Datenschutz - Häufig gestellte Fragen (FAQs) in der Fachberatung

Hier finden Sie häufig gestellte Fragen (FAQs), die Fachberaterinnen und Fachberater in ihrer Beratungspraxis bei Jugendämtern und freien Trägern beschäftigen. Wir versuchen, einige Fragen zu beantworten. Wir tun dies nach bestem Wissen. Für die Rechtssicherheit dieser Aussagen können wir leider keine Gewähr übernehmen.

Einige Fragen stellen sich besonders für freie Träger, die Aufgaben vom öffentlichen Jugendhilfeträger übertragen bekommen haben.

Auf unserer Homepage finden auch Tagesmütter und Tagesväter Antworten zum Datenschutz in der Kindertagespflege.

Sehr zu empfehlen sind auch folgende Materialien:

 

Gerne werden wir diese Liste noch ergänzen. Wenn Sie weitere empfehlenswerte Materialien kennen, lassen Sie es uns bitte wissen! Vielen Dank!

Wenn Sie weitere Fragen haben, rufen Sie uns an oder schicken Sie uns eine Mail.

Was ist ein Datenschutzkonzept und brauchen wir eins?

Jede Fachberatungsstelle braucht ein Datenschutzkonzept. Darin wird beschrieben, welche Daten zu welchem Zweck erhoben werden, wo sie gespeichert und aufbewahrt werden, wer Zugriff hat, wie sie vor unberechtigtem Zugang geschützt werden und wann sie vernichtet bzw. gelöscht werden. Dieses Datenschutzkonzept kann auch in Form einer Liste oder Tabelle angefertigt werden.

Wie müssen Daten von Kindertagespflegepersonen und Kindern/Eltern aufbewahrt werden?

Grundsätzlich dürfen personenbezogene Daten nur mit Einwilligung ihrer Besitzer erhoben  werden. Sie müssen sicher vor unberechtigten Zugriffen geschützt werden, d.h. schriftliche Aufzeichnungen (z.B. Verträge) müssen immer in verschließbaren Schränken aufbewahrt werden, elektronisch gespeicherte Daten passwortgeschützt. Wird ein Computer oder Server von mehreren Personen benutzt, benötigt jede Person ein individuelles Passwort.

Umgang mit Passwörtern

Jede*r Mitarbeiter*in muss einen eigenen Zugang zum Server und einen passwortgeschützten Zugang zu den Daten der Kindertagespflegepersonen, Eltern und Kindern haben. Im Notfall oder bei längerer Krankheit eine*r Mitarbeiter*in kann der Administrator auf Weisung des Vorgesetzten einen neuen Zugang zu den Daten erwirken. Nachdem dieser Zweck erfüllt ist, muss dieser Zugang wieder beseitigt und durch den/die Mitarbeiter*in ein neues Passwort vergeben werden.

Aufbewahrung von persönlichen Dokumenten

Kindertagespflegepersonen müssen bei Beantragung der Erlaubnis in der Regel ein erweitertes polizeiliches Führungszeugnis vorlegen. Dieses wir häufig in der Akte des Jugendhilfeträgers aufbewahrt, evtl. gemeinsam mit einer Kopie des Personalausweises. Dieses ist nicht erlaubt und auch nicht nötig. Im Prozess der Erteilung der Erlaubnis reicht es aus, wenn bestätigt wird, dass das Führungszeugnis, der Personalausweis oder andere Dokumente vorgelegt und nicht beanstandet wurden.

Schutz der Daten gegenüber Fremden

Lieferanten und Dienstleister (z.B. Reinigungspersonal) sind manchmal auch alleine in den Büroräumen. Sie müssen sich gegenüber ihrem Auftraggeber zum Schweigen verpflichten und dass sie keine Daten, denen sie habhaft werden, weitergeben. Diese Verpflichtung muss sich auch auf alle im Unternehmen tätigen erstrecken. Postboten sind durch ihren Arbeitsvertrag bereits ausreichend abgesichert. 

Was muss ich wann löschen?

Grundsätzlich müssen personenbezogene Daten gelöscht werden, sobald der Zweck der Speicherung nicht mehr gegeben ist. Manche Dokumente müssen für weitere Zwecke wie z.B. der Abrechnung oder Nachweispflicht länger aufbewahrt werden. Weitere Informationen finden Sie in der Übersicht der relevanten Aufbewahrungsfristen 2018.

Diejenigen, deren Daten auch über den ursprünglichen Zweck hinaus zu einem anderen Zweck weiterhin gespeichert oder verarbeitet werden, müssen darüber informiert sein. Man könnte z.B. in den Betreuungsvertrag aufnehmen, dass nach Beendigung des Betreuungsverhältnisses die Daten solange aufbewahrt werden, wie es zur Erfüllung der Nachweispflicht erforderlich ist und dass sie zu diesen anderen Zwecken weiterhin verwendet werden.

Wie sollte mit E-Mails umgegangen werden?

Mailadressen sind auch personenbezogene Daten. Wenn Mailadressen weitergegeben oder veröffentlicht werden sollen, muss dafür das Einverständnis - am besten schriftlich - vorliegen. Bei der Versendung einer Mail an mehrere Empfänger, sollte im Feld "an" die eigene Mailadresse eingetragen werden und die anderen Empfänger unter "bcc". Somit sieht jeder Empfänger nur seine eigene Adresse und nicht die der anderen. Von denjenigen, die gerne ihre Mailadresse für die anderen Empfänger sichtbar machen wollen (um sich z.B. anschließend untereindern in Verbindund setzen zu können), können diese Adressen auch im Feld "an" oder in "cc" eingetragen werden.

Dienstliche Mailadressen sind keine personenbezogenen Daten, sondern in der Regel öffentlich und daher nicht besonders schützenswert.

Ankommende Faxe nach Feierabend

Faxe können auch außerhalb der Dienstzeit oder bei Abwesenheit der Adressaten ankommen. Um unberechtigten Zugriff zu vermeiden, sollte das Faxgerät in einem verschlossenen Raum stehen, in dem z.B. kein Publikums- oder Lieferverkehr stattfindet. 

Ab wann ist ein*e Datenschutzbeauftragte*r erforderlich?

Ein Datenschutzbeauftragter muss ab einer Betriebsgröße von mehr als 9 Mitarbeitenden berufen werden. Bei unter 9 Mitarbeitenden ist es dennoch sinnvoll, dass eine oder zwei Personen für diesen Bereich verantwortlich sind, um alle anderen vor unnötiger Mehrarbeit zu befreien.

Wer ist für die Einhaltung des Datenschutzes bei der Kindertagespflegeperson zuständig?

Die Kindertagespflegeperson als selbstständig tätige ist auch dafür verantwortlich, wie sie selbst mit den Daten der Eltern und Kinder umgeht. Sie sollte dafür ein Datenschutzkonzept haben. Dieses kann auch knapp gefasst sein oder in einer Liste oder Tabelle stichwortartig darüber Auskunft geben, welche Daten wie, wo und wie lange aufbewahrt werden.

Wie gehe ich mit Teilnehmer*innenlisten um?

Auf Teilnehmerlisten stehen oft persönliche Daten von vielen Personen. Häufig wird auch noch nach Alter oder Geschlecht gefragt. Das Ganze wird per Unterschrift bestätigt.

Solche öffentlich einsehbaren Teilnehmerlisten bergen eine Reihe von Datenschutzproblemen. Theoretisch dürften die Daten nicht in einer Liste zusammengefasst werden, sondern jede*r Teilnehmende müsste ein gesondertes Blatt unterschreiben, um seine Anwesenheit zu bestätigen. Auch müsste theoretisch die Bestätigung des Trägers, dass die Person anwesend war, gegenüber dem Kostenträger ausreichend sein. Administrative Strukturen verlangen jedoch häufig solche Listen mit Daten und Unterschrift.

Diese Thematik muss sicherlich noch eingehender behandelt werden.