Schulen und Kitas

Kindergärten und Schulen unter kirchlicher Trägerschaft erfüllen eine zentrale gesellschaftliche Aufgabe: die Betreuung, Bildung und Erziehung von Kindern und Jugendlichen. Dabei verarbeiten sie zwangsläufig eine Vielzahl personenbezogener Daten, häufig auch solcher, die besonders schutzwürdig sind. Die Sensibilität ergibt sich aus zwei Aspekten:

  • Daten von Minderjährigen genießen einen erhöhten Schutz, weil Kinder ihre Rechte oft nicht selbst umfassend wahrnehmen können.
  • Kirchliche Einrichtungen müssen zusätzlich zur DSGVO ihre eigenen Datenschutzgesetze beachten, entweder das katholische Gesetz über den Kirchlichen Datenschutz (KDG) oder das evangelische Datenschutzgesetz der EKD (DSG-EKD).

Für Träger bedeutet das: Datenschutz ist keine Nebensache, sondern ein zentrales Qualitäts- und Vertrauensmerkmal im pädagogischen Alltag.


Rechtlicher Rahmen

  • DSGVO (Datenschutz-Grundverordnung): schafft europaweit verbindliche Standards für die Verarbeitung personenbezogener Daten.
    Art. 91 DSGVO: Erlaubt Kirchen und Religionsgemeinschaften, ihre bereits bestehenden Datenschutzregelungen beizubehalten, sofern diese mit der DSGVO in Einklang stehen.
  • KDG (katholisch) und DSG-EKD (evangelisch): Diese Gesetze lehnen sich eng an die DSGVO an, enthalten aber teils eigenständige Vorgaben und werden von kirchlichen Aufsichtsbehörden überwacht.
  • Bereichsspezifische Gesetze über die Verarbeitung personenbezogenen Daten, hier Schulrecht: bspw. gehen im Freistaat Bayern die Vorschriften des Bayerisches Gesetzes über das Erziehungs- und Unterrichtswesens (BayEUG) und der Bayerischen Schulordnung (BaySchuO) den allgemeinen Datenschutzgesetzen (Bayerisches Datenschutzgesetz, BayDSG) vor. Weitere Informationen finden sich auf der Webseite des Bayerischen Kultusministeriums.

Damit ist sichergestellt, dass kirchliche Bildungseinrichtungen sowohl die allgemeinen europäischen Vorgaben als auch ihre spezifischen kirchlichen Verpflichtungen einhalten.


Welche Daten in Kitas und Schulen verarbeitet werden

In Kindergärten und Schulen werden Daten in vielfältiger Weise erhoben und genutzt. Über die Verarbeitung dieser Daten ist zu informieren, siehe unten. Typische Datenkategorien sind:

  • Stammdaten: Name, Adresse, Geburtsdatum, Religionszugehörigkeit, Kontaktdaten der Eltern
  • Gesundheitsdaten: Allergien, Unverträglichkeiten, Impfstatus, ärztliche Atteste, Notfallinformationen
  • Pädagogische Daten: Entwicklungsberichte, Beobachtungsbögen, Förderpläne, Lernfortschritte, Noten
  • Soziale Daten: Informationen zu Familienverhältnissen, Betreuungszeiten, besondere Förderbedarfe
  • Fotos und Videos: Aufnahmen bei Schulfesten, Ausflügen, Projekten oder für die Öffentlichkeitsarbeit
  • Digitale Nutzungsdaten: Logins und Nutzungsprotokolle bei Lernplattformen oder Verwaltungssoftware

Viele dieser Daten fallen unter die „besonderen Kategorien personenbezogener Daten“ (Art. 9 DSGVO) und bedürfen deshalb erhöhter Schutzmaßnahmen.


Einwilligungen und Informationspflichten

Einwilligungen müssen freiwillig, informiert und dokumentiert sein.

  • Eltern müssen für bestimmte Datenverarbeitungen zustimmen, z. B. für Fotos oder Veröffentlichungen in Pfarrbriefen, Zeitungen oder auf Webseiten.
  • Jugendliche (grds.) ab 16 Jahren können in vielen Fällen selbst wirksam einwilligen, etwa bei digitalen Lernplattformen.

Einrichtungen sind verpflichtet, im Vorfeld die Betroffene über die Datenverarbeitung zu informieren, und zwar mindestens, vgl. auch § 15 KDG bzw. § 17 DSG-EKD, hinsichtlich:

  • Welche Daten werden erhoben?
  • Zu welchem Zweck?
  • Wer hat Zugriff darauf?
  • Wie lange werden die Daten gespeichert?
  • Welche Rechte haben Eltern und Schüler?

Dies geschieht üblicherweise durch Datenschutzhinweise, Informationsschreiben und/oder im Rahmen von Einwilligungsformularen für Eltern und ggf. Schüler.


Typische Praxisfragen und Problemfelder

a) Fotos und Öffentlichkeitsarbeit

  • Bilder von Kindern dürfen nicht ohne dokumentierte Einwilligung veröffentlicht werden.
  • Je größer die Reichweite (lokale Aushänge vs. Internet/Social Media), desto höher die Anforderungen.
  • Auch Gruppenfotos sind datenschutzrelevant, sobald einzelne Kinder erkennbar sind.

b) Kommunikation mit Eltern

  • WhatsApp und vergleichbare Dienste sind datenschutzrechtlich problematisch, da Daten auf US-Servern verarbeitet werden.
  • Empfehlenswert sind kirchliche/staatliche oder datenschutzkonforme Messenger-Systeme, die speziell für Schulen und Kitas entwickelt wurden.
  • E-Mails sollten verschlüsselt verschickt werden, wenn sie sensible Daten enthalten.

c) Pädagogische Software und Cloud-Dienste

  • Häufig genutzt sind digitale Dokumentationssysteme, Lernplattformen, Verwaltungssoftware.
  • Erforderlich für eine datenschutzkonforme Nutzung ist der Abschluss von Auftragsverarbeitungsverträgen mit den Anbietern (§ 30 KDG, § 30 DSG-EKD).
  • Besondere Vorsicht bei Diensten mit Sitz in Drittländern, z. B. USA, Schrems-II-Problematik.
  • Prüfung der technischen und organisatorischen Maßnahmen (TOM) ist Pflicht.

d) Verwaltung und Organisation

  • Teilnehmerlisten dürfen nicht offen ausgehängt werden, wenn sie sensible Daten enthalten.
  • E-Mail-Verteiler sind nur datenschutzkonform, wenn die Adressen der Empfänger nicht sichtbar sind (Nutzung von BCC oder Tools).
  • In Bewerbungsverfahren für Erzieher oder Lehrer ist die Religionszugehörigkeit oft relevant. Auch hier gilt es, datenschutzkonforme Lösungen zu wählen.

Rolle des betrieblichen (KDG) bzw. örtlichen (DSG-EKD) Datenschutzbeauftragten

Kirchliche Einrichtungen sind in vielen Fällen verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen, vgl. § 36 KDG bzw. § 36 DSG-EKD. Die Aufgaben des DSB sind weitreichend. Er ist insbesondere zuständig für:

  • Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und internen Vorgaben zur Datenverarbeitung
  • Beratung der Einrichtungen und Fachabteilungen bei neuen Projekten, z. B. Einführung von Kita-Apps
  • Ansprechpartner für Eltern, Mitarbeitende und Aufsichtsbehörden
  • Erstellung der erforderlichen Datenschutzdokumente
  • Regelmäßige Berichterstattung gegenüber der Leitung und Empfehlung von Verbesserungen

Ein DSB kann intern bestellt oder als externer Datenschutzbeauftragter beauftragt werden. Gerade kleinere Einrichtungen profitieren von externem Fachwissen.


Aufsicht und Sanktionen

Kirchliche Aufsichtsbehörden (z. B. Diözesandatenschutzbeauftragte oder Datenschutzbeauftragte der EKD) kontrollieren die Einhaltung der Regeln. Ferner nehmen sie Beschwerden von Betroffenen entgegen. Bei Verstößen können sie:

  • Datenverarbeitungen untersagen
  • Löschungen anordnen
  • Bußgelder verhängen

Auch wenn die Bußgelder in der kirchlichen Praxis oft niedriger ausfallen als bei der staatlichen DSGVO-Aufsicht, drohen erhebliche Reputationsschäden, wenn Verstöße öffentlich werden. Im Fall einer Beschwerde, insbesondere eingereicht von betroffenen Eltern, kann sich die Aufsichtsbehörde gezwungen sehen, weitreichende Informationen und Dokumentationen von der jeweiligen Einrichtung bzw. von deren Träger einzufordern oder gar ein Audit vor Ort durchzuführen.

Kirchliche Kindergärten und Schulen stehen im Datenschutz vor einer besonderen Herausforderung: Sie müssen sowohl die allgemeinen Vorgaben der DSGVO, die spezifischen kirchlichen Datenschutzgesetze als auch der Schulgesetze des jeweiligen Bundeslandes umsetzen, und dies in einem Umfeld, in dem sie mit besonders schutzwürdigen Daten von Kindern arbeiten. Ein professionelles Datenschutzmanagement sorgt nicht nur für Rechtssicherheit, sondern auch für Vertrauen bei Eltern, Mitarbeitenden und der Öffentlichkeit.


Unsere Leistungen für kirchliche Kindergärten und Schulen

Als externe Datenschutzbeauftragte bzw. Datenschutzberater begleiten Einrichtungen praxisnah und rechtssicher.

  1. Beratung und rechtliche Unterstützung
    • Prüfung von Datenverarbeitungen nach DSGVO, KDG und DSG-EKD
    • Rechtssichere Gestaltung von Einwilligungen und Informationspflichten
    • Beratung bei Fragen zu Fotos, Öffentlichkeitsarbeit und Social Media
  2. Datenschutz-Management
    • Erstellung von Verzeichnissen der Verarbeitungstätigkeiten
    • Durchführung von Datenschutz-Folgenabschätzungen (z. B. bei Videoüberwachung oder Cloud-Einsatz)
    • Entwicklung von Lösch- und Archivierungskonzepten
  3. Betriebliche bzw. Örtliche Externe Datenschutzbeauftragte
    • Übernahme der Rolle als DSB für Ihre Einrichtung
    • Ansprechpartner für Erzieher, Lehrkräfte, Eltern und Schüler
    • Regelmäßige Audits und Berichte für die Einrichtungsleitung
  4. Schulungen und Sensibilisierung
    • Workshops für Erzieher, Lehrkräfte und Verwaltung
    • Leitfäden für den sicheren Umgang mit Fotos, Messenger-Diensten und Cloud-Lösungen
    • Sensibilisierung von Ehrenamtlichen und Praktikanten

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung