Datenschutz in der Kita: DSGVO-Pflichten einfach erklärt

Welche Daten verarbeitet eine Kita — und warum ist das relevant?

Kitas verarbeiten mehr personenbezogene Daten als viele andere kleine Organisationen. Dazu zählen:

Daten über Kinder Name, Geburtsdatum, Adresse, Gesundheitszustand (Allergien, Impfungen, Medikamente), Entwicklungsberichte, Beobachtungsbögen, Fotos und Videos.

Daten über Erziehungsberechtigte Kontaktdaten, Abhol-Berechtigungen, Sorgerechtsunterlagen, SEPA-Mandate für die Beitragsabrechnung.

Daten über Personal Personalakten, Zeiterfassungsdaten, Urlaubsanträge, Krankmeldungen, Lohnabrechnungen.

Alle diese Daten unterliegen der DSGVO — und im Fall von Gesundheitsdaten sogar dem besonderen Schutz für „besondere Kategorien personenbezogener Daten" nach Art. 9 DSGVO. Das bedeutet: eine klare Rechtsgrundlage ist keine Option, sondern Pflicht.

Auf welcher Rechtsgrundlage darf die Kita Daten verarbeiten?

Die DSGVO erlaubt Datenverarbeitung nur, wenn eine der in Art. 6 genannten Rechtsgrundlagen vorliegt. Für Kitas kommen vor allem drei in Betracht:

Vertrag (Art. 6 Abs. 1 lit. b DSGVO) 
Die Daten, die zur Erfüllung des Betreuungsvertrags notwendig sind — Name, Geburtsdatum, Kontaktdaten, Betreuungszeiten — dürfen ohne zusätzliche Einwilligung verarbeitet werden.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) 
Daten, die aufgrund gesetzlicher Pflichten erfasst werden müssen — z. B. die Zeiterfassung der Mitarbeitenden oder die Abrechnung mit dem Jugendamt.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) 
Alles, was über das Vertragsnötige hinausgeht — Fotos, Videos, Nutzung im Jahresbericht — braucht eine ausdrückliche, schriftliche Einwilligung. Eltern müssen die Einwilligung jederzeit widerrufen können.

Wichtig: Im Bereich Kinderdaten gilt SGB VIII §61–68 als spezialgesetzliche Regelung. Der Datenschutz in der Kinder- und Jugendhilfe folgt eigenen, teils strengeren Regeln.

Was Kitas gegenüber Eltern kommunizieren müssen

Art. 13 DSGVO verpflichtet den Träger, Eltern bei der Aufnahme zu informieren, welche Daten zu welchem Zweck verarbeitet werden und wie lange sie gespeichert bleiben. Das geschieht üblicherweise über eine Datenschutzerklärung, die dem Aufnahmeantrag beigefügt wird.

Diese Erklärung muss enthalten:

• Name und Kontaktdaten des Trägers (Verantwortlicher)
• Kontaktdaten des Datenschutzbeauftragten — sofern einer bestellt werden muss
• Verarbeitungszwecke und Rechtsgrundlagen
• Empfänger der Daten (z. B. Jugendamt, Softwareanbieter als Auftragsverarbeiter)
• Speicherdauer
• Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)

Eine zu kurze oder veraltete Datenschutzerklärung ist ein häufiger Beanstandungspunkt bei Datenschutzprüfungen. Die Erklärung sollte mindestens einmal jährlich auf Aktualität geprüft werden.

Datenschutz und Schweigepflicht in der Kita — was gilt?

Die DSGVO und die strafrechtliche Schweigepflicht nach §203 StGB bestehen nebeneinander. Erzieherinnen und Erzieher sind als Berufsgeheimnisträger im Sinne des §203 StGB anerkannt — sie dürfen Informationen über Kinder und Familien nur unter bestimmten Voraussetzungen weitergeben.

Das gilt auch für Gespräche unter Kolleginnen: Informationen über ein Kind dürfen nur denjenigen Personen bekannt sein, die sie für ihre Aufgabe brauchen. Kita-interne Gruppen auf WhatsApp, in denen über konkrete Kinder gesprochen wird, sind aus diesem Grund problematisch — unabhängig davon, ob es sich um eine Datenschutzverletzung nach DSGVO handelt.

Auftragsverarbeitungsvertrag: Pflicht bei jeder Software

Wenn eine Kita eine Software einsetzt, die personenbezogene Daten verarbeitet — Kita-App, Zeiterfassungstool, Buchhaltungssoftware — ist der Träger verpflichtet, mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abzuschließen.

Ohne AVV darf die Software nicht genutzt werden. Das gilt auch für kostenlose Tools.

Was ein AVV enthalten muss:

• Gegenstand und Dauer der Verarbeitung
• Weisungsbindung des Auftragsverarbeiters
• Technische und organisatorische Maßnahmen (TOMs)
• Unterauftragsverhältnisse
• Rechte des Verantwortlichen (Kontrolle, Löschung)

Seriöse Softwareanbieter stellen den AVV vorausgefüllt bereit. Kigana stellt für alle Träger einen vorbereiteten AVV zur Verfügung.

Datenschutz in der Kita — konkrete Schritte

Du musst kein Datenschutzexperte werden. Aber du solltest folgende Punkte umgesetzt haben:

1. Datenschutzerklärung für Eltern: aktuell, vollständig, beim Aufnahmeantrag aushändigen.
2. Einwilligungsformulare für Fotos und Videos: separat, widerrufbar, schriftlich.
3. Verarbeitungsverzeichnis: der Träger führt eine Liste aller Datenverarbeitungen — Pflicht nach Art. 30 DSGVO.
4. AVV mit allen Software-Anbietern: prüfen, ob für jedes genutzte Tool ein aktueller AVV vorliegt.
5. Keine dienstliche Kommunikation über private Messenger: WhatsApp-Gruppen für die Einrichtungskommunikation austauschen.
6. Datenpannen melden: Eine Datenpanne (z. B. gestohlenes Diensthandy mit Kinderdaten) muss innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden.

Quellen: DSGVO Art. 5, 6, 9, 13, 28, 30, 33 · BDSG · §203 StGB · SGB VIII §61–68

Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Datenschutzfragen empfiehlt sich die Beratung durch einen Datenschutzbeauftragten oder Rechtsanwalt.