Datenschutz in sozialen Organisationen ist nicht nur eine Aufgabe der IT oder der Verwaltung. Er funktioniert dann am besten, wenn im Alltag alle dazu Bescheid wissen. Wir haben mit Datenschutzexpertin Isabell Jungnitz darüber gesprochen, warum es wichtig ist, dass alle Mitarbeitenden geschult sind.
Frau Jungnitz, welches ist das größte Datenschutz-Risiko für eine soziale Organisation?
Das größte Risiko ist das mangelnde Bewusstsein der Mitarbeitenden. Viele wissen zwar, dass man zum Beispiel keine Bilder von Kindern ohne Zustimmung der Eltern auf Instagram posten darf. Aber in anderen Bereichen fehlt oft die Sensibilisierung.
Ein weiteres Risiko liegt in der internen Verwendung von Daten: Wenn Mitarbeitende zum Beispiel bestimmte Daten erheben bzw. weitergeben, obwohl sie das gar nicht dürfen – etwa beim Fotografieren oder bei der Nutzung von KI-Systemen wie ChatGPT. Das Thema Künstliche Intelligenz betrifft übrigens alle Einrichtungen – egal ob Kita oder Hospiz.
Und welches ist aus Ihrer Sicht das unbekannteste Risiko?
Die unbewusste oder unbegrenzte Datensammlung. Ob elektronisch oder in Papierform, wenn Daten einfach gesammelt werden, ohne klaren Zweck oder Löschkonzept, wird’s kritisch. Wenn eine Kita beispielsweise den Beruf der Eltern abgefragt, obwohl es dafür keine Rechtsgrundlage gibt. Auch das Speichern von Daten „für den Fall, dass man sie nochmal braucht“ ist problematisch. Wenn dann ein Auskunftsersuchen kommt und man Daten noch speichert, die längst hätten gelöscht werden müssen, drohen Bußgelder und es wird auch zum Imageproblem.
Außerdem ist es ein hoher Arbeitsaufwand, wenn Daten nicht strukturiert sind. Wenn ich hingegen alle Daten nach Jahren sortiere, kann ich gezielt löschen. Es gibt unterschiedliche Fristen: Infos zu Nahrungsmittelunverträglichkeiten brauche ich nur während der Kita-Zeit eines Kindes, Gebühreninformationen müssen aus steuerlichen Gründen bis zu zehn Jahre erhalten bleiben.
Was ist grob gesagt der Unterschied zwischen Datenschutz und Datensicherheit?
Datenschutz betrifft ausschließlich personenbezogene Daten und ist rechtlich geregelt. Ziel ist der Schutz natürlicher Personen. Datensicherheit ist umfassender. Sie betrifft auch Betriebs- und Geschäftsgeheimnisse, Konzepte zum Gewalt- oder Kinderschutz bis hin zu Konstruktionszeichnungen oder Kochrezepten. Diese wären aus Sicht des Datenschutzes nicht geschützt, können aber für die Organisation sicherheitsrelevant sein. Datensicherheit hat drei Ziele: Vertraulichkeit, Verfügbarkeit und Integrität. Es geht um präventive Maßnahmen, aber auch darum, im Ernstfall den Schaden zu begrenzen.
Wie können Organisationen diese Zusatzaufgaben leicht in den Alltag integrieren?
Wichtig ist, dass nicht nur die Datenschutzexpert*innen die Regeln kennen. Mitarbeitende müssen im Alltag mitgenommen werden. Natürlich braucht eine Organisation Personen, die zum Beispiel Einwilligungsschreiben oder Formulare erstellen, gegebenenfalls auch mit externer Unterstützung. Aber alle Mitarbeitenden sollten zum Beispiel wissen: Warum gibt es eine Datenschutzerklärung? Warum achten wir auf bestimmte Dinge, wenn wir zum Beispiel Fotos machen?
Der Datenschutz muss praxisnah gestaltet sein. Gesetze müssen verständlich erklärt werden. Prozesse (zum Beispiel Formulare und Einwilligungen) sollten standardisiert sein. Ein Beispiel: Wenn Kinder neu in die Kita kommen, kann ich standardisierte Formulare einsetzen – zum Beispiel zur Freigabe von Daten für die Telefonliste oder Geburtstagsliste. Diese sollten nicht aus dem Internet kopiert sein, sondern zur Einrichtung passen.
Haben Sie einen Tipp, wie man innerhalb der Organisation ein Bewusstsein für den Datenschutz schafft, so dass alle Mitarbeiter*innen sensibilisiert sind, und nicht nur Datenschutzbeauftragte?
Ich empfehle, allen Mitarbeitenden zumindest eine Grundlagenschulung anzubieten, denn Datenschutz betrifft alle. Gerade im Umgang mit sensiblen Daten sollte man wissen, welche Pflichten bestehen. Es geht nicht darum, Datenschutzbeauftragte auszubilden – eine Schulung von 90 Minuten reicht oft schon für den Alltag aus. Darüber hinaus hilft ein Datenschutzleitfaden. Darin steht zum Beispiel, wie KI genutzt wird, was mit Fotos passiert, welche Einwilligungen gebraucht werden. Das Dokument ist besonders wichtig für neue Mitarbeitende, die unterjährig starten und noch keine Schulung hatten. Idealerweise wird das mit dem Onboarding-Prozess verbunden. So wird Datenschutz von Anfang an mitgedacht.
Über Isabell Jungnitz
Isabell Jungnitz ist Wirtschaftsjuristin (LL.M.) sowie zertifizierte Datenschutz- und Informationssicherheitsbeauftragte. Sie ist Geschäftsführerin der Cybernest GmbH und seit über neun Jahren im Bereich Datenschutz tätig. Für die Paritätische Akademie NRW gibt sie Seminare zum Thema Datenschutz und Datensicherheit in sozialen Organisationen und Kitas.
