Die Kitarechtler

Saugroboter in der Kita – das kann schnell zum Datenschutzproblem werden!

Der Kollege bringt seinen ausgemusterten Saugroboter mit. „Der schafft den Bewegungsraum in zehn Minuten, dann müssen wir nach dem Mittagessen nicht mehr kehren.“ Das Team freut sich, die Kita-Leitung nickt, das Gerät bekommt einen Platz neben dem Materialschrank und Zugang zum WLAN.

Und genau in diesem Moment ist aus einem netten Kollegenangebot eine Datenverarbeitung nach der DSGVO geworden – für die der Träger geradesteht. Nicht der Kollege. Nicht der Hersteller. Der Träger!

Vielen ist nur unterbewusst klar, was Saugroboter im Privathaushalt so alles erfassen: Grundrisse, Laufzeiten, Störungsmeldungen, bei manchen Modellen Kamerabilder und Tonaufnahmen – und wohin diese Daten fließen. Für Privatpersonen ist das eine Frage der persönlichen Risikobereitschaft. Für Krippe, Kita und Hort ist es eine Rechtsfrage. Und die beantwortet sich eben ganz anders.

Das Wichtigste in Kürze

Warum das kein Smart-Home-Thema, sondern ein Kita-Thema ist

Im Privathaushalt entscheidet der Nutzer über seine eigenen Daten. Er darf leichtsinnig sein. Das ist sein gutes Recht.

In der Kita liegt der Fall anders. Hier werden Daten von Menschen verarbeitet, die sich nicht wehren können – von Kindern, deren Eltern der Einrichtung ein sehr weitgehendes Vertrauen entgegenbringen, und von Beschäftigten, die in einem Abhängigkeitsverhältnis zum Träger stehen. Gerade Kinder verdienen einen besonderen Schutz ihrer personenbezogenen Daten, weil sie sich der Risiken und Folgen weniger bewusst sind.

Übersetzt in den Kita-Alltag heißt das: Was im Wohnzimmer noch als „naja, meinetwegen“ durchgeht, ist im Gruppenraum schnell ein Rechtsverstoß.

Was das Gerät im Kita-Alltag tatsächlich erfasst

Nehmen wir den Saugroboter beim Wort. Er erstellt eine Raumkarte der Einrichtung – Bewegungsraum, Ruheraum, Flur, Personalraum, Wickelbereich. Er protokolliert Laufzeiten und Reinigungszyklen. Er meldet Störungen („Hindernis erkannt“). Bei Kameramodellen entstehen Bilder. Bei Sprachassistenz-Kopplung wird Ton aufgenommen.

Jetzt der Perspektivwechsel, den viele Träger nicht machen:

Ein Raumplan der Kita ist ein sicherheitsrelevantes Dokument. Er zeigt, wo Kinder schlafen, wo der Notausgang liegt, wie man vom Fenster in die Krippengruppe kommt. Diesen Plan hat der Träger jetzt einem Anbieter überlassen, der die Daten irgendwo verarbeitet, dessen Server also möglicherweise in einem Drittland ohne Angemessenheitsbeschluss (Art. 45 DSGVO) stehen.

Laufzeitprotokolle sind Beschäftigtendaten. Wenn das Gerät morgens um 6:40 Uhr startet, weil jemand es angeschaltet hat, und um 6:55 Uhr eine Störung meldet, entsteht ein Bewegungs- und Anwesenheitsprofil. Damit ist die Anlage geeignet, das Verhalten und die Leistung der Beschäftigten zu überwachen – und damit mitbestimmungspflichtig bei Trägern mit Betriebs-/Personalrat oder Mitarbeitervertretung: die müssen mit ins Boot, bevor das Gerät läuft.

Kamerabilder aus dem Gruppenraum sind der Super-GAU. Bilder von Kindern in einer Betreuungseinrichtung, gegebenenfalls in Wickel- oder Ruhesituationen oder beim Wasserangebot, sind das Sensibelste, was eine Kita verarbeiten kann. Für eine Bodenreinigung gibt es dafür schlicht keine tragfähige Rechtsgrundlage. Das ist keine Auslegungsfrage.

Der Rechtsrahmen – kompakt für Träger und Leitung

Wer ein vernetztes Gerät in der Einrichtung einsetzt, muss vorher(!) folgende Punkte abgearbeitet haben:

1. Rechtsgrundlage (Art. 6 DSGVO). Meist kommt nur das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Das setzt eine echte Abwägung voraus: Ist die Datenverarbeitung erforderlich? Gibt es ein milderes Mittel? Ein Saugroboter ohne Cloud-Anbindung ist das mildere Mittel gegenüber einem mit. Ein Besen ist noch milder. Diese Abwägung muss dokumentiert sein – Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO.

Und ganz wichtig: Eine Einwilligung der Eltern rettet hier nichts. Einwilligung ist kein Blankoscheck. Sie ist nur wirksam, wenn sie freiwillig, informiert und für einen konkreten Zweck erteilt wird. „Wir stimmen zu, dass ein Saugroboter Daten in die Cloud überträgt“ auf dem Aufnahmebogen ist keine wirksame Einwilligung, sondern Kosmetik.

2. Auftragsverarbeitung (Art. 28 DSGVO). Wenn der Hersteller Daten in seiner Cloud verarbeitet, ist er Auftragsverarbeiter. Dann braucht der Träger einen AV-Vertrag. Fragen Sie beim Anbieter nach. Wenn dort niemand weiß, was Sie meinen: Das ist auch schon die Antwort.

3. Drittlandtransfer (Art. 44 ff. DSGVO). Viele Marktführer betreiben ihre Server außerhalb der EU. Für Länder ohne Angemessenheitsbeschluss braucht es Standardvertragsklauseln plus ein Transfer Impact Assessment. Realistisch: Für die meisten Träger ist spätestens das der Punkt, an dem das Gerät aus dem Rennen ist.

4. Verarbeitungsverzeichnis (Art. 30 DSGVO). Jede Verarbeitung gehört ins Verzeichnis. Auch die, die auf vier Rädern durch den Flur fährt.

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO). Eigenes WLAN-Netz, aktuelle Firmware, starke Zugangsdaten, dokumentierte Verantwortlichkeit.

6. Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Sobald ein Gerät Kamera oder Mikrofon mitbringt und in einem Bereich mit Kindern eingesetzt wird, liegt ein hohes Risiko nahe. Dann ist die DSFA Pflicht – und ihr Ergebnis wird in aller Regel lauten: nicht einsetzen.

7. Aufsichtspflicht. Ein Punkt, den man leicht übersieht: Ein selbstfahrendes Gerät im Gruppenraum ist eine Gefahrenquelle. Stolperkante, Quetschgefahr, Faszinationsobjekt für Zweijährige. Die Aufsichtspflicht endet nicht dort, wo die Technik anfängt. Geräte laufen außerhalb der Betreuungszeiten – oder gar nicht.

Die Checkliste vor der Anschaffung

Bevor ein vernetztes Gerät in Krippe, Kita oder Hort einzieht, klärt die Kita-Leitung gemeinsam mit dem Träger:

Fünf Regeln für den Kita-Alltag

Für das Team, zum Aushängen im Personalraum:

1. Keine privaten Geräte ins Kita-WLAN. Weder Saugroboter noch Sprachassistent noch Babyphone. Auch nicht „nur zum Testen“.

2. Was Kinder aufnehmen kann, hat im Gruppenraum nichts verloren. Kamera, Mikrofon, Videotürklingel mit Blick in den Garderobenbereich – jedes Mal Rücksprache mit Träger und Datenschutzbeauftragtem.

3. Ein eigenes Netz für Technik. Vernetzte Geräte gehören nicht in dasselbe Netz wie die Kita-Verwaltung mit Kinderakten, Entwicklungsdokumentation und Personaldaten. Eine Sicherheitslücke im Reinigungsgerät darf nicht zur Sicherheitslücke in der Kinderakte werden.

4. Updates einspielen. Sicherheitslücken werden über Updates geschlossen. Ein Gerät, das seit zwei Jahren keine Firmware bekommen hat, ist kein Helfer, sondern ein Risiko.

5. Vor Aussonderung, Verkauf oder Weitergabe: vollständig zurücksetzen. Raumkarten, Zugangsdaten, Nutzungshistorie – alles löschen. Und den Löschvorgang dokumentieren.

Und wenn das Gerät schon läuft?

Dann ist jetzt der Moment, nicht der Elternabend im November. Konkret:

  1. Gerät vom Netz nehmen und die App-Kopplung trennen.
  2. Bestandsaufnahme: Welches Gerät, welcher Anbieter, seit wann, welche Daten, welche Server?
  3. Datenschutzbeauftragten einbinden und Rechtsgrundlage prüfen lassen.
  4. Meldepflicht prüfen: Sind personenbezogene Daten unbefugt an Dritte gelangt, kann eine Meldung nach Art. 33 DSGVO an die Aufsichtsbehörde binnen 72 Stunden erforderlich sein – bei hohem Risiko zusätzlich eine Information der Eltern nach Art. 34 DSGVO.
  5. Sauber dokumentieren. Was Sie nicht dokumentiert haben, haben Sie im Zweifel nicht getan.

Fazit: Bequemlichkeit ist keine Rechtsgrundlage

Niemand hat etwas gegen saubere Böden. Aber der entscheidende Unterschied zwischen Wohnzimmer und Gruppenraum ist die Verantwortlichkeit: Zu Hause riskiert jeder nur seine eigenen Daten. In der Kita riskiert der Träger die Daten von Kindern und Beschäftigten – und trägt das Bußgeldrisiko, das Reputationsrisiko und das Vertrauen der Eltern.

Die gute Nachricht: Die Prüfung ist schnell gemacht. Kein Mikrofon, keine Kamera, EU-Server, AV-Vertrag, Eintrag im Verzeichnis, MAV informiert, läuft nur außerhalb der Betreuungszeit. Wer das abhaken kann, hat einen Helfer. Wer es nicht kann, hat ein Problem – und weiß es meist erst, wenn Eltern oder die Aufsichtsbehörde fragen.

Und ehrlich: Manchmal ist der Besen die datenschutzkonformere Lösung.


Sie sind Träger einer Krippe, Kita, eines Horts oder einer Schule und wissen nicht, welche Geräte, Apps und Systeme in Ihren Einrichtungen eigentlich Daten verarbeiten?

Als externe Datenschutzbeauftragte für Träger im Bildungs- und Betreuungsbereich bringe ich Ordnung in Ihre Verarbeitungen – vom Verarbeitungsverzeichnis über AV-Verträge bis zur Schulung Ihres Teams. Sprechen Sie uns an.

Saugroboter in der Kita – das kann schnell zum Datenschutzproblem werden!