Was müssen Kita-Leitungen und Träger tun, wenn in ihre Einrichtung eingebrochen wurde und was kann im Vorfeld getan werden? Einbruchssituationen sind nicht nur organisatorisch, sondern auch aus Sicht des Datenschutzes brisant. In diesem Beitrag geht es um Sofortmaßnahmen, Meldepflichten und den präventiven Schutz vor Datenschutzverletzungen.
Praxisrelevanz für Kitas
Einbruch in der Kita, das ist zum Glück selten, aber wenn es passiert, steht das gesamte Team vor mehreren Herausforderungen zugleich. Türen oder Fenster können beschädigt sein, Räume sind verwüstet, elektrische Geräte fehlen, sensible Dokumente wurden möglicherweise eingesehen oder entwendet. Neben organisatorischen Fragen stellt sich schnell die Sorge: Was ist aus datenschutzrechtlicher Sicht zu tun?
Viele Einrichtungen sind unsicher, ob eine Meldung nach § 47 SGB VIII nötig ist oder ob ein Vorfall als Datenschutzverletzung gilt, selbst wenn keine Akten entwendet wurden. Auch der Umgang mit gestohlenen Laptops wirft regelmäßig Fragen auf: Gibt es eine Meldepflicht, selbst wenn der Zugriff technisch erschwert war?
Rechtlicher Rahmen
Einbruch und Meldepflicht nach § 47 SGB VIII
Nach § 47 SGB VIII besteht eine Pflicht zur Anzeige, wenn „das Wohl der Kinder“ beeinträchtigt ist. Ob ein Einbruch dazu zählt, hängt davon ab, wie die Situation konkret ist.
Beispiel:
Wenn durch den Einbruch das Schließsystem der Einrichtung defekt ist oder durch zerstörte Scheiben Gruppenräume nicht nutzbar sind, liegt regelmäßig eine Gefahr für das Kindeswohl vor und eine Meldung an die Aufsichtsbehörde ist erforderlich.
Wurde dagegen „nur“ ein Büro beschädigt, ohne dass der Betrieb der Betreuung eingeschränkt ist, ist nach derzeitiger Behördenpraxis keine Meldung erforderlich.
Datenschutzverletzung durch unbefugten Zugriff
Auch wenn keine Akten gestohlen wurden, kann eine Datenschutzverletzung vorliegen, nämlich dann, wenn Täter Zugang zu sensiblen Daten hatten, z. B. durch das Aufbrechen von Aktenschränken oder das Zurücklassen geöffneter Dokumente.
Beispiel:
Wenn ein verschlossener Schrank mit Anmeldebögen gewaltsam geöffnet wurde, ist nicht auszuschließen, dass personenbezogene Daten kopiert oder fotografiert wurden. Es liegt eine datenschutzrechtlich relevante Verletzung vor.
Geräte-Diebstahl und Sicherheitsmaßnahmen
Gerade bei gestohlenen Geräten hängt die Bewertung davon ab, welche Sicherheitsvorkehrungen zuvor getroffen wurden.
Beispiel:
Wurde der entwendete Laptop durch Festplattenverschlüsselung (z. B. BitLocker) und sicheres Passwort geschützt und sperrte die IT den Zugriff umgehend, liegt in der Regel kein meldepflichtiger Vorfall vor.
Fehlen solche Schutzmaßnahmen, ist eine Meldung gemäß Art. 33 DSGVO notwendig – innerhalb von 72 Stunden.
Präventiver Schutz vor Datenverlust und Datenschutzverletzungen
Zentrale Datenspeicherung: Minimieren Sie das Risiko von Datenverlust, indem Sie Daten auf sicheren zentralen Systemen speichern.
Festplattenverschlüsselung und starke Passwörter: Schützen Sie Laptops und Smartphones, auf denen personenbezogene Daten gespeichert sind.
Einbruchsprävention: Lassen Sie sich durch die örtliche Einbruchs-Präventionsstelle der Polizei beraten.
Was ist zu tun?
Praxis-Check: So handeln Sie nach einem Einbruch rechtssicher
Polizei benachrichtigen
Die Polizei dokumentiert den Schaden, sichert Beweise und kann Maßnahmen zur Sicherung der Einrichtung einleiten.Erste organisatorische Maßnahmen ergreifen
Eltern und Mitarbeitende müssen über den Vorfall informiert und ggf. pädagogische Abläufe angepasst werden.Datenschutzbeauftragten einbeziehen
Jede potenzielle Datenschutzverletzung muss mit der oder dem Datenschutzbeauftragten abgestimmt werden.Prüfung der Meldepflichten
- § 47 SGB VIII: Liegt eine Gefährdung des Kindeswohls vor?
- Art. 33 DSGVO: Gab es eine Verletzung schutzwürdiger personenbezogener Daten?
Meldung an Aufsichtsbehörde bei Datenschutzverstoß
Binnen 72 Stunden muss ggf. eine Meldung an die Datenschutzbehörde erfolgen. Ob auch Betroffene (z. B. Eltern) informiert werden müssen, hängt vom Einzelfall ab.Betroffene informieren
Ist der Schutz personenbezogener Daten beeinträchtigt und besteht ein hohes Risiko , müssen betroffene Personen informiert werden.Schutzmaßnahmen nachbessern
Jetzt ist der richtige Zeitpunkt, um IT-Sicherheit, Gebäudezugang und Dokumentenschutz zu überprüfen und zu verbessern.
Fazit
Einbruchsfälle sind für Kitas belastend – organisatorisch und datenschutzrechtlich. Wichtig ist ein klarer Fahrplan: Sofort handeln, rechtlich prüfen und Prävention stärken. Träger und Einrichtungsleitungen sollten gemeinsam mit Datenschutzbeauftragten vorbereitet sein – für den Fall der Fälle.