Vorratsdatenspeicherung und unberechtigte Datenweitergabe bei regionaler KiTa?

- Corona rechtfertigt doch nicht alles, oder? -

Der Fall:

Derzeit teilt zumindest eine regionale Kindertageseinrichtung den Eltern von dort betreuten Kindern mit, dass beabsichtigt ist, personenbezogene Daten an die Stadt weiterzugeben. Hierbei beruft sich die Kindertagesstätte auf zurzeit steigende Infektionszahlen aufgrund der Corona-Situation der Stadt. Die Kindertagesstätte teilt mit, dass in der Stadt besondere Maßnahmen getroffen würden, um die Ansteckungsgefahr gering zu halten. Hierzu soll es eine behördliche Anordnung der Stadt geben, welche im Rahmen des Infektionsschutzgesetzes vorsieht, dass

vorsorglich eine Liste mit Angaben über

Namen

Vornamen

Adressen

Geburtsdaten

Gruppenzugehörigkeiten

und falls bekannt mit Telefonnummer von Kindern

und Mitarbeitern

an das Jugendamt der Stadt geschickt werden würden.

Hier muss davon ausgegangen werden, dass selbstverständlich nicht die Kinder Telefonnummer haben, sondern die Ansprechpartner, die von den Eltern hinterlegt worden sind. D. h. die Kindertagesstätte hat hier vor, die Telefonnummern von Eltern, wahrscheinlich mit vollem Namen sowie von anderen, z. B. Abholpersonen an Dritte weiterzugeben.

Weiter wird ausgeführt, dass dies erforderlich sei, wenn z. B. am Wochenende, an dem in der Kindertageseinrichtung niemand erreicht werden würde, die Daten benötigt würden.

Geschlossen wird das Schreiben der Kindertagesstätte mit der Interessanten Information, dass spätestens zum 31. Juli 2021 diese Daten von der Stadt gelöscht werden würden.

 

Rechtliche Beurteilung:

Das Bundesdatenschutzgesetz ist ein Verbotsgesetz mit Erlaubnisvorbehalt.

Das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung, welche fast gleich aufgebaut ist, schützen das Individuum, d. h. den einzelnen Bürger davor, dass ihre Daten unrechtmäßiger Weise von Dritten, insbesondere aber auch vom Staat erhoben, verarbeitet und gespeichert werden, ohne dass es hierfür eine Rechtsgrundlage gibt.

Im Datenschutzrecht gelten verschiedene Grundsätze, nämlich u. a. der Grundsatz der Datensparsamkeit, allerdings auch der Grundsatz, dass Daten, wenn sie nicht mehr gebraucht werden, gelöscht werden müssen.

 

Aber eins nach dem anderen.

 

Zunächst einmal benötigt derjenige, der Daten erheben, verarbeiten und speichern, insbesondere aber weitergeben will, hierfür eine Rechtsgrundlage.

Eine Rechtsgrundlage kann z. B. dann bestehen, wenn derjenige, um dessen Daten es geht, diese Art der Datenverarbeitung oder -weitergabe zugestimmt hat.

Eine entsprechende Einwilligungserklärung ist regelmäßig nicht anzunehmen, denn wer gibt schon seine Kinder in einem ggfls. konfessionell geprägten Kindergarten ab, damit die mit einer Vielzahl weiterer Daten dann an Dritte weitergegeben werden? Von einer Einwilligung durch Abschluss eines Betreuungsvertrages ist nicht auszugehen, da der Betreuungsvertrag gerade nicht vorsieht, das entsprechende Daten an Dritte weitergegeben werden.

Eine weitere Möglichkeit, wonach eine Datenerhebung und auch eine Datenweitergabe möglich ist, ergibt sich aus Artikel 6 Abs. 1 d DSGVO, nämlich wenn es zum Schutz lebenswichtiger Interessen des Betroffenen und einer anderen natürlichen Person unabdingbar ist. Diese Regelung ist allerdings eine Notstandsregelung, die dem Schutz lebenswichtiger Interessen ausdrücklich Geltung verleihen. Die Betroffenheit lebenswichtiger Interessen setzt nicht notwendiger Weise eine Lebensbedrohung voraus, der Schutz der körperlichen Unversehrtheit ist grundsätzlich ausreichend. Allerdings dürfte hier ohne einen konkreten Anlass, nämlich lediglich im vorauseilenden Gehorsam eine entsprechende Datenerhebung gerade nicht erforderlich und nicht zulässig sein. Etwas anderes ergäbe sich, wenn tatsächlich ein Corona-Fall im Einflussbereich einer Kindertageseinrichtung auftreten sollte.

Weitere Rechtsgrundlage könnte auch sein, § 2 a Abs. 1 der Corona-Schutzverordnung, wonach die Aufnahme personenbezogener Daten Zurückverfolgbarkeit zunächst einmal nur mit Einverständnis des Betroffenen erfolgen darf.

Kein Einverständnis (siehe oben) dürfte nicht vorliegen. Auch sieht § 2 a Abs. 3 Corona-Schutzverordnung NRW vor, dass die Daten lediglich im Bedarfsfall der zuständigen Behörde zur Verfügung zu stellen sind.

Bezieht man sich auf diese Regelung so wird sofort offenbart, dass ein Bedarfsfall schlicht und ergreifend so lange nicht vorliegt, so lang tatsächlich keine Corona-Infektion festgestellt wurde.

 

Abschließende Beurteilung:

Das, was hier die eine oder vielleicht auch andere Kindertagesstätte derzeit propagiert, nämlich die Vorratsdatenspeicherung und die Datenweitergabe auf Vorrat an die Stadt dürfte nach Auffassung des Unterzeichners äußerst kritisch zu bewerten sein. Hier dürften wesentliche Grundrecht von Bürgern, insbesondere von Kindern nachhaltig verletzt werden. All dies gilt natürlich nur, solange keine ganz konkrete Corona-Maßnahme anzuordnen ist, weil z. B. ein Kind, ein Familienmitglied eines Kindes oder Ähnliches positiv auf Corona getestet wurde. In dieser Situation dürfen zur Verhinderung einer Ausbreitung die Daten an die zuständige Stelle weitergegeben werden.

 

Eines aber noch zum Schluss!

Eine Datenerhebung, die durch eine KiTa erfolgt, bei der sich eine Kindertageseinrichtung dann noch darauf beruft, derjenige, der die Daten bekommt, würde diese irgendwann einmal löschen, ist schlicht und ergreifend unzulässig.

Die Kindertagesstätte hat, wenn sie die Daten erst einmal aus der Hand gegeben hat, überhaupt keinen Einfluss mehr auf die Löschung der Daten.

Davon mal ganz abgesehen, dass das Vorhalten entsprechender Daten für einen Zeitraum, der über die aktuelle Erkrankungsphase hinaus geht, sowieso unzulässig sein dürfte. Alles in allem ist das derzeitige Vorgehen, der einen oder anderen Kindertagesstätte insofern äußerst kritisch zu beurteilen.

 

Sollten Sie Fragen zum Datenschutz haben, so steht Ihnen der Unterzeichner, Rechtsanwalt Hans-Christian Freier, Fachanwalt für Informationstechnologierecht, jederzeit gern zur Verfügung.