Haftung für Kita App

Hallo,

In unserem Kindergarten wird aktuell die Einführung einer Kita-App geprüft.

Ich selbst habe die Information im Kopf, dass bei jeglichen Datenschutzverstößen der Kita-App die Kita-Leitung bzw. der Träger mit im Boot ist und mit haftet.

Konkrete Informationen habe ich dazu aber nicht mehr gefunden.

Daher wollte ich mal in die Runde fragen, wie eurer Kenntnisstand dazu ist oder ob ich mich da irre?

Viele Grüße
Andreas

PS: Wenn dazu jemand eine Quelle hat, wäre das super.

Verantwortlich für die Verarbeitung der Kinder- (und Eltern-) Daten ist der Kindergarten bzw. dessen Träger.

Verwaltungsprogramme, Elternkommunikationsapps usw. lassen sich eigentlich sehr sauber nutzen, wenn der Dienst mit einem Vertrag zur „Auftragsverarbeitung“ (Art. 28 DSGVO) verpflichtet wird, Daten nur nach Weisung des Verantwortlichen zu verarbeiten, nicht aber für eigene Zwecke. Dann gilt er nicht als Dritter und ist ungefähr wie eine zuständige Abteilung des Verantwortlichen zu betrachten.

Ich sag immer „die Guten“ bieten einen solchen Datenschutzvertrag zwangsweise mit an und denken gar nicht erst daran, evtl. problematische Zusatzdienste von Google usw. einzubinden.

Damit entlasten sich die Dienstleister bei der Verantwortung. Sie brauchen keine eigene Rechtsgrundlage und keine kompletten Pflichtinformationen für ihre App, weil sie die Erlaubnis des verantwortlichen Trägers mit nutzen. Sie haften höchstens für Verstöße gegen ihre Pflichten als Auftragsverarbeiter; z. B. indem sie von der Vereinbarung abweichend Daten für eigene Zwecke missbrauchen, oder vereinbarte Sicherheitsmaßnahmen nicht anwenden. Der Verantwortliche (Kindergarten) haftet insgesamt, wie wenn er die ganze Verarbeitung bei sich selbst durchführen würde.

Manchmal ist es komplizierter, wenn der Anbieter anbietet, außerhalb der Auftragsverarbeitungsverhältnisse Elterndaten in seiner eigenen Verantwortung zu verarbeiten, z. B. um Kommunikation über Kinder in verschiedenen Einrichtungen (Verantwortlichkeit) gemeinsam „verwalten“ zu können. Aber auch das lässt sich sauber trennen.

D., der schon solche und solche gesehen hat. Mit fließenden Erkenntnissen, weil dauernd am Produkt und am Papierkram rumgeschraubt wird.

Ich würde Euch empfehlen, einen Datenschutzbeauftragten einzubeziehen. Gerade Auftragsverarbeitung ist m.E. ein schwieriges Thema.
Alternative ist eine Haftpflichtversicherung, die derartige Schäden übernimmt.

Die Haftpflichtversicherung würde gar nichts übernehmen, wenn sie erkennt, dass gar nichts zur Vermeidung des Schadens unternommen wurde. (Außer die Versicherung abzuschließen.)

D., der sichere Ereignisse nicht für versicherbar hält.

1 „Gefällt mir“

ich hatte Mal ein Gespräch mit einem Vereinsvorstand, der mir sagte, er habe eine passende Versicherung. Hab ich nicht weiter überprüft.

Was ist das Ereignis? Der DSGVO-Verstoß? Die Entdeckung? Der Haftungsfall? Das erste mag sicher sein, die anderen unwahrscheinlich: https://noyb.eu/de/data-protection-day-only-13-cases-eu-dpas-result-fine

Domasla hat schon das Wesentlichste gesagt.

Aus meiner praktischen Tätigkeit in einer Datenschutzaufsichtsbehörde kann ich berichten, dass die meisten bei uns auflaufenden Datenschutzverstöße im Zusammenhang mit Kita-Apps tatsächlich mehr im Umgang der Kita-Beschäftigten mit der App als in der Kita-App selbst lagen.

In Bezug auf eine Versicherung: die sind im Regelfall sehr teuer und kommen so gut wie nie bei grober Fahrlässigkeit oder Vorsatz auf. Sie übernehmen vielleicht Kosten für die rechtliche Beratung, aber selten eventuelle Bußgelder oder Schadenersatzforderungen Betroffener (dann sind die Versicherungen noch viel teurer). Zudem können Geschäftsführer, Vorstände von AG und BGB-Vorstände von Vereinen auch von einer persönlichen Haftung betroffen sein. Eventuell sogar die Mitarbeitenden in KITAs (trotz des sog. Haftungsprivilegs, was für Arbeitnehmer gilt). Dann müsste man noch sehr viel Münzen bei éiner Versicherung einwerfen, damit daraus eine sog. D&O-Versicherung wird.

Am Ende ist das so teuer, dass man statt dessen besser für 1/4 der Versicherungssumme ausführliche Beratungen und Schulungen kauft. Dort ist das Geld besser angelegt. So wie Beabel ja angedeutet hat, dass die Probleme eher die Beschäftigten oder die Anwendung der Kita-Apps sind.

Vielen Dank für eure Hilfe.
Das hat mir schon einiges geholfen, damit ich in die Diskussion mit der Kita-Leitung gehen kann.

@Andreas00
Auch wenn hier schon einiges Richtiges geschrieben wurde, so hängt das Ergebnis der Bewertung einer Verarbeitungstätigkeit davon ab, was die Verarbeitungstätigkeit umfaßt.

Ihr solltet daher die Verarbeitungstätigkeit erst einmal beschreiben. Hierbei sollte Ihr Euch fragen, Wer soll Was für Wen für Welchen Zweck, mit Welchen Daten, Wie und Wie lange tun. Muster für eine strukturierte Vorgehensweise gibt es „en mass“ im Netz.

Danach sollten sich die Rollen, Verantwortlicher (V) und Auftragsverarbeiter (AV) geklärt haben.
Ein evtl. AV muss über eine Auftragsverarbeitungs-Vereinbarung gebunden werden. Die wesentlichen Inhalte sind auch in der DS-GVO definiert. Vorlagen finden sich ebenfalls im Netz.
Dann geht es um die Pflichten. Der V muß die Zuverlässigkeit eines AV prüfen und nachweisen. Für z.B. die Sicherheit der Verarbeitung, die Einbindung des/der DSB sind beide verantwortlich.

Stimmt manche Apps versuchen, alles und noch mehr abzubilden, was Kinder…tageseinrichtungen so tun.

Z. B. auch das Einwilligungsmanagement für Fotos und die Abrufmöglichkeit für die zugestimmte Zielgruppe. (Fotos fürs Portfolio muss man m. E. nicht auf Einwilligung stützen.)

D., der…