Datenschutz in der Kita: DSGVO-Pflichten einfach erklärt

Kitas verarbeiten täglich sensible Daten: Gesundheitsinformationen über Kinder, Fotos, Entwicklungsberichte, Kontaktdaten von Eltern. Seit die DSGVO 2018 in Kraft getreten ist, sind Kita-Träger als Verantwortliche im Sinne des Datenschutzrechts gefragt. Was das konkret bedeutet und was du als Kita-Leitung wissen und umsetzen musst — das erklärt dieser Artikel.

Leo Rousseau
5 Min. Lesezeit

In Eile? Hier ist die Kurzfassung

  • Wer ist verantwortlich?Der Träger — nicht die einzelne Kita-Leitung. Er führt das Verarbeitungsverzeichnis und meldet Datenpannen.
  • Was muss ich tun?Eltern informieren (Datenschutzerklärung), Einwilligungen für Fotos einholen, mit allen Software-Anbietern einen AVV abschließen.
  • Gilt die Schweigepflicht noch?Ja — §203 StGB besteht neben der DSGVO. Informationen über Kinder dürfen nicht ohne Rechtsgrundlage weitergegeben werden.

Welche Daten verarbeitet eine Kita — und warum ist das relevant?

Kitas verarbeiten mehr personenbezogene Daten als viele andere kleine Organisationen. Dazu zählen Daten über Kinder (Name, Geburtsdatum, Adresse, Gesundheitszustand, Allergien, Impfungen, Medikamente, Entwicklungsberichte, Fotos und Videos), über Erziehungsberechtigte (Kontaktdaten, Abhol-Berechtigungen, Sorgerechtsunterlagen, SEPA-Mandate) sowie über Personal (Personalakten, Zeiterfassungsdaten, Urlaubsanträge, Krankmeldungen, Lohnabrechnungen).

Alle diese Daten unterliegen der DSGVO — und im Fall von Gesundheitsdaten sogar dem besonderen Schutz für „besondere Kategorien personenbezogener Daten" nach Art. 9 DSGVO. Das bedeutet: eine klare Rechtsgrundlage ist keine Option, sondern Pflicht.

Auf welcher Rechtsgrundlage darf die Kita Daten verarbeiten?

Die DSGVO erlaubt Datenverarbeitung nur, wenn eine der in Art. 6 genannten Rechtsgrundlagen vorliegt. Für Kitas kommen vor allem drei in Betracht.

  • Vertrag (Art. 6 Abs. 1 lit. b DSGVO) — Daten, die zur Erfüllung des Betreuungsvertrags notwendig sind (Name, Geburtsdatum, Kontaktdaten, Betreuungszeiten), dürfen ohne zusätzliche Einwilligung verarbeitet werden.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Daten, die aufgrund gesetzlicher Pflichten erfasst werden müssen, z. B. Zeiterfassung der Mitarbeitenden oder Abrechnung mit dem Jugendamt.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Alles, was über das Vertragsnötige hinausgeht (Fotos, Videos, Jahresbericht), braucht eine ausdrückliche, schriftliche und jederzeit widerrufbare Einwilligung.

Wichtig: Im Bereich Kinderdaten gilt SGB VIII §61–68 als spezialgesetzliche Regelung. Der Datenschutz in der Kinder- und Jugendhilfe folgt eigenen, teils strengeren Regeln.

Was Kitas gegenüber Eltern kommunizieren müssen

Art. 13 DSGVO verpflichtet den Träger, Eltern bei der Aufnahme zu informieren, welche Daten zu welchem Zweck verarbeitet werden und wie lange sie gespeichert bleiben. Das geschieht üblicherweise über eine Datenschutzerklärung, die dem Aufnahmeantrag beigefügt wird.

Diese Erklärung muss enthalten:

  • Name und Kontaktdaten des Trägers (Verantwortlicher)
  • Kontaktdaten des Datenschutzbeauftragten — sofern einer bestellt werden muss
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Empfänger der Daten (z. B. Jugendamt, Softwareanbieter als Auftragsverarbeiter)
  • Speicherdauer
  • Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)

Eine zu kurze oder veraltete Datenschutzerklärung ist ein häufiger Beanstandungspunkt bei Datenschutzprüfungen. Die Erklärung sollte mindestens einmal jährlich auf Aktualität geprüft werden.

Datenschutz und Schweigepflicht in der Kita — was gilt?

Die DSGVO und die strafrechtliche Schweigepflicht nach §203 StGB bestehen nebeneinander. Erzieherinnen und Erzieher sind als Berufsgeheimnisträger im Sinne des §203 StGB anerkannt — sie dürfen Informationen über Kinder und Familien nur unter bestimmten Voraussetzungen weitergeben.

Das gilt auch für Gespräche unter Kolleginnen: Informationen über ein Kind dürfen nur denjenigen Personen bekannt sein, die sie für ihre Aufgabe brauchen. Kita-interne Gruppen auf WhatsApp, in denen über konkrete Kinder gesprochen wird, sind aus diesem Grund problematisch — unabhängig davon, ob es sich um eine Datenschutzverletzung nach DSGVO handelt.

Auftragsverarbeitungsvertrag: Pflicht bei jeder Software

Wenn eine Kita eine Software einsetzt, die personenbezogene Daten verarbeitet — Kita-App, Zeiterfassungstool, Buchhaltungssoftware — ist der Träger verpflichtet, mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abzuschließen. Ohne AVV darf die Software nicht genutzt werden. Das gilt auch für kostenlose Tools.

Was ein AVV enthalten muss:

  • Gegenstand und Dauer der Verarbeitung
  • Weisungsbindung des Auftragsverarbeiters
  • Technische und organisatorische Maßnahmen (TOMs)
  • Unterauftragsverhältnisse
  • Rechte des Verantwortlichen (Kontrolle, Löschung)

Seriöse Softwareanbieter stellen den AVV vorausgefüllt bereit. Kigana stellt für alle Träger einen vorbereiteten AVV zur Verfügung.

Datenschutz in der Kita — konkrete Schritte

Du musst kein Datenschutzexperte werden. Aber folgende Punkte solltest du umgesetzt haben:

  • Datenschutzerklärung für Eltern — aktuell, vollständig, beim Aufnahmeantrag aushändigen.
  • Einwilligungsformulare für Fotos und Videos — separat, widerrufbar, schriftlich.
  • Verarbeitungsverzeichnis — der Träger führt eine Liste aller Datenverarbeitungen (Pflicht nach Art. 30 DSGVO).
  • AVV mit allen Software-Anbietern — prüfen, ob für jedes genutzte Tool ein aktueller AVV vorliegt.
  • Keine dienstliche Kommunikation über private Messenger — WhatsApp-Gruppen für die Einrichtungskommunikation austauschen.
  • Datenpannen melden — eine Datenpanne (z. B. gestohlenes Diensthandy mit Kinderdaten) muss innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden.

Datenschutz einfacher machen mit Kigana

Kigana ist von Anfang an DSGVO-konform gebaut: Hosting in Deutschland, vorbereiteter AVV für Träger, rollenbasierte Zugriffsrechte und eine verschlüsselte Kommunikation mit Eltern. Du arbeitest rechtskonform, ohne dich durch Paragraphen kämpfen zu müssen.

Kostenlos testenDatenschutz bei Kigana

Häufige Fragen zum Datenschutz in der Kita

Quellen: DSGVO Art. 5, 6, 9, 13, 28, 30, 33 · BDSG · §203 StGB · SGB VIII §61–68

Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Datenschutzfragen empfiehlt sich die Beratung durch einen Datenschutzbeauftragten oder Rechtsanwalt.

DSGVO-konform arbeiten — ohne Mehraufwand

Keine Kreditkarte. Kein Vertrag im ersten Schritt. Nur Kigana, wie es in deiner Kita funktioniert.

Kostenlos testen