Datenschutz klingt nach Bürokratie. Im Hort-Alltag geht es aber um etwas Konkretes: den Schutz der Kinder, deren Daten täglich erfasst, weitergegeben und gespeichert werden. Seit der DSGVO gelten dafür klare Regeln, und die betreffen Horte stärker, als viele Leitungen vermuten.
Dieser Artikel erklärt, welche Pflichten ein Hort als eigenständiger Träger hat, wo die größten Risiken im Alltag liegen und wie sich der Datenschutz mit einfachen Maßnahmen umsetzen lässt.
Der Hort als eigenständiger Verantwortlicher
Ein Hort ist kein Anhängsel der Schule. Er ist eine eigenständige Einrichtung mit eigenem Träger. Das bedeutet: Der Hort trägt die volle DSGVO-Verantwortung selbst. Er kann sie nicht an die Schule oder die Gemeinde delegieren.
Konkret heißt das: Der Träger muss einen Datenschutzbeauftragten benennen, sobald mindestens 20 Personen regelmäßig mit personenbezogenen Daten arbeiten. Außerdem braucht der Hort ein eigenes Verarbeitungsverzeichnis, in dem dokumentiert ist, welche Daten zu welchem Zweck erhoben, gespeichert und gelöscht werden.
Das unterscheidet den Hort grundlegend von der Offenen Ganztagsschule, die häufig unter der Schulverwaltung läuft. Im Hort gibt es keinen Schulträger, der die DSGVO-Pflichten übernimmt. Der Hort selbst ist verantwortlich.
Ein Hort ohne eigenes Datenschutzkonzept ist wie ein Gebäude ohne Brandschutzplan. Solange nichts passiert, fällt es nicht auf. Wenn etwas passiert, ist es zu spät.
Welche Daten der Hort verarbeitet
Horte verarbeiten mehr personenbezogene Daten, als auf den ersten Blick sichtbar ist. Namen, Geburtsdaten und Adressen der Kinder sind offensichtlich. Dazu kommen Kontaktdaten der Eltern, Abholberechtigungen, Anwesenheitslisten und Notfallnummern.
Weniger offensichtlich, aber genauso relevant: Fotos der Kinder, Entwicklungsdokumentationen, Buchungszeiten und Notizen zu sozialem Verhalten. All das sind personenbezogene Daten im Sinne der DSGVO. Sie dürfen nur erhoben werden, wenn ein konkreter Zweck vorliegt, und müssen gelöscht werden, sobald dieser Zweck erfüllt ist.
Fotos verdienen besondere Aufmerksamkeit. Für interne Dokumentation reicht in der Regel die Einwilligung der Eltern. Für die Veröffentlichung auf der Website oder in sozialen Medien braucht es eine separate, ausdrückliche Einwilligung. Pro Verwendungszweck eine eigene Zustimmung. Pauschale Foto-Einverständnisse sind rechtlich unwirksam.
Auch die Weitergabe von Daten an die Grundschule ist nicht automatisch erlaubt. Wenn der Hort Informationen über ein Kind an die Schule weitergibt, braucht er dafür entweder eine gesetzliche Grundlage oder die Einwilligung der Eltern.
Allergien und Ernährungshinweise als Gesundheitsdaten
Viele Horte erfassen Allergien und Ernährungshinweise der Kinder. Laktoseintoleranz, Nussallergie, vegane Ernährung. Das ist für die tägliche Organisation des Mittagessens notwendig und richtig.
Rechtlich sind diese Informationen allerdings Gesundheitsdaten. Sie fallen unter Artikel 9 der DSGVO, die sogenannten besonderen Kategorien personenbezogener Daten. Für ihre Verarbeitung gelten strengere Regeln als für einen Namen oder eine Adresse.
Das bedeutet: Die Einwilligung der Eltern muss ausdrücklich und zweckgebunden sein. Die Daten dürfen nur den Personen zugänglich sein, die sie für ihre Arbeit brauchen. Eine Allergieliste, die offen in der Küche hängt und für jeden sichtbar ist, verstößt gegen den Datenschutz. Besser: verschlüsselte digitale Erfassung oder verschlossene Ordner mit Zugangskontrolle.
Digitale Werkzeuge DSGVO-konform einsetzen
Digitale Verwaltungstools für den Hort können den Datenschutz erleichtern oder erschweren. Das hängt davon ab, wo die Daten gespeichert werden und wer Zugriff hat.
Drei Kriterien sind entscheidend. Erstens: Werden die Daten in der EU gespeichert? Server in den USA oder anderen Drittländern sind nach der DSGVO problematisch, auch wenn der Anbieter europäisch klingt. Zweitens: Ist die Datenübertragung verschlüsselt? Sowohl der Transport als auch die Speicherung auf dem Gerät sollten verschlüsselt sein. Drittens: Gibt es eine Möglichkeit, alle Daten zu exportieren und zu löschen? Das ist ein Grundrecht der Betroffenen.
Apps wie Hortino setzen auf lokale Verschlüsselung und EU-Server. Die Daten liegen zuerst auf dem Gerät, verschlüsselt, und werden erst bei bestehender Verbindung synchronisiert. Andere Lösungen speichern alles ausschließlich in der Cloud. Beides kann DSGVO-konform sein, solange die Rahmenbedingungen stimmen.
Was nicht DSGVO-konform ist: WhatsApp-Gruppen mit Eltern. WhatsApp überträgt Metadaten an Meta in den USA und greift auf das Adressbuch zu. Wer über WhatsApp Anwesenheiten, Krankheiten oder Abholzeiten kommuniziert, verstößt gegen die DSGVO. Für die Elternkommunikation gibt es datenschutzkonforme Alternativen, etwa verschlüsselte Messenger oder ein Elternportal innerhalb der Verwaltungsapp.
Praktische Tipps für den Hort-Alltag
Datenschutz muss nicht kompliziert sein. Die folgenden Maßnahmen lassen sich ohne großen Aufwand umsetzen:
- Verarbeitungsverzeichnis anlegen: Welche Daten werden erhoben, wo gespeichert, wann gelöscht
- Einwilligungen getrennt einholen: Betreuungsvertrag, Fotos intern, Fotos Website, Datenweitergabe an Schule
- Papierakten sichern: Verschlossene Schränke, Zugang nur für berechtigtes Personal
- Digitale Geräte mit Passwort schützen und automatische Bildschirmsperre aktivieren
- Keine Kinderdaten per WhatsApp, SMS oder unverschlüsselter E-Mail versenden
- Löschfristen definieren: Daten ehemaliger Kinder nach Ablauf der Aufbewahrungsfrist entfernen
- Mitarbeiter jährlich zum Datenschutz schulen
Ein oft übersehener Punkt: Auch analoge Unterlagen fallen unter die DSGVO. Eine Papierliste mit Anwesenheiten und Allergien ist genauso schutzwürdig wie eine digitale Datei. Der Unterschied: Papier lässt sich nicht verschlüsseln. Umso wichtiger ist die physische Sicherung.
Wer den Datenschutz auf der eigenen Website ebenfalls prüfen möchte, findet dort einen separaten Leitfaden.
Fazit
Der Hort trägt als eigenständiger Träger die volle DSGVO-Verantwortung. Das betrifft die digitale Verwaltung genauso wie den Papierordner im Schrank. Gesundheitsdaten wie Allergien unterliegen besonderen Schutzanforderungen, Fotos brauchen zweckgebundene Einwilligungen, und WhatsApp hat in der Elternkommunikation nichts verloren.
Die gute Nachricht: Mit einem sauberen Verarbeitungsverzeichnis, getrennten Einwilligungen und datenschutzkonformen Werkzeugen lässt sich der Datenschutz im Hort-Alltag umsetzen, ohne dass er zur Belastung wird. Entscheidend ist nicht Perfektion, sondern ein durchdachtes System, das konsequent eingehalten wird.
