4.7 Bildung
4.7.1 Informationsweitergabe an Elternvertretungen in Kindertagesstätten
Darf die Einrichtungsleitung einer Kindertagesstätte Informationen über eine dort beschäftigte Person an die Elternvertretung der Kindertagesstätte weitergeben? Zur Beantwortung dieser Frage war zunächst zu prüfen, welche gesetzlichen Aufgaben eine Elternvertretung wahrnimmt. Dies ergibt sich aus dem Kindertagesförderungsgesetz.
Bei dem zugrunde liegenden Sachverhalt handelte es sich um konkrete Angaben zu unbestätigten Vorwürfen gegen die beschäftigte Person, die sich auf die unsachgemäße Erledigung von Aufgaben innerhalb der Kindertagesstätte bezogen. In einem anderen Fall hatte die Einrichtungsleitung Gesundheitsdaten der Beschäftigten an die Elternvertretung verteilt.
§ 32 Abs. 2 Kindertagesförderungsgesetz (KiTaG)
Die Elternvertretung vertritt die Interessen der Erziehungsberechtigten gegenüber dem Einrichtungsträger und wirkt auf eine angemessene Beteiligung von Eltern mit Migrationshintergrund und die Berücksichtigung ihrer Interessen hin. Sie ist an den wesentlichen inhaltlichen und organisatorischen Entscheidungen der Kindertageseinrichtung rechtzeitig zu beteiligen, die insbesondere die Weiterentwicklung der pädagogischen Konzeption, die Aufnahmekriterien, die Öffnungs- und Schließzeiten, die Elternbeiträge oder die Verpflegung betreffen. Der Einrichtungsträger unterstützt die Arbeit der Elternvertretung, insbesondere deren Kommunikation mit den Erziehungsberechtigten, und gibt ihr die für eine wirkungsvolle Beteiligung erforderlichen Auskünfte unter Berücksichtigung datenschutzrechtlicher Bestimmungen und der Betriebs- und Geschäftsgeheimnisse. Er gibt der Elternvertretung vor seiner Entscheidung die Gelegenheit zur schriftlichen Stellungnahme, berücksichtigt die Interessen der Eltern angemessen und wirkt auf eine einvernehmliche Lösung hin.
Die Erteilung von Auskünften gemäß § 32 Abs. 2 Satz 3 KiTaG bezieht sich auf den Aufgabenumfang nach § 32 Abs. 2 Satz 2 KiTaG. „Wesentliche organisatorische Entscheidungen“ sind von individuellen Entscheidungen zu unterscheiden. Bei individuellen arbeitsrechtlichen Maßnahmen hat eine Elternvertretung zudem keine Entscheidungskompetenz. Dies deutet darauf hin, dass eine Weitergabe von Angaben zum Gesundheitszustand einer Beschäftigten und zu bestehenden arbeitsrechtlichen Vorwürfen an eine Elternvertretung ohne Rechtsgrundlage erfolgte und damit einen datenschutzrechtlichen Verstoß darstellt.
Eine weitere Frage bezog sich darauf, ob die Elternvertretung als datenschutzrechtlich eigenverantwortliche Stelle anzusehen ist oder ob diese als Teil der Kindertagesstätte zu betrachten ist. So wurde dem ULD die Auffassung mitgeteilt, die Weitergabe personenbezogener Daten an Elternvertretungen sei als bloße interne Verarbeitung anzusehen und könne daher nicht als Datenschutzverstoß gelten.
Es ist nicht entscheidend, ob eine Elternvertretung als „Dritter“ anzusehen ist. Erfolgt eine Weitergabe personenbezogener Daten durch die KiTa-Leitung an die Elternvertretung im Rahmen der Erteilung von Auskünften, so würde im Falle einer Qualifizierung als „Dritter“ eine „Offenlegung durch Übermittlung“ erfolgen. Sieht man die Elternvertretung als Teil der Einrichtung und damit nicht als eigenverantwortliche Stelle, so kämen gegebenenfalls noch die Verarbeitungsformen der „Verwendung“ oder der „Bereitstellung“ in Betracht. Zudem sind die Verarbeitungsformen in der DSGVO nicht abschließend benannt. Eine interne Weitergabe in der Verarbeitungssphäre der Kindertagesstätte würde daher auch die Voraussetzungen einer „Verarbeitung“ erfüllen. Ergebnis: Auch für eine etwaige interne Weitergabe von Angaben zum Gesundheitsstatus einer Beschäftigten und zu bestehenden Vorwürfen an eine Elternvertretung bedarf es einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.
Das KiTaG enthält, anders als § 16 Schuldatenschutzverordnung, keine explizite Aussage zur Datenverarbeitung einer Elternvertretung. Die Situation ist aber mit einer schulischen Elternvertretung vergleichbar: Auch die Elternvertretung in einer KiTa erhält von der KiTa-Leitung die Kontaktdaten der Eltern zwecks Weiterleitung von Informationen und der Wahrnehmung der Interessenvertretung. Die in diesem Zusammenhang erfolgende Datenverarbeitung nimmt die Elternvertretung eigenverantwortlich wahr. Es ist kein Grund erkennbar, Elternvertretungen von Schulen und KiTas unterschiedlich zu behandeln. Die Elternvertretung einer KiTa kann daher nach gegenwärtigem Beurteilungsstand als Verantwortliche betrachtet werden.
Was ist zu tun?
Im Rahmen des eingeleiteten Prüfverfahrens wurden durch die Kindertagesstätte unter Einbeziehung des zuständigen Datenschutzbeauftragten zahlreiche Präventivmaßnahmen umgesetzt, um für die Zukunft vergleichbare Datenschutzverstöße zu vermeiden. Hierzu zählen vor allem Schulungen des Personals mit einer Erweiterung der Schulungsinhalte, die vertiefte Beteiligung des Datenschutzbeauftragten, die Entwicklung einer Broschüre sowie die Prüfung von Verschwiegenheitserklärungen, Dienstanweisungen und Regelwerken zum Datenschutz.
4.7.2 Fehldruck von Willkommensbriefen
Der Versand von Willkommensbriefen für neue Studierende u. a. mit Zugangsdaten, Adressdaten und Matrikelnummern endete für eine Hochschule aus Schleswig-Holstein in einer Datenpannenmeldung nach Artikel 33 DSGVO an das ULD.
Besagte Willkommensbriefe wurden versehentlich doppelseitig bedruckt, in der Folge gefaltet und händisch in Umschläge verpackt. Die doppelseitige Bedruckung ist hierbei unbemerkt geblieben, sodass die Empfängerinnen und Empfänger der Briefe den eigenen Willkommensbrief mit eigenen Zugangsdaten sowie auf der Rückseite die Daten weiterer Studierender erhielten.
Sämtliche etablierten technischen und organisatorischen Maßnahmen wie z. B. Verschlüsselungen, Berechtigungskonzepte, gesicherte Druckverfahren über interne Systeme und Anweisungen an die Mitarbeitenden, Dokumente vor dem Versand zu prüfen, konnten in diesem Fall die erfolgte Verletzung des Schutzes personenbezogener Daten nicht verhindern, da die Ursache des Fehlers in der Unachtsamkeit eines Beschäftigten lag.
Die verantwortliche Stelle reagierte nach Bemerken des Fehlversandes umgehend, sperrte sofort die betroffenen Zugangsdaten, informierte die betroffenen Studierenden über den Vorfall und dass die übermittelten Daten nicht zu verwenden und zu vernichten seien. Zudem wurden neue, veränderte Ersatzzugangsdaten an die Studierenden versendet. Die Mitarbeitenden wurden erneut zum Umgang mit personenbezogenen Daten und erforderlicher Sorgsamkeit beim Versand dieser Daten sensibilisiert.
Aufgrund dieser von der verantwortlichen Stelle bereits ergriffenen Abhilfemaßnahmen konnte das ULD die Meldung abschließen.
Was ist zu tun?
Unachtsamkeiten sind menschliche Fehler, die oft an das ULD gemeldet werden. Verantwortliche sollten ihre Mitarbeitenden regelmäßig zum Umgang mit personenbezogenen Daten sensibilisieren. Die verantwortliche Stelle sollte zudem regelmäßig überprüfen, ob Prozesse dahin gehend überarbeitet werden können, dass menschliche Individualfehler reduziert werden können. Zum Beispiel kann die Einführung vom Vieraugenprinzip in bestimmten Fällen Abhilfe schaffen.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
