Schweigepflicht und Datenschutz
Als Tagespflegeperson erfährt man eine Menge privater, ja sogar intimer Dinge über die Familien der Tageskinder und umgekehrt. Insbesondere über die Kinder selbst erfahren Tagespflegepersonen und Eltern von bestimmten Gewohnheiten der anderen, die diese manchmal überraschen und auch kompromittieren können.
Manche Informationen können eine Voreingenommenheit gegenüber bestimmten Personen erzeugen, die nicht mehr rückgängig zu machen ist. Durch unbedachtes Verhalten können andere verletzt und geschädigt werden.
Die Datenschutz-Grundverordnung (EU-DSGVO) und die Auswirkungen für die Kindertagespflege
Die neue europaweite Verordnung regelt in 99 Artikeln den Umgang mit personenbezogenen Daten.
Inhaltlich regelt die Verordnung den Umgang mit solchen Daten nicht komplett neu, sondern baut auf der bisherigen EU-Richtlinie und dem Bundesdatenschutzgesetz auf.
Das bedeutet, dass viele Vorgaben bereits vor Inkrafttreten der DSGVO am 28.05.2018 zu beachten waren.
Die Verordnung hat Auswirkungen auf alle, die personenbezogene Daten erheben und verarbeiten.
Personenbezogene Daten
Personenbezogene Daten sind solche Daten, die sich indirekt der direkt auf einen identifizierbaren Menschen beziehen lassen und Rückschlüsse auf eine Person zulassen.
Neben dem Namen, Geburtsdatum, Anschrift, Telefonnummer, Geschlecht, Religionszughörigkeit, Nationalität, Krankheiten, Familienstand, Kinderzahl, Einkommen, Beruf, Arbeitgeber, sind dies auch beispielsweise die Hautfarbe, Kleidergröße, Autokennzeichen, IP-Adresse, Krankenkassenzugehörigkeit, Allergien, Bankverbindung, Aufzeichnungen über Fähigkeiten und Kenntnisse sowie auch gemalte Bilder.
Personenbezogene Daten sind unabhängig von der Art ihrer Gewinnung: schriftlich oder mündlich, aber auch beispielsweise durch ein Gruppenfoto oder Videoaufnahme einer Kindertagespflegegruppe.
Auch Bewertungen, Diagnosen und Prognosen enthalten solche geschützten Einzelangaben über eine Person.
Nicht mehr personenbezogen ist ein Datum erst dann, wenn es anonymisiert (z. B. für statistische Zwecke) oder pseudonymisiert ist.
Datenverarbeitung
Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, übermittelt, verknüpft, abgeglichen oder gelöscht werden. Besondere Vorsicht ist hier in Bezug auf Gesundheitsdaten geboten.
Grundsätzlich gilt, dass Daten nur beim Betroffenen unmittelbar erhoben werden dürfen und erhobene Daten nur mit (vorheriger schriftlicher) Einwilligung des Betroffenen weitergegeben werden dürfen.
Es dürfen nur solche Daten erhoben werden, die für die Erfüllung des Zwecks (Erziehung, Bildung und Betreuung) erforderlich, d. h. notwendig, sind.
Dies ist zwingend bei der Abfrage von Daten im Rahmen des Vertragsschlusses zu beachten.
Achtung:
Jedes digitale Foto ist nach der DSGVO eine Datenverarbeitung.
Aufbewahrung und Entsorgung von Daten
Daten sind grundsätzlich so aufzubewahren, dass sie vor unbefugtem Zugriff geschützt sind.
Der Zugang darf für Außenstehende nicht möglich sein, bei Bedarf müssen die Daten in abschließbaren Schränken aufbewahrt werden. Nur Namen und Adressen dürfen offen gelagert werden, alle anderen Daten müssen verschlossen aufbewahrt werden!
Nach dem Grundsatz der Erforderlichkeit sind personenbezogene Daten nur solange aufzubewahren, wie es der Zweck der Erhebung erfordert.
Bei der Vernichtung von Daten als Schriftgut bzw. beim Löschen von Datenträgern ist auf eine datenschutzgerechte Entsorgung zu achten.
Foto- und Filmaufnahmen in der Kindertagespflege
Datenträger
Zum Schutz des Persönlichkeitsrechts der Tageskinder sollte auch im eigenen Interesse auf das Fotografieren mit dem Smartphone verzichtet werden, denn Daten werden dort möglicherweise nicht gesichert abgelegt.
Wenn das Smartphone verloren geht oder gestohlen wird, können Daten eingesehen werden.
Es sind erhöhte Sicherheitsmaßnahmen erforderlich, um zu verhindern, dass Unbefugte auf hier gespeicherte Daten zugreifen können, beispielsweise eine Zugangsbarriere durch die Verwendung eines Passwortes sowie eine verschlüsselte Ablage.
Eine schriftliche Einwilligung der Eltern muss sich beziehen auf:
- Fotografieren auch mit dem Smartphone
- Zugänglichmachen der Fotos auch im Internet und für Werbung
- Weitergabe an andere Eltern
- Nutzung der Fotos erfolgt unentgeltlich
- Haftungsausschluss
Nach dem Kunsturhebergesetz (KUG) war es bisher so, dass bei Gruppenfotos von öffentlichen Veranstaltungen keine vorerige Einwilligung der (zufällig) abgelichteten Personen notwendig war. Mit der neuen DSGVO könnte das möglicherweise hinfällig sein.
Hier ist die Rechtslage völlig unklar. Eine kürzlich veröffentlichte Stellungnahme des Bundesinnenministeriums zu diesem Thema stiftete noch mehr Unsicherheit, statt Klarheit zu schaffen. Niemand kann hier zurzeit mit Sicherheit sagen, ob in diesem Bereich künftig weiterhin das KUG gilt, oder die DSGVO Vorrang hat.
Insofern sollte derzeit in jedem Fall eine Einwilligung aller Eltern eingeholt werden.
Die Nutzung von WhatsApp in der Kindertagespflege
Die Verwendung von WhatsApp in der Kindertagespflege stellt keine private Nutzung dar.
Fotos, die auf WhatsApp hochgeladen/versendet werden, sollen grundsätzlich nur den Eltern zur Verfügung gestellt werden.
Problem:
Was darf WhatsApp mit den versendeten Bildern machen?
Die AGB sind hier nicht eindeutig formuliert: Du gewährst WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen [
], die du [
] hochlädst, übermittelst, speicherst, sendest oder empfängst. (Stand: Mai 2018)
Das Urheberrecht verbleibt zwar beim Nutzer, WhatsApp darf aber die Inhalte verbreiten und verkaufen auch die privat versendeten Fotos.
Folge:
Das Versenden von Kinderfotos dürfte auch mit Einwilligung der Eltern unzulässig sein, da kein hinreichender Datenschutz gegeben ist.
WhatsApp-Gruppen in der Kindertagespflege:
Hier sind die Handynummern aller Gruppenmitglieder sichtbar.
Das ist ein Verstoß gegen den Datenschutz, sofern nicht vor Aufnahme in die Gruppe die Einwilligung jedes einzelnen Mitglieds eingeholt wurde.
Eine konkludente Einwilligung ist auch nicht in der Nutzung von WhatsApp zu sehen.
Kindertagespflegepersonen und Zusammenschlüsse mit eigener Homepage
Kindertagespflegepersonen mit einer auf die Kindertagespflege bezogenen Homepage verlassen den rein privaten Bereich und müssen auf DSGVO-Vorgaben achten; sie sollten ihre AGB und ihre Datenschutzerklärungen anpassen.
Zusätzlich zum Impressum muss eine DSGVO-konforme Datenschutzerklärung vorhanden sein, die sich von jeder Unterseite aus erreichen lässt. Dies ist wichtig, um sich vor Abmahnungen zu schützen.
An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts.
Folgende Grundsätze sollten Sie kennen:
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis.
Einwilligung der betroffenen Person
Die Einwilligungshandlung muss strengeren Vorgaben genügen (z. B. durch Kontrollkästchen auf Webseiten, Auswahl spezifischer Einstellungen usw).
Das stillschweigende Einverständnis genügt nicht mehr.
Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss in jeden einzelnen gesondert eingewilligt werden können.
Die erteilte Einwilligung muss der Betroffene jederzeit und unbegründet widerrufen können. Der Widerruf muss einfach und verständlich möglich sein.
Es muss dem Betroffenen möglich sein, aktiv gegen einzelne Zwecke der Datenverarbeitung zu widersprechen.
Datensparsamkeit
Sie dürfen nur diejenigen und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.
Zweckbindung
Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
Datenrichtigkeit
Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.
Datensicherheit
Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.
Das Schutzniveau, das Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten.
Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.
Verpflichtung zur Datenportabilität
Die erhobenen und verarbeiteten Daten müssen vom Betroffenen jederzeit und vollständig eingesehen werden können.
Außerdem gibt das neue Recht den Nutzern die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen".
Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.
Rechenschaftspflicht
Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.
Es sollte also ein effektives Datenschutzmanagement eingerichtet und die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.
Die Schweigepflicht im StGB
Die "Verschwiegenheitspflicht" (auch Schweigepflicht) im engeren Sinn ist die rechtliche Verpflichtung bestimmter Berufsgruppen, ihnen anvertraute Geheimnisse nicht an Dritte weiterzugeben.
In Deutschland hat der Gesetzgeber die Schweigepflicht mit dem stärksten ihm zur Verfügung stehenden Mittel geregelt: der Androhung von Geld- oder Freiheitsstrafe (§ 203 Strafgesetzbuch StGB: Verletzung von Privatgeheimnissen).
Diese Vorschrift gilt z. B. für Ärzte, Apotheker, Psychologen, Rechtsanwälte, Notare, Steuerberater, Sozialarbeiter, Sozialpädagogen oder Eheberater. Tagespflegepersonen gehören zu keiner der in § 203 genannten Berufsgruppen, sie können sich also nach dieser Vorschrift nicht strafbar machen.
Für jedermann gelten aber die Vorschriften über Beleidigungsdelikte (§§ 185 ff. StGB). Diese dienen dem Schutz der persönlichen Ehre des Menschen. Im Einzelnen umfassen die Beleidigungsdelikte beispielsweise
- die Beleidigung, d. h. die Kundgabe von Missachtung oder Nichtachtung durch Werturteile (§ 185),
- die Verleumdung, d. h. die Behauptung unwahrer, ehrenrühriger Tatsachen gegenüber Dritten (§ 187),
- die üble Nachrede, d. h. eine ehrverletzende Tatsachenbehauptung, die nicht "erweislich wahr" ist (§ 186).
Vertraglich vereinbarte Schweigepflicht
Eine Verschwiegenheitspflicht kann sich aber auch als Nebenpflicht aus zivilrechtlichen Verträgen, also beispielsweise dem Betreuungsvertrag, ergeben.
Zu Beginn des Betreuungsverhältnisses sollte die Tagespflegeperson daher den vertraulichen Umgang mit Informationen mit den Eltern der Tageskinder besprechen und diesen in den Vertrag aufnehmen. Das beruhigt beide Seiten und belegt, dass die Tagespflegeperson ihre Arbeit professionell angeht.
Für bestimmte Fälle und Notfälle sollte von den Sorgeberechtigten eine Entbindung von der Schweigepflicht hinterlegt werden, beispielsweise wenn die Tagesmutter eine Kontaktperson für Erzieher und Lehrer ist.
Formulierungsbeispiel:
"Die Vertragsparteien verpflichten sich, über alle Angelegenheiten, die den persönlichen Lebensbereich der jeweils anderen Vertragspartei betreffen und ihrer Natur nach eine Geheimhaltung verlangen, Stillschweigen zu bewahren. Dies gilt auch für die Zeit nach Beendigung des Vertragsverhältnisses."
Eine Schweigepflichtentbindungserklärung finden Sie unter Downloads.
Zur besseren Ansicht bitte Bild anklicken!
Der Datenschutz im Sozialrecht
Im weiteren Sinn ist die Verschwiegenheitspflicht eng mit dem Datenschutz verknüpft, da der Verschwiegenheitspflicht nicht nur anvertraute Geheimnisse, sondern auch personenbezogene Daten wie z. B. Geburtsdaten, Religionszugehörigkeit, Beruf etc. unterliegen können.
Im deutschen Sozialrecht schützt § 35 SGB I die so genannten "Sozialdaten". Das sind die Informationen, die von den Leistungsträgern des Sozialgesetzbuches über die Versicherten und Leistungsempfänger erhoben werden. Den weiteren Umgang (Erhebung, Verarbeitung, Speicherung, Übermittlung) mit diesen Daten regelt § 67 ff. SGB X.
Für die TPP gelten auch diese Regelungen nicht unmittelbar, da sie keine "Sozialleistungsträger" sind. Sofern sie aber für das Jugendamt tätig werden, sind sie abgeleitete Normadressaten; für sie gelten dann diese Vorschriften mittelbar.
Außerdem gelten für Tagespflegepersonen unmittelbar die Vorschriften des Bundesdatenschutzgesetzes und die Datenschutzgesetze der Länder.
Unterschieden werden muss zwischen Datenerhebung und Datenübermittlung.
Datenerhebung
Die Datenerhebung ist in § 62 SGB VIII für die Jugendhilfe geregelt. Danach dürfen personenbezogene Daten nur erhoben werden, wenn sie für die Erfüllung der Erziehungsaufgabe in der Einrichtung erforderlich sind. Wird also - schriftlich oder mündlich - nach Religion, Einkommen, Krankheiten, Geschwistern gefragt, muss klar sein, inwieweit diese Daten notwendig (also nicht nur nützlich) sind, um die Erziehung des Kindes in der Einrichtung/Tagespflege erfüllen zu können.
Ist geklärt, welche Daten erforderlich sind, müssen diese Daten beim Betroffenen selbst erhoben werden.
Werden bei TPP von Dritten Sozialangaben abgefragt, so sollten die Dritten an die Betroffenen unmittelbar verwiesen werden.
Datenübermittlung
Werden Daten an Personen oder Stellen außerhalb der Einrichtung (z.B. Schule, Jugendamt, aber auch Eltern, wenn es sich nicht um Daten ihres eigenen Kindes handelt, für das sie sorgeberechtigt sind) weitergegeben, handelt es sich um eine Datenübermittlung gem. § 67 Abs.6 SGB X.
Diese ist nur zulässig, wenn der Betroffene eingewilligt hat oder wenn eine gesetzliche Übermittlungsbefugnis vorliegt (§ 67b SGB X, Stichwort Kindeswohlgefährdung).
Sofern die Jugendämter die Pflegeerlaubnis mit der Nebenbestimmung versehen, dass die TPP verpflichtet ist, personenbezogene Daten der Sorgeberechtigten an das Jugendamt weiterzugeben, so kann die TPP nur solche Betreuungsverhältnisse eingehen, in denen die Sorgeberechtigten einer Datenübermittlung an das Jugendamt zustimmen.
In Bezug auf das Jugendamt, die Finanzbehörden und Sozialver-sicherungsträger sollte bereits im Betreuungsvertrag eine schriftliche Einwilligung in die Weitergabe von personenbezogenen Daten erteilt werden.
Diese Einwilligung kann jedoch nur in Bezug auf konkrete Sachverhalte und nicht generell im Voraus erteilt werden, denn der Betroffene muss wissen, welche Daten jeweils weitergegeben werden sollen. Daher sollte die Einwilligung auf die Tagespflege bezogen erteilt werden.
Formulierungsvorschlag:
"Die Sorgeberechtigten willigen in die Weitergabe solcher personenbezogener Daten durch die Tagespflegeperson an Sozialversicherungsträger, Finanzbehörden und Jugendamt ein, die für die Durchführung der Kindertagespflege notwendig sind.
Auf die Informationspflicht der Tagespflegeperson gem. §§ 43 Abs. 3 und 8a SGB VIII sind die Sorgeberechtigten hingewiesen worden."
>> Zurück zur Übersicht