der Vorschriften des Kirchengesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Diekirchliche Stelle ist hierbei der Träger der Kita. Mit dem/r Auftragnehmer*in ist eine Vereinbarung nach § 30 DSG-EKD zu schließen.

+ IT-Sicherheit

Muster kann bei Datenschutzbeauftragten angefordert werden: Handreichung zur Erstellung eines Datenschutzkonzeptes


‍Auskunft

Kinder und Elternhaben das Recht, jederzeit Auskunft über die zu ihrer Person gespeichertenDaten und deren Herkunft zu erhalten (§ 19 DSG-EKD). Die Auskunft muss u.a. folgendeInformationen enthalten:
‍
1.     wofür Daten gebraucht werden (Verarbeitungszwecke)
‍
2.    was allesgespeichert wird
‍
3.    an wen die Datennoch gegeben wurden
‍
4.    wie lange die Datenaufbewahrt werden
‍
5.    dass die Eltern ein Recht haben, die Berichtigung oder Löschung der über sie oder ihr Kind gespeicherten Daten zu verlangen
‍
6.    dass sie sich beider Aufsichtsbehörde beschweren können. 

Nach Eingang der Anfrage sollten die Betroffenen innerhalb von drei Werktagen eine Rückmeldung erhalten, dass ihr Anliegen eingegangen ist, derzeit bearbeitet wird und sie in spätestens 3 Monaten die gewünschte Auskunft erhalten werden. Diese Mitteilung erfolgt durch den Träger, der jedoch auf die unverzügliche Weiterleitung einer Anfrage durch die Kita angewiesen ist. Die Kita stellt eine Liste der vorhandenen Dokumente, Dateien, Emails zusammen und leitet diese binnen drei Wochen an den Träger weiter. Die Auskunft an die Betroffenen kann in beliebiger Form erfolgen, darf aber den Eltern nicht in Rechnung gestellt werden. 

+ Akteneinsicht
+ Betroffene Personen
+ Informationspflicht

Beauftragter für den Datenschutz der EKD
‍
Seit 2014 ist für die Einhaltung des Datenschutzes in kirchlichen und diakonischen Einrichtungen eine eigenständige Dienststelle, der »Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland« verantwortlich. An den Beauftragten für den Datenschutz kann sich jede Person (z.B. Eltern, Mitarbeiter*innen) wenden, die der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten von kirchlichen Stellen in ihren Rechtenverletzt worden zu sein.

+ Beschwerde
+ Datenschutzgesetz EKD
+ Datenschutzkonzept
+ Örtlich Beauftragte*r für den Datenschutz

^{Der Beauftragte für den Datenschutz der EKD, Lange Laube 20, 30159 Hannover, info@datenschutz.ekd.de Außenstelle Dortmund für die Datenschutzregion Mitte-West,
datenschutz.ekd.de/ueber-uns/unsere-standorte/}
_{(zum öffnen des Links: rechtsklick -> im neuen Fenster öffnen)}


Berichtigung von Daten

Wenn Daten fehlerhaft gespeichert werden, müssen sie auf Antrag des Kindes bzw. seiner Eltern unverzüglich berichtigt oder auch ergänzt werden (z.B. bei einer fehlerhaften Diagnose oder der Neuregelung des Sorgerechts) (§ 20 DSG-EKD).
‍
+ Auskunft


Beschäftigtendatenschutz
‍
Auch die Daten von Beschäftigten dürfen nur verarbeitet werden, soweit diese für die Durchführung des Arbeitsvertrages (in derEinrichtung also vor allem für die Personalplanung) gebraucht werden oder wenn sie auch zum Vorteil der beschäftigten Personsind (z.B. Nachweise über Fortbildungen, Qualifizierungen usw.) und der/die Mitarbeiter*in mit der Speicherung einverstanden ist(§ 49 DSG-EKD).

+ Einwilligung
+ Entsorgung (Vernichtung)
+ Informationspflicht


Beschwerde

Wer der Auffassung ist, dass seine Rechte hinsichtlich der Verarbeitung personenbezogener Daten verletzt worden sind, kann sich an den örtlich Bestellten Beauftragten für den Datenschutz, oder direkt an den Beauftragten für den Datenschutz der EKD wenden. Diese Mitteilung darf für die Person keine Benachteiligung oder Maßregelung durch den Träger nach sich ziehen(§ 46 DSG-EKD).
‍
+ Beauftragter für den Datenschutz der EKD
+ Datenschutzgesetz der EKD


Betreuungsverträge

Betreuungsverträge sind so aufzubewahren, dass sie gegen unbefugte Kenntnisnahme in der Einrichtung angemessen(d.h. zum Beispiel in abschließbaren Schränken im Leitungsbüro) geschützt sind. Es soll die Kitaordnung der EKHN (Kita-Ordnung  -  Infos für die Kita-Praxis  -  Service  -  Kindertagesstätten EKHN Zentrum Bildung (zentrumbildung-ekhn.de)verwendet werden.

+ Aufbewahrung
+ Aufbewahrungsfrist
+ Datenlöschung
+ Entsorgung (Vernichtung)
+ Fragebögen – was die Kita alles wissen darf


Betriebsbeauftragte*r für den Datenschutz

+ Örtlich Beauftragte*r für den Datenschutz
‍

Betroffene Personen

‍Betroffene (in Bezug auf Datenschutz in der Kita) sind alle Personen, deren personenbezogene Daten in der Einrichtung bzw. beim Träger verarbeitet werden. Dies sind insbesondere die Kinder, die in der Einrichtung betreut werden, deren Eltern sowie alle Mitarbeitenden der Kita, aber auch andere Personengruppen, wie z. B. Bewerber*innen.
‍
+ Auskunft
+ Informationspflicht


Bildungs- und Lerndokumentation
‍
Erzieher*innen dokumentieren ihre Arbeit (entsprechend der jeweiligen Bildungsplänen Hessen und Rheinland-Pfalz) mitden Kindern, halten für deren Entwicklung relevante Aspekte/Beobachtungen schriftlich fest und nutzen dies als Basis fürweitere Planungen sowie für Elterngespräche. Sie verbleiben in der Kita und sollten, da sie wichtige und zum Teil intimeInformationen über das Kind enthalten, sicher verwahrt werden, so dass Dritte sie nicht ohne weiteres einsehen können.Sowohl die betroffenen Kinder als auch die Eltern werden über die Erstellung und sichere Verwahrung der Dokumenteinformiert.

+ Akteneinsicht
+ Aufbewahrungsfrist
+ Entsorgung (Vernichtung)
+ Informationspflicht
+ Übergang Kita-Grundschule

Cybersecurity

Neben dem technischen Schutz der Software und IT-Infrastruktur ist die Awareness wichtig, um die Mitarbeitenden für mögliche Vorfälle zu sensibilisieren.

+ IT-Sicherheit

Datengeheimnis
‍
Alle Personen in der Kita, die Daten über Kinder und Eltern verarbeiten (dazu gehören z.B. auch schon Portfolio-Einträge, Notizen zu Elterngesprächen und das Führen von Anwesenheitslisten), sind vom Träger der Einrichtung vor der ersten Datenverarbeitung auf das Datengeheimnis und zur Verschwiegenheit zu verpflichten, soweit sie nicht bereits aufgrund anderer kirchlicher Bestimmungen oder anderer Vereinbarung (z. B. durch Arbeitsvertrag) zur Verschwiegenheit verpflichtet sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

+ Verschwiegenheitsverpflichtung (Kita-Ordnung 13.2 Auflage)
+ Verpflichtung auf das Datengeheimnis (nach § 26 DSG-EKD)


Datenlöschung

Personenbezogene Daten werden nach Ablauf der Aufbewahrungsfristen gelöscht. Technische Voraussetzungen werden vonder IT bereitgestellt. Das DSG-EKD beschreibt § 21 das Recht auf Löschung. Sollten beispielsweise Daten zu Unrechtgespeichert sein, so ist die Löschanfrage mit den Datenschutzbeauftragten zu bearbeiten.Die Löschung von Datenträgern und Akten ist zu dokumentieren und die Dokumentation für 3 Jahre aufzubewahren.

+ Aufbewahrung
+ Aufbewahrungsfrist
+ Betreuungsverträge


Datenpanne
‍
Wenn Unberechtigte Zugriff auf personenbezogene Daten erhalten, z.B. bei einem Einbruch in Kita und Diebstahl der vorhan-denen Computer oder bei einem Verlust der Kita-Kamera auf dem Spielplatz und es dadurch zu einem nicht unerheblichenRisiko für die Rechte der Personen führt, muss dies unverzüglich der Aufsichtsbehörde (dem Beauftragten für den Datenschutzder EKD) gemeldet werden (§ 32 DSG-EKD). Das gleiche gilt für den Verlust oder die Verfälschung von personenbezogenenDaten, soweit diese noch aufzubewahren sind und eine Wiederherstellung der Daten nicht möglich ist.Die Leitung meldet jeden Vorfall, bei dem Daten an Unberechtigte gelangen; die Einschätzung, ob ein »nicht unerheblichesRisiko« besteht, trifft dann der Träger, ggf. in Abstimmung mit dem/der örtlich Beauftragten für den Datenschutz. Es ist derProzeß Sicherheitsvorfall in der EKHN in Einrichtung und Träger zu installieren. Informationen zum Meldeprozeß findet manunter hilfe.ekhn.de

+ Beauftragter für den Datenschutz der EKD
+ Datenschutzgesetz der EKD
+ Meldung von Verletzung des Schutzes personenbezogener Daten


Datenschutzgesetz der EKD

Das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) ist die für den Bereich der Evangelischen Kirche in Deutschland geltende Datenschutzregelung. Aufgrund des kirchlichen Selbstbestimmungsrechts in Artikel 91 der europäischen Datenschutzgrundverordnung (DSGVO) konnten die Kirchen mit vorhandener adäquater Datenschutzgesetzgebung bis zum 25.5.2018 für ihren Bereich einen eigenen Rechtsrahmen im Einklang mit der DSGVO gestalten und sind somit nicht dem staatlichen Recht unterworfen. Die Evangelische Kirche in Deutschland und ihre Gliedkirchen haben somit ein eigenes, an der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO)orientiertes Datenschutzgesetz erlassen und haben eine eigene Datenschutzaufsicht.

+ Beauftragter für den Datenschutz der EKD
+ Beschwerde


Datenschutzkonzept

In einem Datenschutzkonzept werden die für eine datenschutzrechtliche Beurteilung notwendigen Informationen zur Erhebung,Verarbeitung und Nutzung personenbezogener Daten beschrieben. Es ist in der Kita eine gute Basis und kann helfen, denDatenschutz qualifiziert, koordiniert und strukturiert umzusetzen. Zur Unterstützung bei der Erstellung kann sich der Träger andie örtlich Beauftragten für den Datenschutz wenden. Diese Dokumentation ist ein Bestandteil, um als Träger derRechenschaftspflicht aus §5 DSG-EKD nachzukommen.

+ Beauftragter für den Datenschutz der EKD
+ Örtlich Beauftragte*r für den Datenschutz

^{Muster kann bei Datenschutzbeauftragten angefordert werden: Handreichung zur Erstellung eines Datenschutzkonzeptes}


Datensparsamkeit

Nach dem Grundsatz der Datensparsamkeit dürfen bei der Datenverarbeitung nur die personenbezogenen Daten gesammelt und verarbeitet werden, die für die jeweilige Anwendung/Aufgabe unbedingt notwendig sind. Deswegen werden zum Beispiel im Anmeldebogen nicht mehr Angaben wie »Beruf der Eltern« oder der Krankenversicherung abgefragt.
‍
+ Grundsätze


Datenweitergabe/Datenübermittlung

Sollen personenbezogenen Daten an eine*n Dritte*n übermittelt werden, dann darf dies nur erfolgen, wenn die betroffene Person in die Übermittlung eingewilligt hat, die Übermittlung zur Erbringung vertraglicher Dienstleistungen der*m Betroffenen gegenüber erforderlich ist (wenn z.B. Daten an Cateringfirmen übermittelt werden müssen) oder die Übermittlung gesetzlichen Vorschriften unterliegt (z. B. in Fällen der Kindeswohlgefährdung, sofern der Schutz des Kindes nicht anderweitig erreicht werden kann oder bei Meldepflichten nach dem Infektionsschutzgesetz an das Gesundheitsamt). Für alle anderen Übermittlungen hat die anfordernde Stelle Zweck und Rechtsgrundlage zu nennen. Falls es Unsicherheit bzgl. einer Übermittlungsbefugnis gibt, so sind diese begründet vorzulegen und durch das zuständige juristische Referat innerhalb der EKHN zu prüfen. Einwilligungen sind Eingriffe in die Persönlichkeitsrechte, sie sind sorgfältig und zweckgebunden zu nutzen.

+ Kindeswohlgefährdung
+ Infektionsschutz
+ Übergang Kita-Grundschule
+ Anlagen: Im Ressourcenpaket


Datenübertragbarkeit

Jede Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einer verantwortlichen Stelle bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat außerdem das Recht, dass diese Daten einer anderen verantwortlichen Stelle auf ihre Veranlassung hinübermittelt werden.

Ehrenamtlich Mitarbeitende
‍
Ehrenamtlich Mitarbeitende (z.B. »Vorlese-Paten«, im Notfall einspringende oderbei Ausflügen eingesetzte Eltern, Elternvertretungen) unterliegen im Rahmenihrer Aufgabenerfüllung ebenfalls dem kirchlichen Datenschutz. Insofern sindauch sie bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zuverpflichten (§ 26 DSG-EKD).
‍
+ Verschwiegenheitsverpflichtung
+ Anlage: Kita Ordnung
+ Verpflichtung auf das Datengeheimnis (nach § 26 DSG-EKD)


Einwilligung

Personenbezogene Daten dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn es dafür eine gesetzliche Grundlage oder einen Vertrag gibt oder wenn die betroffene Person eingewilligt hat. Für eine wirksame Einwilligung müssen die folgenden Voraussetzungen erfüllt sein:

• Die Einwilligung muss auf der freien Entscheidung der betroffenen Person/en beruhen.
‍
• Die betroffene/n Person/en muss/müssen über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung und ggf. über die Folgen der Verweigerung der Einwilligung informiert werden. Im Zusammenhang mit anderen. Erklärungen muss die Einwilligungserklärung im äußeren Erscheinungsbild unterscheidbar sein

• Bei der Erhebung, Verarbeitung oder Nutzung besonders sensibler Daten (z. B. Gesundheitsdaten) muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

• Die betroffene Person muss über ihr Widerrufsrecht und darüber in Kenntnis gesetzt werden, dass durch den Widerruf die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung bis zum Widerruf nicht berührt wird.

• Da die Einwilligung nachweisbar sein muss, sollte die Einwilligung schriftlich erfolgen.

+ Foto-, Ton- und Videoaufnahmen
+ Kindeswohlgefährdung
+ Übergang Kita-Grundschule
+ Anlagen:  Kita Ordnung
+ Einwilligung zum Datenaustausch zwischen Kita und anderen zu betreuenden oder behandelten Fachstellen
+ Einwilligung zur Datenweitergabe an die Grundschule
+ Einwilligung zur Teilnahme an einer zahnärztlichen Vorsorgeuntersuchung in der Kita (Muster)
+ Foto-Einwilligung (Anlage zum Betreuungsvertrag)


Eltern-Kontaktdaten

Die Speicherung von Kontaktdaten der Eltern ist für die Betreuung der Kinder unerlässlich, um die Erreichbarkeit der Eltern zu gewährleisten. Diese Daten sind vor unberechtigtem Zugriff zu schützen, müssen jedoch für das gesamte Team zugänglich sein, um im Notfall schnell reagieren zu können.

‍Weitergabe an Dritte:
Adress- und Telefondaten dürfen nur mit ausdrücklicher Einwilligung der betreffenden Eltern an andere Eltern weitergegeben werden.

‍Elterninitiativen:
Erstellen Eltern aus eigener Initiative eine Telefonliste oder eine Messengergruppe, liegt die Verantwortung für die Nutzung dieser Daten bei den Eltern selbst. Die Kita übernimmt in diesem Fall keine Haftung.

‍Sensibilisierung:
Die Einrichtungsleitung ist jedoch verpflichtet, im Rahmen von Awareness-Maßnahmen die Eltern für die Wahrung der Persönlichkeitsrechte Dritter zu sensibilisieren.

+ Aufbewahrung

‍
‍Elternvertretung

Eine Elternvertretung – in Rheinland-Pfalz als Elternausschuss und in Hessen als Elternbeirat bezeichnet – ist ein gesetzlich definiertes Gremium innerhalb einer Kita. Auch die Elternvertretung ist verpflichtet, die Vorgaben des Datenschutzes einzuhalten.

‍Hinweis durch die Kitaleitung:
Die Kitaleitung ist verpflichtet, die neuen Mitglieder der Elternvertretung auf ihre datenschutzrechtlichen Pflichten hinzuweisen.

‍Besonderer Fokus:
Insbesondere die Nutzung von Messengern zur Kommunikation sollte im Hinblick auf den Datenschutz kritisch betrachtet und entsprechend geregelt werden.

+ Aufbewahrung


Entsorgung (Vernichtung)

Entsorgung mittels Aktenvernichter:
Daten in Papierform müssen datenschutzgerecht entsorgt werden. Dafür kann ein Aktenvernichter genutzt werden, der mindestens der Sicherheitsstufe 4 gemäß DIN 66399 entspricht.

‍Merkhilfe:
Aktenvernichter, die der DIN-Norm entsprechen, zerschneiden vertrauliche Dokumente in kleine Partikel. Eine einfache Zerteilung in Streifen („Papier-Spaghetti“) ist nicht ausreichend.

‍Entsorgung größerer Mengen:
Für größere Mengen von Dokumenten oder die Vernichtung von Datenträgern sollte der Träger einen externen Dienstleister beauftragen. Dieser stellt einen verschließbaren Container bereit, der nach einem festgelegten Zeitraum zur Entsorgung abgeholt wird.

‍Vertrag zur Auftragsverarbeitung:
Mit dem externen Dienstleister muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.

‍Vernichtungsprotokoll:
Der Dienstleister stellt ein Vernichtungsprotokoll aus, das zu Nachweis- und Dokumentationszwecken aufbewahrt werden muss.

‍Besondere Dokumente:
Dokumente, die für die Kirchengeschichte von Bedeutung sind, sind vor der Entsorgung dem Kirchenarchiv vorzulegen.

‍Sicherheitsmaßnahmen:
Der Zugriff auf die Datentonne ist durch ein Berechtigungs- bzw. Schlüsselkonzept zu regeln.

+ Aufbewahrung
+ Aufbewahrungsfrist
+ Auftragsverarbeiter
‍

Entsorgung (Vernichtung)

Protokollierung der Gespräche:
Notizen aus Gesprächen mit Eltern über die Entwicklung ihres Kindes werden in einem Protokoll festgehalten. Dies dient dazu, bei zukünftigen Gesprächen auf Inhalte, Absprachen und Vereinbarungen zurückgreifen zu können.

‍Kopie für die Eltern:
Den Eltern ist eine Kopie des Protokolls auszuhändigen.

‍Aufbewahrung:
Die Protokolle werden in der Kinderakte aufbewahrt.

‍Weitergabe von Entwicklungsinformationen:
Wenn es erforderlich ist, bestimmte Entwicklungsinformationen an die Grundschule weiterzugeben, empfiehlt sich ein gemeinsames Entwicklungsgespräch mit der zukünftigen Lehrkraft.

‍Vertrauensförderung:
Ein solches Gespräch unterstützt den vertrauensvollen Umgang zwischen Eltern, Kita und Schule.

+ Aufbewahrung
+ Aufbewahrungsfrist
+ Entsorgung (Vernichtung)


Erforderlichkeit
‍
Daten über Kinder dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies zur Erfüllung der Aufgaben in der Erziehung, Bildung und Betreuung der Kinder notwendig ist.

‍Definition der Erforderlichkeit:
Eine Datenerhebung, -verarbeitung oder -nutzung ist erforderlich, wenn die gestellte Aufgabe sonst:nicht,nicht vollständig,nicht in angemessener Zeit odernicht in rechtmäßiger Weise erfüllt werden kann.

‍Keine Ausnahmen vom Erforderlichkeitsprinzip:
Es gibt keine Ausnahme vom Erforderlichkeitsprinzip, auch nicht bei Einwilligung der betroffenen Person.

‍Keine Vorratsspeicherung: Personenbezogene Daten dürfen nicht „auf Vorrat“ gespeichert werden. Es muss stets hinterfragt werden:
„Benötige ich diese Daten, um das Kind angemessen bilden, betreuen, versorgen und erziehen zu können?“

‍Beispiele Masernimpfung:
Es ist nicht erforderlich, einen Nachweis der Masernimpfung zu speichern, sondern lediglich, dass dieser vorgelegt wurde.

‍Erweitertes Führungszeugnis:
Auch hier ist die Speicherung des Dokuments unzulässig; es genügt, zu dokumentieren, dass es vorgelegt wurde.
‍
+ Grundsätze

Ehrenamtlich Mitarbeitende
‍
Grundsätzlich zulässige Angaben im Anmeldebogen:
Die folgenden Daten dürfen ohne zusätzliche Begründung erhoben werden:

‍Daten des Kindes:
‍Name, Geburtstag und Anschrift des Kindes

‍Daten der Personensorgeberechtigten:
‍Name, Anschrift sowie Telefonnummern für die Erreichbarkeit im Notfall

‍Gesundheitsbezogene Angaben:
‍Krankheiten wie Diabetes, Epilepsie oder Asthma, die für eine angemessene Betreuung relevant sind Nachweis zur Impfberatung und ausreichende Immunität gegenüber Masern

‍Konfession:
‍Bei konfessionell gebundenen Einrichtungen darf die Konfession abgefragt werden.

‍Daten mit Begründungspflicht:
Für die Erhebung weiterer Daten muss die Einrichtung begründen können, warum diese notwendig sind. Beispiele:

‍Berufstätigkeit der Eltern:
‍Erlaubt, wenn diese für die Vergabe von Ganztagesplätzen relevant ist.Ohne Zusammenhang zur Platzvergabe ist die Abfrage unzulässig.

‍Staatsangehörigkeit, Bildungsstand der Eltern:
‍Nur erlaubt, wenn es eine konkrete und nachvollziehbare Relevanz für die Betreuung und Förderung des Kindes gibt.

‍Empfehlung für alternative Abfragen:
Statt nach Staatsangehörigkeit oder Bildungsstand sollten Einrichtungen auf kulturelle, religiöse oder familiäre Besonderheiten eingehen, die für die Entwicklung und Betreuung des Kindes von Bedeutung sind.

‍Strenger Maßstab:
Für jede Datenerhebung, die über die unstrittigen Angaben hinausgeht, ist ein sehr strenger Maßstab anzulegen, um den Datenschutz zu gewährleisten.
‍
+ Betreuungsvertrag
+ Einwilligung


Foto-, Ton- und Videoaufnahmen

Diese Aufnahmen sind bewährte Instrumente, um die Entwicklung der Kinder zu dokumentieren, Fachkräfte fortzubilden und Eltern Einblicke in den Kita-Alltag zu gewähren. Da hierbei das Recht der Kinder am eigenen Bild betroffen ist und digitale Aufnahmen als personenbezogene Daten gelten, sind datenschutzrechtliche Bestimmungen strikt einzuhalten.

‍Datenschutzrechtliche Bestimmungen Betreuungsvertrag
‍Für die Beobachtung und Dokumentation der Kinder ist die Regelung in der Kita-Ordnung festgelegt.

‍Einwilligung der Personensorgeberechtigten Grundsatz:
Nur Kinder, für die alle Personensorgeberechtigten eine schriftliche Einwilligung erteilt haben, dürfen fotografiert oder gefilmt werden.

‍Inhalt der Einwilligung:
‍Zweck der Aufnahmen (z. B. Dokumentation von Festen)Nutzung und Zugänglichkeit (z. B. Elternabend, Homepage)Gültigkeitsdauer der Einwilligung und Löschzeitpunkt der Daten-Option zur Auswahl verschiedener Verwendungsarten (z. B. Elternabend, nicht aber Homepage).

‍Widerruf:
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass den Eltern oder Kindern daraus Nachteile entstehen dürfen.

‍Aufnahmen ohne Einwilligung Ausnahme:
Wenn ein Kind auf einem Foto (ohne Namensnennung) aufgrund der Entfernung, Perspektive oder Lichtverhältnisse nicht identifizierbar ist, ist keine Einwilligung erforderlich.

‍Einschränkungen:
Von halb- oder unbekleideten Kindern (z. B. am Wickeltisch) dürfen generell keine Aufnahmen gemacht werden.

‍Aufnahmen durch Dritte Aufnahmen durch kitafremde Personen (z. B. Eltern):
‍Verantwortung liegt bei den aufnehmenden Personen.Empfehlung: Eltern im Vorfeld darauf hinweisen, dass Aufnahmen von fremden Kindern nur mit Zustimmung der jeweiligen Personensorgeberechtigten erlaubt sind.Möglichkeit: Einrichtung einer Fotolounge oder eines expliziten Fotografierbereichs bei Festen.

‍Hausrecht:
Die Kita kann ein generelles Aufnahmeverbot auf dem Gelände aussprechen. Alternativ können Aufnahmen durch autorisierte Fachkräfte oder professionelle Fotograf*innen erfolgen.

‍Nutzung und Umgang mit Datenträgern Private Hardware:
‍Die Nutzung privater Geräte (z. B. Smartphones oder Tablets) für Aufnahmen ist nicht gestattet. Kommunikation mit Eltern sollte über datenschutzkonforme Kita-Verwaltungssoftware erfolgen.

‍Kitainterne Geräte:
‍Aufnahmen dürfen nur mit Geräten erfolgen, die von der Kita gestellt werden Zugriff auf interne oder externe Speicher ist nur autorisiertem Personal gestattet.

‍Datensicherheit:
‍Aufnahmen sind zeitnah auf ein gesichertes Laufwerk oder in einen geschützten Ordner auf dem Server der Einrichtung zu übertragen. Die Daten auf den Datenträgern sind anschließend sofort zu löschen. Datenträger sind sicher, z. B. in einem verschlossenen Schrank, aufzubewahren.

‍Namensnennung:
‍Vor der Nennung eines Kindesnamens in Zusammenhang mit einem Foto (z. B. Geburtstagskalender) ist zu prüfen, ob dies wirklich notwendig ist.

‍Voraussetzung:
Nur mit schriftlicher Einwilligung der Erziehungsberechtigten zulässig.

+ Foto-Einwilligung (Anlage Betreuungsvertrag)
‍+ Foto-Einwilligung (zu einem besonderen Zweck)
+ Vorlage Info für Eltern zu Aufnahmen bei Kita-Festen

Geldbußen
‍
Bei einem schwerwiegenden Verstoß gegen die Vorschriften des Datenschutzrechtes kann die Aufsichtsbehörde, also der Beauftragte für den Datenschutz der EKD, Geldbußen in angemessener Höhe verhängen oder für den Wiederholungsfall androhen.

+ Beauftragter für den Datenschutz der EKD
+ Datenschutzgesetz der EKD


Gesetzliche Grundlagen
‍
Für alle Träger im kirchlichen und diakonischen Bereich gilt das Datenschutzgesetz der EKD (DSG-EKD).

+ Datenschutzgesetz der EKD
+  Das Sozialgesetzbuch VIII incl. der länderspezifischen Regelungen
+ Kirchengesetze im IT-,Archiv-, Kita- und Personalbereich
+ Gesetze für Steuern, Kommunikation, Infektionsschutz, etc.


Gesundheitsamt
‍
Gegenüber den Gesundheitsämtern haben Kindertageseinrichtungen gesetzliche Meldepflichten in dreiunterschiedlichen Zusammenhängen:1. Die Kita ist verpflichtet, alle meldepflichtigen Erkrankungen von Kindern oder Mitarbeitenden unverzüglich dem Gesundheitsamt zu melden und auf Anforderung den Impfstatus zu übermitteln.2. Das Gesundheitsamt ist weiterhin unter Angabe persönlicher Daten zu informieren, wenn Eltern den Nachweis zur Impfberatung (§ 34 Abs. 10a IfSG) und/oder den Impf- bzw. Immunitätsnachweis betreffend einer Maserninfektion(§ 20 Abs. 8ff. IfSG) nicht erbringen.3. Bei ärztlichen und zahnärztlichen Vorsorgeuntersuchungen ist eine Mitwirkung der Kita bei der Datenerhebung gesetzlich vorgesehen. Gemeint ist damit die Erstellung von Listen der Kinder eines bestimmten Jahrgangs als Vorbereitung des Untersuchungstermins in der Einrichtung. WICHTIG ist hierbei, dass die Eltern der Untersuchung zustimmen müssen. Stimmen Eltern einer Untersuchung ihres Kindes nicht zu, müssen die Mitarbeiter*innen der Kita darauf achten, dass das Kind tatsächlich nicht untersucht wird.

+ Datenweitergabe/Datenübermittlung
+ Einwilligung Anlage: Kita Ordnung
+ Einwilligung zur Teilnahme an einer zahnärztlichen Vorsorgeuntersuchung in der Kita


Grundsätze
‍
Für den Datenschutz gelten folgende Grundsätze: Datensparsamkeit, Erforderlichkeit, Rechtmäßigkeit, Richtigkeit, Transparenz, Vertraulichkeit und Zweckbindung (§ 5 DSG-EKD).

+ Datensparsamkeit
+ Erforderlichkeit
+ Rechtmäßigkeit
+ Richtigkeit
+ Transparenz
+ Vertraulichkeit
+ Zweckbindung

Hausordnung
‍
In der Hausordnung ist auch geregelt wie sich Besucher, Abholberechtigte, etc. zu verhalten haben. Auch ein Fotografierverbot lässt sich hier festlegen.


Homepage
‍
Der Träger muss bei der Gestaltung einer Homepage darauf achten, dass der Internetauftritt auch in Hinblick auf den Umgang mit personenbezogenen Datenprofessionell gestaltet ist. Gesetzliche Vorgaben müssen also unbedingt eingehaltenwerden und es gilt der Grundsatz der Erforderlichkeit bei der Erhebung von Daten. Es ist zu berücksichtigen, das auch die IP-Adresse der Homepagebesucher als personenbezogenen Daten gelten und deren Schutz auch zu gewährleisten ist. Wenn eine Homepage bereits vorhanden ist, sollen vor allem folgende Punkte auf Datenschutzkonformität hin überprüft werden und bei rechtlich komplexen Fragen durch datenschutzkonforme Tools ersetzt werden:

• Kontaktformular
‍
• Eingebundene (externe) Tools (z. B. Newsletter, Google Analytics, usw.),ggf. Abschluss von Verträgen zur Auftragsverarbeitung (AV)-Verträgen
‍
• Einbindung eines Cookie-Banners

• Aktuelle Datenschutzerklärung (nach DSG-EKD)Auf keinen Fall dürfen folgende Daten veröffentlicht werden:

• Private Adressen, Telefonnummern und E-Mail-Adressen von Kindern, Eltern und Mitarbeitenden

• Kindernamen

• Kinderfotos

• Geburtsdaten Falls Fotos von Kindern und Mitarbeitenden auf der Homepage erscheinen, so darf dies nur mit ausdrücklicher Einverständniserklärung der Betroffenen bzw. deren Sorgeberechtigten geschehen.

+ Aufbewahrungsfrist
+ Datenlöschung
+ Einwilligung
+ Erforderlichkeit
+ Foto,- Ton- und Videoaufnahmen
+ Anlage: Kita Ordnung
+ Foto-Einwilligung für die Verwendung im Internet



Hospitation und Eingewöhnungsphase
‍
Sind Eltern zur Hospitation oder Eingewöhnung in der Kita anwesend, so beobachten sie neben ihrem eigenen Kind gezwungenermaßen auch andere Kinder und deren Eltern. Hier gilt die Verschwiegenheitsverpflichtung über alle beobachteten Informationen. Es ist sinnvoll, sich dies von den betroffenen Eltern im Vorfeld durch eine schriftliche Erklärung bestätigen zu lassen. Darüber hinaus dürfen hospitierende Eltern keinen Zugriff auf Dokumentationen oder Portfolios der anderen Kinder haben, es sei denn, die Kinder selbst zeigen ihre Arbeiten.

+ Bildungs- und Lerndokumentation
+ Verschwiegenheitsverpflichtung
+ Anlage Kita Ordnung: Verpflichtung auf das Datengeheimnis bei Hospitation/Eingewöhnung

Infektionsschutzgesetz
‍
Das Infektionsschutzgesetz (IfSG) schreibt vor, dass die Leitung der Einrichtung im Fall von meldepflichtigen Erkrankungen nach § 34 das Gesundheitsamt zu benachrichtigen hat und ihm gegenüber krankheits- und personenbezogene Angaben machen muss. Innerhalb der Einrichtung darf keine diesbezügliche Namensnennung erfolgen. Wird z. B. per Aushangbekanntgegeben, dass in der Einrichtung ein Fall von Mumps aufgetreten ist, so darf weder der Name noch die Gruppe desbetroffenen Kindes oder der*s betroffenen Erzieher*n genannt werden. Das IfSG regelt überdies die Impfpflicht bzw. die Pflicht zum Nachweis ausreichender Immunität bzgl. Masern (§ 20) und die Pflicht, sich bei einem Kinderarzt über die Möglichkeiten einer altersgemäßen Immunisierung beraten zu lassen (§34 Abs. 10a). Weitere gesetzliche Regelungen zum Infektionsschutz der Bundesländer sind auch zu berücksichtigen.

+ Gesundheitsamt


Informationspflicht
‍‍
Das DSG-EKD verpflichtet die »verantwortliche Stelle« alle Informationen über die Datenverarbeitung unentgeltlich in präziser, transparenter, verständlicher und leicht zugänglicher Form vorzuhalten. Sowohl bei unmittelbarer als auch bei mittelbarer Datenerhebung werden vor Vertragsunterzeichnung in einem Informationsblatt die Namen und die Kontaktdaten der verantwortlichen Stelle, gegebenenfalls die Kontaktdaten der oder des örtlich Beauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung und gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten in Textformmitgeteilt.

+ Auskunft
+ Betroffene Personen
+ Anlage Kita Ordnung: Datenschutzhinweise für Eltern/Personensorgeberechtigte
‍

IT-Sicherheit
‍‍
Jede Stelle, die Daten digital verarbeitet, muss sich darüber Gedanken machen, durch welche Maßnahmen diese Datenangemessen vor dem Zugriff durch Unbefugte geschützt werden können. Zum Beispiel:

• sind alle E-Mails mit personenbezogenen Daten, z.B. mit Kinderlisten verschlüsselt zu versenden (z.B. verschlüsselte-zip-Dateien). Ist die anfordernde Stelle eine Behörde, so hat diese eine sichere Kommunikationsmöglichkeit bereit zu stellen.

• ist der Zugang zu den Kita-Rechnern mit Passwörtern zu schützen.• sind die Passwörter regelmäßig zu ändern.

• sind die Rechner, Tablets, Kameras, Speichermedien in verschlossenen Räumen/Schränken aufzubewahren.

• sind regelmäßige Sicherheitsupdates zu machen.

• Kitadaten gehören nicht in eine Cloud, Dateiablage der ECKD nutzen. Es sind für alle Daten regelmäßig Sicherungen (Back-UPs) zu erstellen

• Allgemeine Themen der IT-Sicherheit wie Firewall, Virenschutz, IT-Infrastruktur, Softwarewartung, Datensicherung sind mit dem Träger und der IT-Sicherheit der EKHN angestimmt zu betrachten.

+ Auftragsverarbeiter
+ Datenlöschung

Jugendamt
‍‍
Personenbezogene Daten von Kindern dürfen nur dann an das Jugendamt übermittelt werden, wenn:

1. Eine gesetzliche Grundlage vorliegt
‍
2. hierzu eine rechtswirksame Einwilligungserklärung der Betroffenen vorliegt oder
‍
3. dies im Rahmen eines Kinderschutzverfahrens nach § 8a SGB VIII erforderlich ist oder
‍
4. unmittelbare Gefahr für Leib oder Leben des Kindes besteht, die ein sofortiges Handeln erfordert. Die Datenübermittlung hat verschlüsselt zu erfolgen. Ist die Einrichtung bzgl. der Rechtsgrundlage unsicher, so ist juristischer Rat beim Zentrum Bildung – Fachbereich Kindertagesstätten oder der Kirchenverwaltung einzuholen.

+ Datenweitergabe/Datenübermittlung
+ IT-Sicherheit> Kindeswohlgefährdung

Kinderärzt*innen, Therapeut*innen, Frühförderstellen‍

Um Kinder und deren Eltern in schwierigen Situationen zu unterstützen, ist in vielen Fällen die Koordination verschiedener Fachstellen hilfreich. Hier ist zu beachten, dass ein Datenaustausch nur mit der ausdrücklichen Einwilligung der Eltern erfolgen darf. Diese Einwilligung hat schriftlich zu erfolgen. Auch für die Kommunikation mit der Grundschule im Rahmen des Übergangs ist eine Einwilligung erforderlich.

+ Datenweitergabe/Datenübermittlung
+ Einwilligung
+ Kindeswohlgefährdung
+ Anlage: Einwilligung zum Datenaustausch zwischen Kita und Therapeut*in, Kinderarzt*Kinderärztin oder Frühförderung


Kindeswohlgefährdung
‍
Im Falle einer Kindeswohlgefährdung können im Rahmen einer Gefährdungseinschätzung im Sinne des § 8a Abs. 4 SGB VIII personenbezogene Daten ohne die Zustimmung der Personensorgeberechtigten an die zuständige Stelle des Jugendamt übermittelt werden und zwar dann, wenn

– die Gefahr nicht durch das Anbieten von Hilfen von Seiten des Trägers abgewendet werden kann oder

– gewichtige Anhaltspunkte für die Gefährdung des Wohls des Kindes trotz Hilfegewährung bestehen bzw. die Eltern nicht bereit oder in der Lage sind, die Gefahr abzuwenden und

– ein weiteres Tätigwerden für erforderlich gehalten wird, um die Gefährdung des Wohls eines Kindes abzuwenden.

Allerdings sollten die Personensorgeberechtigten in einem solchen Fall vorab darauf hingewiesen werden, dass die Daten ihres Kindes übermittelt werden, es sei denn, damit wird der wirksame Schutz des Kindes in Frage gestellt. Mit der im Rahmen der Gefährdungseinschätzung im Vorfeld hinzugezogenen insoweit erfahrenen Fachkraft darf der Kinderschutzfall gemäß § 64 (2a) SGB VIII nur anhand anonymisierter und pseudonymisierter Daten besprochen werden. Die Entscheidungsgründe für die Übermittlung der Daten an das zuständige Jugendamt sind zu dokumentieren und 3 Jahre aufzubewahren. Zur Gewährleistung des Kindeswohls in Tageseinrichtungen für Kinder hat der Träger einer Tageseinrichtung nach § 47 SGB VIIIi. V.m. § 15 Abs. 3 und 4, § 18 HKJGB Meldepflichten. Der Gesetzgeber möchte damit sicherstellen, dass möglichst frühzeitig Gefährdungssituationen oder negativen Entwicklungen entgegengewirkt werden kann. (näheres siehe Merkblatt)Die Meldung sollte folgende Punkte beinhalten:

• Darstellung des Ereignisses

• Art, Ort, Zeitpunkt und beteiligte Personen Name des Kindes, Geburtsdatum

• Namen weiterer Beteiligter

• Angaben zur Tageseinrichtung, in der das Kind gefördert wird

• Tageseinrichtung, Gruppenart

• Angaben zum Betreuungsdienst: Name, Qualifikation und Umfang des Einsatzes der Mitarbeiter/-innen

• Angaben über erfolgte, eingeleitete und/oder vorgesehene Maßnahmen

• Angaben darüber, ob eine Information an Personensorgeberechtigte erfolgte

• Angaben über andere, mit der Bearbeitung befasste Behörden Angaben zu weiteren relevanten Informationen, z.B. Öffentlichkeitswirksamkeit

• Angaben zu Bewertung des Ereignisses und Konsequenzen, die aus dem Vor-kommnis gezogen werden

+ Datenweitergabe/Datenübermittlung
+ Jugendamt


Kitasozialarbeit
‍
Mit der Einführung des Sozialraumbudgets (§ 25 Abs. 5 KiTaG) in Rheinland-Pfalz und der Aufgabe der Jugendämter eine Konzeption zu erstellen (§3 KitaGAVO) ergeben sich verschiedene Varianten:

A) Es wird Personal der Kita aus diesen Mitteln bezahlt. Mehrpersonal in den Einrichtungen finanziert aus demSozialraumbudget bleibt von der Datenschutzthematik ausgenommen. Diese arbeiten einrichtungsintern.

B) Es sollen die Sozialarbeitenden im Auftrag des Jugendamtes in einem Raum als Ansprechpartner für Familien in den Kitas anwesend sein. Weiterhin gibt es Aushänge über diese Angebote. U.U. spricht das pädagogische Personal Eltern direkt auf dieses Angebot an. Zusammen gefasst ein niederschwelliges Angebot für Eltern (mit deren Kindern) fachlich abgegrenzt von der Kitaarbeit. Das päd. Personal übermittelt keine personenbezogenen Daten!

Sobald jedoch externe Sozialarbeitenden durch das Kitapersonal über familiäre Situationen informiert werden oder diese an den Fallbesprechungen in den Teamsitzungen teilnehmen möchten, ergeben sich rechtliche Widerstände. Der Paragraf im Kitagesetz zum Sozialraumbudget, eine Konzeption oder auch die Kitaverordnungen sind keine gesetzliche Grundlage für die Übermittlung von personenbezogenen Daten von Kitakinder und deren Familien. Der einzige mögliche Weg ist derzeit die dokumentierte und freiwillige Einwilligung aller Personenberechtigte für die Datenweitergabe des Kitapersonals an die Sozialarbeitenden des Jugendamtes.

Handlungsempfehlungen:
‍Kommunikation: Einrichtung und Sozialarbeit tauschen sich nur situativ aus, Personenbezug ist durch Anonymisierung auszuschließen. Detaillierte Absprachen mit der Sozialarbeit in fallbezogener Arbeit, kann nur nach Vorlage einer rechtmäßigen Einwilligung erfolgen

Ermittlung konkreter Bedarfe von Familien/Kindern geschieht im Rahmen der Sozialarbeit mit den Familien. Zusammenarbeit und Absprachen des päd. Personals mit der Sozialarbeit nur über die Ausgestaltung des Sozialraums. Werden seitens des Jugendamtes andere Anforderungen gestellt, so sind diese begründet vorzulegen und durch das zuständige juristische Referat innerhalb der EKHN zu prüfen.


Kontrolle
‍
Die Kontrolle des Datenschutzes liegt bei kirchlichen Einrichtungen bei der Dienststelle Beauftragter für den Datenschutz der evangelischen Kirche in Deutschland. Diese Kontrollen werden sowohl anlassbezogen als auch stichprobenartig durchgeführt. Ein Datenschutzkonzept kann im Falle einer Prüfung durch die Datenschutzaufsicht als Nachweis für die Umsetzung der datenschutzrechtlichen Bestimmungen dienen. Wissentliche oder vorsätzliche Verstöße von Mitarbeitenden gegen das Datenschutzgesetz können arbeitsrechtliche Konsequenzen von Seiten des Trägers nach sich ziehen, wie z. B. eine Abmahnung.

+ Beauftragter für den Datenschutz der EKD
+ Datenschutzkonzept
+ Verzeichnis von Verarbeitungstätigkeiten
‍
Muster kann beim Datenschutzbeauftraten angefordert werden:
Handreichung für die Erstellung eines Datenschutzkonzeptes

Listen
‍
In jeder Kita werden verschiedene Listen geführt, die oft auch personenbezogene Daten enthalten, wie zum Beispiel Anwesenheitslisten, Gruppenlisten, Informationen über Allergien und Unverträglichkeiten, Informationen zu Abholberechtigten, Telefonverzeichnisse. Zugriff auf diese Listen dürfen nur Personen haben, die diese Daten tatsächlich für ihre Arbeit benötigen.

+ Aufbewahrung
+ Aufbewahrungsfrist
+ Entsorgung (Vernichtung)


Löschungen
‍
Gemäß § 21 DSG-EKD sind personenbezogene Daten grundsätzlich zu löschen, sofern sie nicht mehr erforderlich sind. Ausnahmen gelten in folgenden Fällen:

‍Erfüllung rechtlicher Verpflichtungen:
‍Einhaltung gesetzlicher Aufbewahrungsfristen, z. B. nach der Abgabenordnung oder der Kassationsordnung der EKHN.

‍Geltendmachung oder Verteidigung von Rechtsansprüchen:
‍Beispielsweise bei Ansprüchen aus dem Betreuungsvertrag.

‍Umgang mit nicht löschbaren Daten Gesonderte Verwahrung:
Dokumente und Daten, die im Alltag nicht mehr benötigt werden, aber noch nicht gelöscht werden dürfen, sind sicher und getrennt von anderen Daten aufzubewahren.

‍Eingeschränkter Zugriff:
‍Der Zugriff ist ausschließlich für die Zwecke erlaubt, die das Löschen der Daten verzögert haben. Der Kreis der zugriffsberechtigten Personen ist entsprechend anzupassen und auf das erforderliche Minimum zu reduzieren.

‍Elektronische Daten:
Für Dateien und Programme gelten dieselben Regelungen: Eine Nutzung ist nur für die definierten Zwecke zulässig.

Fazit
Die Speicherung personenbezogener Daten, die nicht mehr aktiv genutzt werden dürfen, erfolgt unter strenger Berücksichtigung von Datenschutz und Sicherheit. Zugriff ist ausschließlich im Rahmen der Ausnahmen erlaubt, und Daten sind nach Ablauf der Frist unverzüglich zu löschen.
‍
+ Aufbewahrung
+ Sperrung von Daten

Medikamentengabe
‍
Für die Gabe von Medikamenten, ohne die ein Kita-Besuch nicht möglich wäre, muss ein Attest (ggf. auch Einweisung durch den Kinderarzt) mit genauer Anweisung der*s behandelnden Arztes*Ärztin sowie eine Erklärung der Personensorgeberechtigten vorliegen, die diese Aufgabe an die Kita delegieren. Diese Unterlagen müssen dem gesamten Team zugänglich gemacht werden, um im Notfall reagieren zu können.

Diese Daten dürfen jedoch nicht an Dritte weitergegeben werden.

+ Link Homepage Zentrum Bildung - Vorlagen


Meldung von Sicherheitsvorfällen
‍
Im Falle einer Verletzung des Schutzes personenbezogener Daten, z. B. bei einer Datenpanne, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechtenatürlicher Personen führt, meldet die verantwortliche Stelle dies der Betriebsbeauftragten oder der örtlich Beauftragten für den Datenschutz sowie dem Beauftragen für den Datenschutz der EKD. Dies muss unverzüglich (Empfehlung: innerhalb von 72 Stunden nach Kenntnis des Vorfalls) erfolgen (§ 32 DSG-EKD).Wenn durch die Datenpanne ein hohes Risiko für die persönlichen Rechte der betroffenen Person besteht, so benachrichtigt die verantwortliche Stelle auch die betroffene Person unverzüglich über die Verletzung (§ 33 DSG-EKD).

+ Beauftragter für den Datenschutz der EKD
+ Datenpanne


Mitarbeiter*innengespräche
‍
Mitarbeiter*innengespräche, die die Kita-Leitung als Dienstvorgesetzte mit ihren Mitarbeitenden führt, sind von Vertrauen und Verschwiegenheit der Beteiligtengeprägt. Die Gespräche sind in Protokollen oder Notizen festzuhalten, um bei einem Folgegespräch auf Absprachen und Zielvereinbarungen zurückgreifen zu können. Diese Protokolle oder Notizen kommen im verschlossenen Umschlag in die Personalakte und sind beschriftet mit „vertraulicher Notiz, zu öffnen nur in Gegenwart oder mit Einwilligung der Mitarbeitenden. Auf Wunsch der Mitarbeitenden oder bei einem Stellenwechsel wird der Umschlag mit Inhalt vernichtet“.

+ Aufbewahrungsfrist
+ Entsorgung (Vernichtung)

Notebook
Der Einsatz von Notebooks birgt besondere Gefahren, da diese mobilen Geräte entweder durch Diebstahl oder durch Unachtsamkeit sehr viel häufiger abhanden-kommen als andere Computer. Es ist deshalb besonders wichtig, durch erhöhte Sicherheitsmaßnahmen zu verhindern, dass Unbefugte auf hier gespeicherte Datenzugreifen können. Dies verlangt mindestens eine Zugangsbarriere durch die Verwendung eines Passwortes und die Verschlüsselung der Festplatte.

+ IT-Sicherheit
+ Passwörter

Örtlich Beauftragte*r für den Datenschutz
‍
Bei kirchlichen Werken, kirchlichen Stellen und Einrichtungen mit eigener Rechtspersönlichkeit (z. B. diakonische Einrichtungen als e.V. oder GmbH oder kirchliche Stiftungen) sind i.d.R. örtlich Beauftragte (Betriebsbeauftragte) zu bestellen, i.d.R. sind dies die örtlich Beauftragten der Kirchenverwaltung. Die Verantwortung hierfür liegt beim Träger. Weiteres regelt die DSVO der EKHN. Als örtlich Beauftragte*r kann bestellt werden, wer über die zeitlichen Ressourcen, die fachliche Qualifikation und persönliche Zuverlässigkeit verfügt. Die fachliche Qualifikation ist durch regelmäßige Weiterbildung in den Bereichen des kirchlichen Datenschutzes und der Jugendhilfe zu belegen. Die persönliche Zuverlässigkeit ist dann gewährleistet, wenn kein Interessenkonflikt mit anderen Tätigkeiten bei der verantwortlichen Stelle besteht (Stichwort Eigenkontrolle: so können z. B. Trägervertreter*innen, Kita-Leitungen oder IT-Verantwortliche nicht zum*r örtlich Beauftrage*n bestellt werden).Im Gegensatz zum Beauftragten für den Datenschutz der EKD hat der/die örtlich Beauftragte keine Kontrollfunktion und fungiert nicht als Beschwerdestelle. seine/ihre Aufgabe ist die Beratung undWeiterentwicklung des Datenschutzes bei seinem/ihrem Träger.

+ Beauftragter für den Datenschutz der EKD
+ Betriebsbeauftrage*r für den Datenschutz

Passwörter
‍
Auf dem Computer gespeicherte personenbezogene Daten müssen durch ein gesondertes Benutzerkonto und Passwort vordem Zugriff Unbefugter geschützt werden. Damit diese gewünschte Wirkung auch tatsächlich erzielt wird, ist Folgendes beim Umgang mit Passwörtern zu beachten:• Es ist für die Administration ein separater Benutzeraccount zu benutzen. Der Administrator ist dem Träger zuzuordnen. Das pädagogische Personal einer Einrichtung benötigt keine administrativen Rechte an den PCs.

• Jede*r Benutzer*in muss ein eigenes Passwort haben, das nur ihr/ihm bekannt ist.

• Das Passwort muss in regelmäßigen Abständen gewechselt werden. Es muss auch gewechselt werden, wenn man die Vermutung hat, dass das Passwort anderen Personen bekannt ist.

• Sichere Passwörter zeichnen sich durch folgende Merkmale aus: mindestens zwölf Zeichen, davon mindestens ein Großbuchstabe, eine Zahl und ein Sonderzeichen. Komplexe Passwörter lassen sich gut merken, wenn diese durch Merkhilfen (Anfangsbuchstaben von Sätzen oder Zitaten) gestützt werden, z. B. mein Passwort für den dienstlichen PC ist 100% sicher = mPfddPi100%s

• Nicht verwendet werden sollten Konstellationen aus Namen, Geburtstag, usw. da diese Daten ebenfalls Kollegenbekannt sein dürften und somit leicht zu erraten sind.

+ IT-Sicherheit> Notebook


Personalakten
‍
Personalakten werden in der Regel nicht in der Kita, sondern beim Träger aufbewahrt. Sollten sie in Ausnahmefällen im Büro der Kita aufbewahrt werden, so müssen diese Unterlagen in abschließbaren, feuerfesten Schränken vor dem Zugriff Unberechtigter geschützt werden. Zugriff auf die Personalunterlagen hat in der Kita nur die Leitung und deren Stellvertretung. Entsprechend sind die Personalunterlagen getrennt von den Kinder- und Familienakten aufzubewahren.

+ Aufbewahrung
+ Aufbewahrungsfrist


Personenbezogene Daten
‍
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse eines Menschen. Dabei muss derName der Person nicht explizit genannt werden, es ist ausreichend, wenn ein Bezug zu einer Person hergestellt werden kann(z. B. die jüngste Mitarbeiterin im Team). In diesem Fall spricht man von personenbeziehbaren Daten. Diese Daten dürfen nurmit vorheriger Einwilligung der entsprechenden Personen erhoben, gespeichert und verarbeitet werden oder wenn einegesetzliche Regelung dies vorsieht. Außerdem sind personenbezogene Daten vor dem Zugriff von Unbefugten zu schützen.

+ Persönlichkeitsrecht
+ Recht auf informationelle Selbstbestimmung
+ Sozialdaten


Persönlichkeitsrecht
‍
Das Persönlichkeitsrecht ist ein Grundrecht, das dem Schutz der Persönlichkeit einer Person vor Eingriffen in ihren Lebens-und Freiheitsbereich dient. Es leitet sich aus den Artikeln 1 Abs. 1 GG – Die Würde des Menschen ist unantastbar und Artikel 2 Abs. 1 GG – Das Recht auf die Entfaltung der Persönlichkeit ab. Das Recht auf informationelle Selbstbestimmung ist Teil dieses Persönlichkeitsrechtes.

+ Recht auf informationelle Selbstbestimmung


Personal Computer (PC)
‍
PCs mit personenbezogenen Daten sollen grundsätzlich nicht in allgemein zugänglichen Räumen aufgestellt werden. In jedem Fall sollte jede*r Mitarbeiter*in nur auf die Laufwerke und Dokumente Zugriff haben, die für seine*ihre Arbeit relevant sind. Der PC muss passwortgeschützt sein und der Monitor so stehen, dass Fremde und Besucher*innen keinen Einblick darauf haben. Für alle Geräte wie PC, Notebooks, Drucker, Kameras, Speichermedien, Handys ist ein IT-Sicherheitskonzeptumzusetzen.

+ IT-Sicherheit
+ Notebook
+ Passwörter


Portfolio
‍
Portfolios sollen den Kindern die Möglichkeit geben, die eigene Entwicklung zu verfolgen und anderen zeigen zu können, was sie geschaffen und geschafft haben. Teil der Portfolios können Dokumentationen sein, z. B. in Form von Bildungs- und Lerngeschichten, in denen auch die Arbeitender Kinder abgeheftet werden. Kinder sollen jederzeit Einsicht in ihre Portfolios haben bzw. sie mitgestalten. So ist es pädagogisch notwendig, dass Portfolios an einem für Kinder zugänglichen Ort aufbewahrt werden. Die Eltern sind allerdings bereits mit dem Betreuungsvertrag zu verpflichten, ausschließlich in die Portfolios ihrer eigenen Kinder Einblick zu nehmen. Der Datenschutz ist insofern zu gewährleisten, als dass mit den Kindern vereinbart wird, dass jede*r nur in die eigenen Unterlagen schauen darf und die Einsicht in andere Portfolios nur mit Zustimmung der Betroffenen erfolgen darf.

+ Aufbewahrungsfrist
+ Bildungs- und Lerndokumentation



Private Geräte
‍
Private PCs, Tablets, Smartphones, Kameras dürfen nicht für die Nutzung von Kita-Daten eingesetzt werden. Insbesondere die Nutzung eines privaten PCs zur Verarbeitung personenbezogener Daten ist nicht zulässig. Die Dienstanweisungen und rechtlichen Bestimmungen sind zu beachten.

+ IT-Sicherheit
+ (Bring) Your Own Device (BYOD)

Qualitätsmanagementhandbuch
‍
Inhalte eines QM-Handbuchs sind in der Regel Informationen zu Abläufen und betrieblichen Regelungen. Personen sind i.d.R. als Funktionsträger mit dienstlichen Kontaktdaten benannt, die auch im Organigramm veröffentlicht sind. Es könnte allenfalls ein Interesse der Einrichtung/des Trägers daran bestehen, dass interne Regelungen z. B. in den Führungsprozessen, nicht öffentlich zugänglich sind (z. B. auf der Kita-Homepage). Bei Interesse sollte jedoch z. B. Elternvertreter*innen die Möglichkeit eingeräumt werden, Einsicht in das QM-Handbuch zu nehmen.

+ Qualitätsmerkmal Datenschutz


Qualitätsmerkmal Datenschutz
‍
Beim Datenschutz geht es nicht nur um rechtliche Fragen, vielmehr setzt der sorgsame Umgang mit Daten den »Respekt vor der Persönlichkeit des Kindes«2 voraus. Dem liegt ein pädagogisches Grundverständnis zugrunde, nach dem alle Fachkräfte das Kind als Subjekt begreifen und auf dieser Basis alles tun, um das Kind mit seinen Persönlichkeitsrechten zu schützen, an Entscheidungen zu beteiligen und auch dessen Eltern in Prozesse einzubeziehen. Diese Grundhaltung spiegelt sich in Konzeption und Leitbild wider und sollte somit auch als wichtiges Qualitätsmerkmal verstanden werden. Der Umgang mit Datenschutzfragen sollte mit allen Mitarbeitenden der Kitakommuniziert und im Rahmen des Qualitätsentwicklungsprozesses in regelmäßigen Abständen diskutiert und überprüft werden.

+ Datenschutzkonzept
+ Persönlichkeitsrecht
+ Qualitätsmanagementhandbuch

Rechtmäßigkeit
‍
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestenseine der in § 6 DSG-EKD genannten Bedingungen erfüllt wird:

• eine Rechtvorschrift erlaubt die Verarbeitung,
‍
• die betroffene Person hat eingewilligt,
‍
• die Daten werden zur Erfüllung der Aufgaben der verantwortlichen Stelle benötigt,
‍
• die Verarbeitung liegt im kirchlichen Interesse,

• zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen,

• die verantwortliche Stelle ist gesetzlich zur Verarbeitung verpflichtet,

• um lebenswichtige Interessen zu schützen,

• im Rahmen der Interessenabwägung.

+ Datenschutzgesetz
+ Zweckbindung
+ Grundsätze


Rechtsvorschriften
‍
Neben den staatlichen Gesetzen sind für die EKHN das geltende Kirchenrecht zu beachten sowie Dienstvereinbarungen zwischen der lokalen MAV, der GMAV und der kirchlichen Einrichtung.

+ Gesetzliche Grundlagen


Recht auf informationelle Selbstbestimmung
‍
Jeder Mensch in Deutschland kann grundsätzlich selbst darüber bestimmen, welche Daten über ihn erhoben werden. Es handelt sich hierbei um das Grundrecht auf informationelle Selbstbestimmung. Dieses Recht ist ein Teil des Persönlichkeitsrechts, das sich auf die Artikel 1 und 2 des Grundgesetzes (GG) stützt. (Artikel 1 Abs. 1 GG –Die Würde des Menschen ist unantastbar und Artikel 2 Abs. 1 GG – Das Recht auf die Entfaltung der Persönlichkeit).

+ Persönlichkeitsrecht


Rechte der betroffenen Person
‍
Die Rechte der betroffenen Person werden in den §§ 16 – 25 DSG-EKD geregelt und umfassen folgende Punkte: Transparente Information, Kommunikation, Informationspflicht bei unmittelbarer Datenerhebung, Informationspflicht bei mittelbarer Datenerhebung, Auskunftsrecht der betroffenen Person, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und das Widerspruchsrecht.

+ Auskunft
+ Berichtigung von Daten
+ Beschwerde
+ Datenübertragbarkeit
+ Informationspflicht
+ Sperrung von Daten
+ Widerspruch


Richtigkeit
‍
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Parallele Datenhaltung ist zu unterbinden. Personalsoftware und weitere Personallisten für Urlaub/eAU/BEM, Dienstplan, Führungszeugnisse etc. sind nur mit Aufwand aktuell zu halten, um damit richtig und konsistent zu sein.

+ Grundsätze

Sozialdaten
‍
Sozialdaten sind grundsätzlich alle personenbezogenen Daten, die eine Kita und ihr Träger (und andere Sozialleistungsträger nachdem Sozialgesetzbuch (SGB)) für die Erfüllung seiner Aufgaben benötigt. Damit handelt es sich in der Regel um personenbezogene Daten gemäß § 6 Ziffer 3 DSG-EKD, deren Erhebung aufgrund der Erforderlichkeit zur Erfüllung der Aufgaben aus dem Betreuungsvertrag der verantwortlichen Stelle rechtmäßig ist und für deren Verarbeitung eine ausdrückliche Einwilligung der betroffenen Personen oder deren Personensorgeberechtigten nicht erforderlich ist. Beispiele hierfür sind z.B. Name und Anschrift der Personensorgeberechtigten im Betreuungsvertrag sowie die Bildungs- und Entwicklungsdokumentation.

+ Personenbezogene Daten


Sperrung von Daten
‍
Wenn eine Person der Verarbeitung ihrer Daten widerspricht, gleichzeitig gesetzliche Aufbewahrungsfristen aber eine Löschung dieser Daten verhindern, hat die verantwortliche Stelle diese zu sperren, d.h. unzugänglich aufzubewahren, sodass Mitarbeitende keinen Zugriff mehr darauf haben. Die Daten müssen entsprechend gekennzeichnet und ihre weitere Verarbeitung auf die Zwecke eingeschränkt werden, die die befristete Aufbewahrung rechtfertigten. Beispiele sind Vertrags-und Abrechnungsunterlagen für eine Steuerprüfung.

+ Aufbewahrungsfristen
+ Löschung

Therapeut*innen

+ Kinderärzt*innen, Therapeut*innen, Frühförderstellen


Transparenz
‍
Nach dem Grundsatz der Transparenz dürfen personenbezogene Daten in der Regel nur bei der/dem Betroffenen selbsteingeholt und nicht über Dritte erhoben werden. Ebenso müssen die Betroffenen darüber informiert werden, was mit ihrenDaten passiert. Sie haben das Recht mitzubestimmen, welche Daten erhoben und an wen diese Informationen weitergeleitetwerden dürfen.

+ Grundsätze
+ Informationspflicht

Übergang von der Kita zur Grundschule
‍
Kooperationsvereinbarungen regeln noch keine datenschutzrechtlichen Befugnisse, sodass jeder Austauschpersonenbezogener Daten zwischen Kita und Grundschule nur mit Einwilligung der Eltern geschehen darf.Durch die Schule darf generell keine Datenerhebung in der Kita stattfinden. Vor dem Besuch von Lehrkräften inder Kita und den Vorschulkindern in der Grundschule sind die Eltern über den Besuch zu informieren und dassdie Teilnahme für ihr Kind freiwillig ist. Vor einer Weitergabe (mit einer Einwilligung) von Entwicklungsdaten andie Grundschule ist abzuwägen, ob ein gemeinsames Entwicklungsgespräch mit Eltern, Erzieher*innen undLehrkräften nicht sinnvoller und vertrauensfördernd ist.

‍+ Bildungs- und Lerndokumentation
‍+  Datenweitergabe/Datenübermittlung
‍+ Anlage: Einwilligung zur Datenweitergabe an die Grundschule

Verantwortlichkeit für die Einhaltung derdatenschutzrechtlichen Bestimmungen
‍
Der Beauftragte für den Datenschutz der evangelischen Kirche in Deutschland ist für die Überwachung der Einhaltung der Vorschriften des Datenschutzgesetzes der EKD (DSG-EKD) verantwortlich. Die konkreten Aufgaben des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland sind in § 43 DSG-EKD beschrieben. Zu seinem Aufgabenbereich gehören z. B. die Erarbeitung von Empfehlungen zum Thema Datenschutz und Beratung von Trägern hierzu. Zudem hat der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland die Aufgabe, Beschwerden von in ihren Persönlichkeitsrechten verletzten Personen nachzuprüfen. In diesem Fall müssen Verstöße beanstandet und können zudem Vorschläge zur Beseitigung von Mängeln gemacht werden. Der Kita-Träger ist als sogenannte verantwortliche Stelle (§ 4 Nr. 9 DSG-EKD) dafür zuständig, die Rahmenbedingungen für datenschutzgerechtes Arbeiten in seiner Organisation zu schaffen. Das bedeutet z. B. das Bereitstellen von verschließbaren Schränken für personenbezogene Daten oder das ordnungsgemäße Warten von Computerarbeitsplätzen. Er trägt auch Sorge für die Erarbeitung eines Datenschutzkonzeptes und das Wirksamwerden entsprechender Dienstanweisungen für Mitarbeiten-de. Dabei wird er von der Kita-Leitung unterstützt. Sind innerhalb der Trägerschaft mehr als neun Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut, so ist der Träger für die Bestellung einer*s örtlich Beauftragten für den Datenschutz verantwortlich. Schließlich ist jede*r Mitarbeitende für die konkrete Umsetzung eines datenschutzgerechten Umgangs mit personenbezogenen Daten verantwortlich. Dafür steht jede*r Mitarbeitende mit Unterzeichnung des Arbeits-/Dienstvertrag sein. Hilfreich ist es sicher, sich in regelmäßigen Abständen die konkreten Erwartungen zu vergegenwärtigen und zu prüfen, ob der Alltag entsprechend organisiert ist. Neben den organisatorischen Maßnahmen ist auch die Aufmerksamkeit im Alltag wichtig. In der pädagogischen Arbeit achtet man auf die Unversehrtheit der Kinder, beim Arbeiten am PC, Tablet und Dokumenten achtet man auf die Unversehrtheit der Daten. Beispielsweise auffällige Emails, eine komische Meldung am Bildschirm, verzögerte Dateneingabe sind zu beobachten und zu melden. Vielleicht ist es nur eine Kleinigkeit, wenn nicht kann reagiert werden, und schlimmeres u.U. abgewendet werden. Es ist Aufgabe des Trägers das Personal regelmäßig zu schulen und Awareness-Kampagnen für den Datenschutzdurchzuführen.

+ Beauftragter für den Datenschutz der Evangelischen Kirche in Deutschland
+ Datenpanne
+ Örtlich Beauftragte*r für den Datenschutz
+ Entsorgung (Vernichtung)


Veröffentlichung
‍
Werden persönliche Daten veröffentlicht, so muss in einer schriftlichen Einwilligungserklärung deutlich werden, für welche Veröffentlichung (z. B. Flyer, Gemeindebrief, Zeitungsartikel, Buch, Ausstellung, Homepage) und für welchen Zeitraum dies explizit gilt. Nach Ablauf dieser Fristen erlischt die Einwilligung der Betroffenen. Dies gilt auch für die Arbeiten der Kinder (z. B. gemalte Bilder).
‍
+ Aufbewahrungsfrist
+ Datenlöschung
+ Einwilligung
+ Anlagen: Foto-Einwilligung für einen besonderen Zweck


Verschwiegenheitsverpflichtung
‍
Auf der Grundlage der KDO und des Arbeitsvertrages sind alle Mitarbeitenden verpflichtet, Stillschweigen zu wahren über alle Informationen, die sie im Zusammenhang mit ihrer Tätigkeit in der Kita erhalten. So dürfen sich Eltern und Kinder grundsätzlich darauf verlassen, dass alle Informationen vertraulich behandelt und nicht an Dritte weitergegeben werden. Eine Verschwiegenheitsverpflichtung ist von allen Mitarbeitenden zu unterzeichnen. Dies schließt sowohl ehrenamtlich Mitarbeitende als auch Honorarkräfte ein, z.B. die gewählte Elternvertretung, oder Eltern, die im Rahmen einer Hospitation oder Eingewöhnung aktiv am Kita-Alltagteilnehmen.

+ Verpflichtung auf das Datengeheimnis (nach § 26 EKD-DGS)
+ Verpflichtung auf das Datengeheimnis bei Hospitation/Eingewöhnung (nach § 26EKD-DGS)


‍
Vertraulichkeit
‍
Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit vor dem Zugriff Unbefugter gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Zerstörung oder versehentlicher Schädigung. Papierdokumente gehören in abschließbare Schränke, deren Schlüssel nur berechtigte Personen haben. Befindet sich keine berechtigte Person im Raum, so sind die Schränke zu verschließen. Personal- und Kinderakten gehören ins Leitungsbüro. Die digitale Ablage ist entsprechend zu organisieren.

+ Grundsätze


Verzeichnisse von Verarbeitungstätigkeiten
‍
Über alle Verfahren, in denen personenbezogene Daten verarbeitet werden, sind bei Unternehmen, die mehr als 250 Mitarbeitende beschäftigen, Verzeichnisse über Verarbeitungstätigkeiten gem. § 31 DSG-EKD zu führen. Die Regelungen bei der Verarbeitung von besonderen Kategorien personenbezogener Daten haben jedoch weiterhin Gültigkeit. Die Verfahren werden in Zusammenarbeit mit den für die Verarbeitung verantwortlichen Mitarbeiter*innen erstellt. Ein Musterverzeichnis der Verarbeitung dient hierbei als Vorlage. Kleinere Stellen (mit weniger als 250 MA) führen das Verzeichnis nur hinsichtlich besonderer Kategorien von persönlichen Daten (§ 4 Nr. 2 DSG-EKD). Hierzu zählen v.a. Daten zum Gesundheitszustand des Kindes und des Personals. Bei der Planung und vor der Einführung neuer Verarbeitungen bzw. der Veränderung bestehender Verarbeitungen, sind Datenschutzthemen vorher zu klären.

+ Örtlich Beauftragte*r für den Datenschutz

Muster kann beim Datenschutzbeauftragten angefordert werden:
Handreichung für die Erstellung eines Datenschutzkonzeptes.


Videoaufnahmen
‍‍
+ Foto-, Ton- und Videoaufnahmen



Videoübertragung bei Gottesdiensten und kirchlichen Veranstaltungen
‍
Die Aufzeichnung oder Übertragung von Gottesdiensten oder kirchlichen Veranstaltungen ist datenschutzrechtlich zulässig, wenn die Teilnehmenden über Art und Umfang der Aufzeichnung oder Übertragung zuvor informiert werden (§ 53 DSG-EKD). Die Personen dürfen dabei nicht identifizierbar sein, ansonsten ist eine Einwilligung einzuholen.
‍

Videoüberwachung
‍‍
Die Überwachung des Kitageländes als Schutz gegen Vandalismus gewinnt an Bedeutung. Da die Videoüberwachung ein erheblicher Eingriff in die Persönlichkeitsrechte darstellt, gibt es für ein rechtmäßigen Einsatz der Videoüberwachung hohe Auflagen. Eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung ist immer notwendig.

Whatsapp
‍
Von der Nutzung des Messenger-Dienstes WhatsApp im dienstlichen Zusammen-hang ist dringend abzuraten, da WhatsApp datenschutzrechtlich bedenklich ist, nicht zuletzt, da die Kontaktdaten automatisch mit den Servern von META in den USA synchronisiert werden. Die Verwendung von WhatsApp auf dienstlichen Endgeräten ist zu untersagen. Als in der EKD einsetzbare Alternativen sind Ginlo und Threema zu nennen.



Widerspruch
‍
Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Der Widerspruch verpflichtet die verantwortliche Stelle dazu, die Verarbeitung zu unterlassen, soweit nicht an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das Interesse einer dritten Person über- wiegt oder eine Rechtsvorschrift zur Verarbeitung verpflichtet (§ 25DSG-EDK).

(Bring) Your Own Device (BYOD)
‍
(Bring) Your Own Device – (BYOD) ist die Bezeichnung dafür, private mobile Endgeräte wie Laptops, Tablets oder Smartphones in die Netzwerke von Unternehmen und anderen (Bildungs-)Institutionen zu integrieren. Aus datenschutzrechtlichen Gründen ist jedoch davon abzuraten, private Endgeräte beruflich zu nutzen. So sollten z. B. keine Fotos im beruflichen Kontext mit privaten Handys gemacht werden. Werden ausnahmsweise Fotos erstellt, so sind diese umgehend auszudrucken oder auf den Dienstcomputer zu übertragen und sofort auf dem Handy zu löschen. Eine Übertragung von Fotos in die Cloud ist zu unterbinden. Ein Diensthandy ist stets sicher zu verwahren. Datenschutzrechtlich am sichersten ist, wenn die Nutzung privater mobiler Endgeräte per Dienstanweisung untersagt wird. Auch eine Offenbarung von internen Informationen an mit nutzende Familienmitglieder kann nicht ausgeschlossen werden.

+ Privater PC

Zweckbindung
‍
Nach dem Grundsatz der Zweckbindung dürfen personenbezogene Daten nur für den Zweck genutzt werden, für den sie erhoben worden sind. Der Zweck der Datenerhebung muss also immer festgelegt sein. So dürfen zum Beispiel für die Kommunikation mit den Eltern erhobene Kontaktdaten nicht ohne Einwilligung der Eltern den Elternvertreter*innen zur Verfügung gestellt werden. Wenn der Zweck erfüllt wurde, sind die Daten zu löschen bzw. zu entsorgen (vernichten), wobei Aufbewahrungsfristenbeachtet werden müssen.

+ Aufbewahrungsfristen
+ Datenlöschung
+ Entsorgung (Vernichtung)
+ Grundsätze
+ Informationspflicht
+ Rechtmäßigkeit