Die erste Schwerpunktprüfung des BfD EKD ist beendet und dokumentiert: Am Freitag veröffentlichte die evangelische Aufsicht den Abschlussbericht zur anlasslosen Prüfung in 100 zufällig ausgewählten Kitas in allen Landeskirchen.
Vieles aus dem Abschlussbericht war schon aus dem Zwischenbericht bekannt. Neu ist, dass jetzt auch der verwendete Fragebogen veröffentlicht wurde, der sich zur Selbstprüfung eignet.
Grundsätzlich zeigt sich der BfD EKD zufrieden: Zwar gebe es zum Teil noch Verbesserungsbedarf. »Die Prüfung hat aber ebenfalls aufgezeigt, dass es in den allermeisten Kindertageseinrichtungen keine strukturellen Defizite gibt und eine gewisse Sensibilität für datenschutzrechtliche Fragen vorhanden ist«, so das Fazit. Bei über der Hälfte der Einrichtungen wurden keine offensichtlichen Datenschutzmängel festgestellt.
Sowohl die Bestellung von örtlichen Beauftragten für den Datenschutz wie die Verpflichtung auf das Datengeheimnis wird umfassend umgesetzt. Schulung der Beschäftigten findet vor allem bei der Einstellung statt, eine regelmäßige Auffrischung unterbleibe aber meistens. Trotz der Besonderheit des DSG-EKD, dass Datenschutzinformationen anders als in der DSGVO erst auf Verlangen vorgelegt werden müssen, stellt die Hälfte der Einrichtungen schon vorab Datenschutzerklärungen bereit. Weniger gut aufgestellt sind die Einrichtungen beim Löschkonzept – das fehlt oft, genauso wie klare Prozesse für die Dokumentation und Meldung von Datenpannen.
Bei der IT-Sicherheit gibt es ebenfalls Defizite: Schon deshalb, weil es nur sehr wenige Endgeräte gibt, die oft geteilt werden müssen, und bei denen Gruppenaccounts und mangelnde Sicherung (physisch wie softwareseitig) an der Tagesordnung sind.
Zu privaten Endgeräten heißt es, dass »nur in wenigen Einrichtungen private Endgeräte ohne entsprechende Regelungen verwendet werden«; genauere Daten fehlen. Im Zwischenbericht hieß es, dass in 25 Prozent der Einrichtungen private Endgeräte genutzt würden, »wobei diese häufig nur zur telefonischen Erreichbarkeit bei Ausflügen oder zur kurzfristigen Kommunikation zu Corona-Zeiten genutzt werden«. Ganz außen vor bleiben die Endgeräte der Eltern – die Nutzung von Kita-Apps zur Kommunikation, über die auch personenbezogene Daten kommuniziert werden, ist in vielen Kitas aber üblich.
Beim in der veröffentlichten Form sechsseitigen Fragebogen fällt generell auf, dass die Fragen völlig generisch sind: Mit Ausnahme der Frage nach der Anzahl der betreuten Kinder und nach einem geschützten Infobereich auf der Webseite für Eltern geht keine der 30 Fragen auf Besonderheiten in Kitas ein: Keine Fragen zum Umgang mit besonders schützenswerten Daten von Kindern, keine vertieften Fragen zur Elternkommunikation, keine Fragen zur Arbeitsweise von Elternbeiräten, immerhin wurde die IT-Sicherheit zum Schutz vor Datenpannen bei Einbrüchen thematisiert (derartige Fälle in Kitas tauchen immer wieder in den Tätigkeitsberichten verschiedener Aufsichten auf) – hier gibt es aber Defizite sowohl bei der physischen Sicherung durch abschließbare Schränke wie bei der Verschlüsselung.
Fazit
Die Zusammenfassung des BfD EKD fällt verhältnismäßig positiv aus, auch wenn noch Verbesserungsbedarf konstatiert wird. Die veröffentlichten Daten zeigen aber, dass vor allem die formalen Aspekte von Datenschutz – die Verpflichtung aufs Datengeheimnis, die Bestellung von örtlichen Beauftragten – gut klappen, während gerade IT-Sicherheit und Sensibilisierung von Mitarbeitenden deutlich ausbaufähig sind.
Die Entscheidung, recht generisch zu fragen, dürfte dazu führen, dass einige typische Datenschutzprobleme in Kitas mit der gewählten Methodik gar nicht aufgespürt werden können. Das scheint Methode bei den Aufsichten zu sein: Schon bei der Kita-Prüfung der KDSA Nord, deren Ergebnisse im März veröffentlicht wurden, wurde genauso generisch geprüft. Das ist nützlich für alle anderen Verantwortlichen, um mit dem Prüfschema zu arbeiten – für Kitas selbst weniger, da es nach wie vor kaum konkrete Hinweise zum Umgang mit Kita-spezifischen Themen wie Entwicklungsdokumentationen und Eltern-Apps gibt.
Leider ist das im Rahmen des Kirchlichen Datenschutzmodells angekündigte Referenzbeispiel »Muster-Kindertageseinrichtung« noch nicht veröffentlicht – es ist zu hoffen, dass es mit den Erfahrungen aus den Kita-Prüfungen (die Ergebnisse des KDSZ Dortmund stehen noch aus) praxisnah gefüllt wird.Als nächstes steht beim BfD EKD eine Prüfung von Krankenhäusern an. Man darf gespannt sein, ob dann lediglich statt nach der Zahl der betreuten Kinder nach der Zahl der Betten gefragt wird, oder ob die besondere Situation im Gesundheitsbereich berücksichtigt wird – naturgemäß müssen dort besonders viele Gesundheitsdaten verarbeitet werden. Bei der Kritik an der generischen Methode muss aber auch berücksichtigt werden, dass aufgrund der Pandemie bislang alle Prüfungen rein remote stattfanden – bei Begehungen würden einige einrichtungsspezifische Probleme wohl bemerkt werden, die bei der Fragebogenentwicklung außen vor blieben.