Zwar gab es bereits vor dem genannten Datum zahlreiche datenschutzrechtliche Vorgaben, doch wurden diese faktisch und meist im Hintergrund von externen Datenschutzbeauftragten in Ordnern verwaltet und korrekt abgelegt. Ihr Tätigwerden blieb im Kita-Alltag weitgehend unbemerkt. Aber schon diese kurze Rückblende verdeutlicht die positive Wirkung der DSGVO. Im Kosmos der FRÖBEL-Gruppe waren nun alle Mitarbeitenden – von der Geschäftsführung bis zu den pädagogischen Fachkräften – gezwungen, sich mit den Lebenszyklen erhobener Daten auseinanderzusetzen. Also wurden in einem ersten Schritt Verzeichnisse angelegt, um alle Prozesse zu sammeln, in denen personenbezogene Daten bearbeitet werden. Völlig überraschend stellte sich heraus, welch riesige Menge an personenbezogenen Daten von Kindern, Eltern und Mitarbeitenden erhoben und verarbeitet wird. Gleich zeitig war erstaunlich, wie viel unterschiedliche Software FRÖBEL als überregionaler Träger einsetzt. Die DSGVO verhalf also zu einem gewaltigen Erkenntnisgewinn.
Etwas holprig ging es los
Zunächst wurde ein interdisziplinäres Datenschutzteam gebildet. Es bestand aus Mitarbeitenden der Rechtsabteilung, der Unternehmenskommunikation, der Personalentwicklung und der IT sowie den Datenschutzbeauftragten. Diese breit aufgestellte und agile Besetzung erwies sich als ideal, da die Teammitglieder das Unternehmen aus verschiedenen Perspektiven kannten. In den 14-tägigen Jour-Fixe wurden Mitarbeitende aus den Einrichtungen eingeladen und erste Schritte geplant. Doch wo sollte man anfangen und welche Prioritäten setzen? Es wurde beschlossen, sämtliche Verarbeitungsprozesse auf ihre datenschutzrechtliche Begründung hin abzuklopfen. Unmittelbar mit der Betreuung der Kinder in verbundene Datenverarbeitungen wie etwa die Abrechnung von Elternbeiträgen waren gerechtfertigt, weil sie der Erfüllung vertraglicher Pflichten dienten. Für das Anfertigen und Veröffentlichen von Fotos wurden die Einwilligungsformulare überarbeitet. Bisher galten die Einwilligungen im Alltag als datenschutzrechtliche Allzweckwaffe. Sobald Kinderfotos an der Garderobe angebracht, Entwicklungsdokumentationen erstellt oder Geburtstagslisten ausgehängt werden sollten, bastelten die Mitarbeitenden Einwilligungsformulare, die zahlreiche Einzelaspekte regeln sollten. Doch dieses Vorgehen erwies sich als Fehler, da Einwilligungen wegen der jederzeitigen Widerrufsmöglichkeit verwaltet werden müssen. Daher ist es fast unmöglich, die Einwilligungen so zu verarbeiten, dass die Mitarbeitenden den Überblick behalten, welche Daten welcher Kinder verarbeitet werden dürfen.
Transparenz ist das A und O
Nun wurden die Anwendungen systematisiert: Welche Verarbeitung der Betreuungsverträge ist datenschutzrechtlich vertretbar? Was ist durch gesetzliche Grundlagen wie die Kita-Gesetze der Länder abgedeckt? Welche Daten werden aufgrund eines berechtigten pädagogischen Interesses erhoben und für welche Sachverhalte werden tatsächlich Einwilligungen benötigt? Nach diesem Prozess konnten die Einwilligungsformulare reduziert werden, wofür die Eltern sehr dankbar waren.
Durch die DSGVO ist das Thema Transparenz wichtig geworden. Die Eltern fragen, welche Software zum Einsatz kommt und wie und wo die Daten abgespeichert werden. Wie es das Gesetz vorschreibt, wurden Datenschutzhinweise geschrieben, die darüber aufklären. Offenbar werden diese Hinweise jedoch nicht als Informationsquelle von Eltern oder Mitarbeitenden genutzt. Für das Verständnis war es also wichtiger, über die Datenverarbeitung auskunftsfähig zu sein und in Teamsitzungen oder auf Elternabenden über die Neueinführung von Software oder Terminals sowie über technische Umsetzungen zu informieren. Datenschutzauskunftsansprüche wurden allerdings nicht massenhaft genutzt. Deshalb war auch der Einsatz hauptamtlicher Mitarbeitender, die Daten zusammenzuführen oder Unterlagen auf mögliche Daten betroffener Dritter hin überprüfen und notfalls schwärzen, noch nicht erforderlich. Befürchtungen in diese Richtung hatten sich als übertrieben herausgestellt.
Löschen und Aufräumen sind angesagt
Der Grundsatz, Daten so sparsam wie möglich zu erheben, lässt sich gut begründen und wird auch prinzipiell befürwortet. Dennoch scheint er dem menschlichen Sammeltrieb ebenso entgegenzustehen wie dem Bedürfnis, Dinge und Daten nicht auszusortieren und besser nicht zu löschen. Der Vorschlag des Datenschutzteams, regelmäßig Löschtage in den Kitas und Fachabteilungen durchzuführen, rief deshalb eher Zögern und ein schmerzverzerrtes Lächeln hervor. Jedenfalls löste der Vorschlag keine Massenbewegung aus. Auch Teamtage können bestimmt angenehmer sein, aber wenn ein Team von einem datenschutzrechtlichen Auskunftsanspruch ereilt wird, gilt es auch mal, die Fotos der letzten zehn Jahre durchzuschauen. In solchen Momenten werden Sinn und Zweck des digitalen Aufräumens wieder allen bewusst. Das Datenschutzteam stellte eine Löschliste mit den jeweiligen gesetzlichen Aufbewahrungspflichten ins Firmen-Intranet. Besser wäre es, alle ankommenden Daten in einer zentralen digitalen Speicherstruktur abzulegen und nach Ablauf der Fristen automatisch zur Löschung bereitzuhalten. Aber das liegt noch in weiter Ferne. Auch die öffentliche Finanzierung ist lückenhaft. Datenschutz wird – wenn überhaupt – nur minimal finanziell unterlegt. Langfristig sollen die Kitas so vernetzt werden, dass eine zentrale Speicherung mit entsprechenden IT-Sicherheitsstandards möglich wird. Die FRÖBEL-Gruppe ist also auf dem Weg, aber längst nicht am Ziel.
Für das Ziel bleibt einiges zu tun
Die Mitarbeitenden müssen sich ebenfalls auf den Weg machen, sich das nötige Wissen zu den vielen rechtlichen Fragen des Datenschutzes anzueignen. Zugegeben: Zahlreiche Schulungen im FRÖBEL-Fortbildungsprogramm klingen spannender als das jederzeit verfügbare E-Learning Modul „Datenschutz-Grundlagenkurs“. Dieses war eigens aufgesetzt und möglichst praxisnah mit Fällen aus dem Alltag gestaltet worden. Ziel ist es, jede*n Mitarbeitende*n für datenschutzrechtliche Fragestellungen zu sensibilisieren. Das gilt als der zentrale Meilenstein. In der FRÖBEL-Gruppe hat die DSGVO den Datenschutz einen Riesenschritt vorangebracht. Pandemie und damit verbundene Digitalisierung haben die Bearbeitung datenschutzrechtlicher Fragen zusätzlich beschleunigt.
In der Praxis ist es nicht immer leicht, richtige Lösungen für komplexe Sachverhalte zu finden. Auch sind die Erklärungen der Datenschutzbehörden oft nicht hilfreich, weil sie das fokussieren, was nicht geht. Zielführender wären positive Umsetzungsvorschläge. Zudem sollten Landesregierungen in den Kita-Gesetzen unbedingt die datenschutzrechtliche Rechtfertigung von Verarbeitungsvorgängen mitregeln. Pädagogische Dokumentationspflicht und Datentransfer zwischen Kita und Schule wie etwa zum Sprachstand der Kinder müssen in den Gesetzen geregelt werden. Nur auf diese Weise hängen solche Datentransports nicht von der widerruflichen Einwilligung der Eltern ab. Denn Qualitätsstandards im Bildungsbereich festzulegen, ist Ländersache. Das zeigt aber auch: Datenschutz ist nie isoliert zu betrachten. Alle müssen ihn mitdenken – jederzeit.