Ob eine Kita eine*n Datenschutzbeauftragte*n benennen muss, hängt zum einen von der Größe der Organisation ab, das heißt von der Anzahl der Mitarbeiter*innen. Kitas mit mehr als 19 Mitarbeiter*innen sind verpflichtet, eine*n Datenschutzbeauftragte*n zu benennen. Bislang galt, dass Organisationen ab 10 Mitarbeiter*innen eine*n Datenschutzbeauftragte*n benötigen. Nun hat das Parlament unlängst beschlossen, die Anzahl von 10 Beschäftigten auf 20 zu erhöhen. Der Bundesrat muss der Gesetzesänderung zwar noch zustimmen. Davon ist aber auszugehen.
Ein weiteres Kriterium, das bestimmt, ob eine Organisation eine*n Datenschutzbeauftragte*n bennen muss, ist die Art der personenbezogenen Daten, die verarbeitet werden.
Personenbezogene Daten und sensible, personenbezogene Daten
Unterschieden wird zwischen personenbezogenen Daten wie Name, Geburtstag, Adresse, Bankdaten oder sensiblen personenbezogenen Daten, wie beispielsweise Religionszugehörigkeit oder Daten, die etwas über den Gesundheitszustand der betreffenden Person aussagen (bspw. Allergien).
Derzeit gibt es keine rechtssichere Antwort darauf, ob in einer Kita regelhaft besonders sensible personenbezogene Daten verarbeitet werden und deshalb ein/e Datenschutzbeautragte/r auch schon ab einem/r Mitarbeiter/in notwendig wäre. Laut mündlicher Auskunft des Hessischen Datenschutzbeauftragten sei nicht damit zu rechnen, dass Kitas unter 20 Mitarbeiter*innen regelhaft eine eine/n Datenschutzbeauftragten benennen müssen. Die LAG freie Kitaträger informiert ihre Mitglieder über weitere aktuelle Entwicklungen in dieser Frage.
Datenschutz: Selber machen oder externen Dienstleister beauftragen?
Größere Träger mit 20 und mehr Mitarbeiter*innen sind verpflichtet, eine*n Datenschutzbeauftragte*n zu benennen.
Es gibt zwei Möglichkeiten:
- Ein*e Mitarbeiter*in (kein Vorstand, keine Leitung, kein*e IT-Verantwortliche*r) übernimmt diese Aufgabe. Zur Aneignung des erforderlichen Grundwissens über rechtliche Grundlagen sollte die benannte Person eine entsprechende Schulung besuchen. Die jeweilige Person ist für ihre Aufgaben mit einem Zeitkontingent auszustatten. Datenschutzbeauftragte unterliegen einem besonderen Kündigungsschutz. Die Benennung sollte schriftlich erfolgen. Ist ein*e Datenschutzbeauftragte*r benannt, müssen die Kontaktdaten veröffentlicht und an den Hessischen Datenschutzbeauftragten übermittelt werden.
- Abschluss eines Dienstleistungsvertrages mit einem externen Anbieter.
Der/die Datenschutzbeauftragte ist Ansprechpartner*in für Vorstand/Geschäftsführung und die Mitarbeiter*innen sowie Schnittstelle zwischen der Aufsichtsbehörde (Hessischer Datenschutzbeauftragter) und der Einrichtung. Er/sie hat Kontrollfunktion, ist zuständig für Beratung bezüglich einer Datenschutz-Folgenabschätzung und erstellt eine Risikobeurteilung. Die Verantwortung in Sachen Datenschutz verbleibt aber beim Vorstand/Träger.
Datenschutz ist grundsätzlich Pflicht
Auch wenn es in kleinen Einrichtungen nicht notwendig ist, eine/n Datenschutzbeauftragte/n zu benennen, so sind trotzdem alle anderen gesetzlichen Verpflichtungen aus der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (BDSG) einzuhalten. Auch kleine Einrichtungen müssen klären, wer der/die Ansprechpartner*in für das Thema ist. Die Gesamtverantwortung liegt in jedem Fall beim Träger/Vereinsvorstand.
Unser Datenschutz-Service für Mitglieder
Die LAG freie Kitaträger berät ihre Mitglieder bei Unklarheiten zum Thema Datenschutz und Datenschutzbeauftragte/r . LAG-Mitglieder können die LAG freie Kitaträger außerdem als externen Datenschutzbeauftragten beauftragen.
Weitere Informationen zum Datenschutz-Service der LAG freie Kitaträger:
