← Zurück zum Blog
Recht 9. März 2026 9 Min. Lesezeit

Datenschutz in der OGS: Was Betreuer und Koordinatoren über die DSGVO wissen müssen

Betreuerin arbeitet am Tablet in der OGS

In der Offenen Ganztagsschule werden täglich hochsensible Daten verarbeitet: Namen, Adressen, Gesundheitsinformationen, Sorgerechtsregelungen und Abholberechtigungen von Kindern. Eltern vertrauen der Einrichtung nicht nur ihr Kind an, sondern auch persönliche Informationen über ihre Familie. Dieses Vertrauen verpflichtet – und die Datenschutz-Grundverordnung (DSGVO) gibt diesem Vertrauen einen rechtlichen Rahmen. Wer sich zunächst einen allgemeinen Überblick über die DSGVO verschaffen möchte, findet im Artikel DSGVO für Selbstständige eine verständliche Einführung in die wichtigsten Grundsätze.

Trotzdem herrscht in vielen OGS-Einrichtungen Unsicherheit: Welche Daten dürfen wir überhaupt erheben? Brauchen wir für alles eine Einwilligung? Und was passiert, wenn eine Datenpanne auftritt? Dieser Leitfaden beantwortet die wichtigsten Fragen zum Datenschutz in der Ganztagsschule – praxisnah, verständlich und mit konkreten Handlungsempfehlungen für den Betreuungsalltag.

Gerade weil Kinder besonders schutzbedürftig sind, gelten für ihre Daten strengere Regeln. Die DSGVO stellt in Erwägungsgrund 38 ausdrücklich klar: Kinder verdienen einen besonderen Schutz ihrer personenbezogenen Daten. Wer in der OGS mit Kinderdaten arbeitet, trägt daher eine besondere Verantwortung.

Welche Daten werden in der OGS verarbeitet?

Bevor man über Datenschutz sprechen kann, muss klar sein, welche personenbezogenen Daten in der OGS überhaupt anfallen. Die Bandbreite ist größer, als viele Koordinatoren vermuten:

Stammdaten der Kinder

Dazu gehören Vorname, Nachname, Geburtsdatum, Adresse, Klasse und Gruppenzugehörigkeit. Diese Daten werden bei der Anmeldung erfasst und bilden die Grundlage der Betreuung. Sie sind personenbezogene Daten im Sinne der DSGVO (Art. 4 Nr. 1) und unterliegen damit dem vollen Schutz der Verordnung.

Gesundheitsdaten

Allergien, Unverträglichkeiten, Medikamenteneinnahme, chronische Erkrankungen – diese Informationen sind für die Betreuung unverzichtbar, gehören aber zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Für ihre Verarbeitung gelten verschärfte Anforderungen: In der Regel ist eine ausdrückliche Einwilligung der Eltern erforderlich, es sei denn, die Verarbeitung dient dem Schutz lebenswichtiger Interessen des Kindes (etwa bei einer Allergie gegen Nüsse, die beim Mittagessen relevant wird).

Anwesenheitsdaten

Die tägliche Anwesenheitserfassung dokumentiert, wann ein Kind anwesend war, wann es abgeholt wurde, ob es krank oder entschuldigt fehlte. Diese Daten dienen der Erfüllung der Aufsichtspflicht und der Abrechnung von Betreuungsplätzen. Sie fallen bei jedem Kind an jedem Betreuungstag an und erzeugen über ein Schuljahr hinweg ein umfangreiches Profil.

Abholberechtigungen

Bei Abholberechtigungen werden personenbezogene Daten Dritter verarbeitet: Name, Telefonnummer und Beziehung zum Kind von Großeltern, Nachbarn oder anderen Abholberechtigten. Diese Personen müssen über die Datenverarbeitung informiert werden – ein Punkt, der in der Praxis oft vergessen wird.

Fotos und Medien

Fotos von Ausflügen, Bastelprojekten oder Feiern zeigen Kinder in erkennbarer Form und sind damit personenbezogene Daten. Für die Anfertigung und insbesondere für die Veröffentlichung (Website, Aushang, Elternbrief) ist eine gesonderte Einwilligung der Sorgeberechtigten erforderlich. Diese Einwilligung muss freiwillig sein – sie darf nicht zur Bedingung für die Aufnahme in die OGS gemacht werden.

Kontaktdaten der Eltern

Telefonnummern, E-Mail-Adressen, Arbeitgeber-Kontakte für Notfälle – auch diese Daten unterliegen dem Datenschutz. Sie dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden: die Kommunikation im Rahmen der Betreuung.

Sensible Familiendaten

In manchen Fällen liegen der OGS Sorgerechtsregelungen, Gerichtsbeschlüsse zum Aufenthaltsbestimmungsrecht oder sogar Kontaktverbote vor. Diese Daten sind besonders sensibel und dürfen nur den Personen zugänglich sein, die sie für ihre Arbeit zwingend benötigen.

Art. 8 DSGVO und Erwägungsgrund 38 stellen klar: Personenbezogene Daten von Kindern verdienen besonderen Schutz, da Kinder sich der Risiken und Folgen der Datenverarbeitung weniger bewusst sind. Jede Einrichtung, die mit Kinderdaten arbeitet, muss diesem erhöhten Schutzniveau gerecht werden.

Rechtsgrundlagen für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig – unabhängig davon, wie sinnvoll oder harmlos sie erscheint. In der OGS kommen vier Rechtsgrundlagen in Betracht:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Der Betreuungsvertrag zwischen Eltern und Träger ist die wichtigste Rechtsgrundlage für die Datenverarbeitung in der OGS. Um den Vertrag zu erfüllen, muss die Einrichtung bestimmte Daten verarbeiten: Name und Klasse des Kindes, Betreuungszeiten, Anwesenheit, Abholberechtigungen. Für diese Kerndaten braucht die OGS keine gesonderte Einwilligung – die Verarbeitung ist durch den Vertrag gedeckt.

Beispiel: Frau Müller meldet ihren Sohn Tom zur OGS an. Im Betreuungsvertrag sind die Betreuungstage, die Abholzeiten und die Kontaktdaten festgehalten. Die Verarbeitung dieser Daten ist für die Vertragserfüllung erforderlich und damit rechtmäßig.

Einwilligung der Eltern (Art. 6 Abs. 1 lit. a DSGVO)

Für Datenverarbeitungen, die über den Vertragszweck hinausgehen, ist eine ausdrückliche Einwilligung nötig. Das betrifft insbesondere:

  • Fotos: Veröffentlichung auf der Website, in sozialen Medien oder in Elternbriefen
  • Gesundheitsdaten: Erfassung von Allergien, Medikamenten, chronischen Erkrankungen (Art. 9 Abs. 2 lit. a)
  • Weitergabe an Dritte: Wenn Daten an andere Einrichtungen, Vereine oder externe Dienstleister übermittelt werden
  • Digitale Tools: Nutzung von Apps oder Cloud-Diensten zur Verwaltung

Wichtig: Die Einwilligung muss freiwillig, informiert, unmissverständlich und widerrufbar sein. Eine vorausgefüllte Checkbox auf dem Anmeldeformular reicht nicht aus. Und: Die Einwilligung darf nicht zur Voraussetzung für die Betreuung gemacht werden („Koppelungsverbot“, Art. 7 Abs. 4).

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

In bestimmten Fällen kann sich die OGS auf ein berechtigtes Interesse berufen – etwa bei der Videoüberwachung des Eingangsbereichs aus Sicherheitsgründen oder bei der Dokumentation von Vorfällen. Allerdings ist bei Kinderdaten besondere Vorsicht geboten: Die Interessen des Kindes und der Eltern überwiegen in der Regel. Jeder Einzelfall erfordert eine sorgfältige Interessenabwägung.

Beispiel: Die Einrichtung möchte den Eingangsbereich per Kamera überwachen, weil es zu Vorfällen mit unbefugten Personen kam. Hier muss abgewogen werden: Ist die Kamera verhältnismäßig? Gibt es mildere Mittel (z. B. eine Klingel mit Gegensprechanlage)? Werden die Aufnahmen zeitnah gelöscht?

Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO)

Bestimmte Datenverarbeitungen sind gesetzlich vorgeschrieben. Die Aufsichtspflicht (Paragraph 832 BGB) erfordert eine Dokumentation der Anwesenheit. Die gesetzliche Unfallversicherung verlangt die Erfassung von Unfällen und beteiligten Kindern. Steuerliche Pflichten erfordern die Aufbewahrung von Abrechnungsdaten. In diesen Fällen ist keine Einwilligung nötig – die gesetzliche Pflicht ist die Rechtsgrundlage.

Die wichtigsten DSGVO-Pflichten im Überblick

Die DSGVO legt Verantwortlichen – also dem Träger der OGS – eine Reihe konkreter Pflichten auf. Die wichtigsten im Überblick:

Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Für die OGS bedeutet das: Sie müssen dokumentieren, welche Daten Sie zu welchem Zweck verarbeiten, auf welcher Rechtsgrundlage, wer Zugriff hat, wie lange die Daten gespeichert werden und ob sie an Dritte weitergegeben werden. Dieses Verzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Ein typischer Eintrag könnte lauten: „Anwesenheitserfassung der Betreuungskinder – Zweck: Erfüllung der Aufsichtspflicht – Rechtsgrundlage: Betreuungsvertrag – Betroffene: Betreuungskinder – Löschfrist: 2 Jahre nach Betreuungsende.“

Informationspflicht gegenüber Eltern (Art. 13/14)

Eltern müssen bei der Datenerhebung umfassend informiert werden: Wer ist verantwortlich? Welche Daten werden erhoben? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Wie lange werden die Daten gespeichert? Welche Rechte haben die Betroffenen? In der Praxis geschieht dies am besten über ein Datenschutz-Informationsblatt, das bei der Anmeldung ausgehändigt wird. Viele Einrichtungen versäumen diese Pflicht oder verwenden veraltete Vorlagen, die nicht DSGVO-konform sind.

Löschpflicht und Aufbewahrungsfristen

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Verlässt ein Kind die OGS, müssen seine Daten nach Ablauf etwaiger Aufbewahrungsfristen gelöscht werden. Für Abrechnungsdaten gelten in der Regel steuerliche Aufbewahrungsfristen von 10 Jahren, für pädagogische Dokumentation oft 3–5 Jahre. Anwesenheitslisten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, sollten spätestens 2 Jahre nach Betreuungsende gelöscht werden. Ein konkretes Löschkonzept mit definierten Fristen pro Datenkategorie ist Pflicht.

Datenschutz-Folgenabschätzung (Art. 35)

Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringt, muss vorab eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Bei Kinderdaten kann das schnell der Fall sein – etwa bei der Einführung eines neuen digitalen Verwaltungssystems, das Gesundheitsdaten verarbeitet, oder bei Videoüberwachung. Die DSFA dokumentiert die Risiken, bewertet sie und legt Gegenmaßnahmen fest.

Technische und organisatorische Maßnahmen (Art. 32)

Die OGS muss angemessene Maßnahmen zum Schutz der Daten treffen – sowohl technisch als auch organisatorisch. Dazu gehören:

  • Technisch: Verschlüsselung gespeicherter Daten, Passwortschutz für Computer und Tablets, aktuelle Software-Updates, gesicherte WLAN-Netzwerke, regelmäßige Backups
  • Organisatorisch: Zugriffsrechte nur für befugte Personen, Schulung des Personals, verschlossene Aktenschränke für Papierunterlagen, klare Vertretungsregelungen, Verpflichtung zur Vertraulichkeit

Der Grundsatz lautet: Je sensibler die Daten, desto höher die Schutzmaßnahmen. Gesundheitsdaten und Sorgerechtsregelungen erfordern ein höheres Schutzniveau als die Gruppenzugehörigkeit eines Kindes.

Meldepflicht bei Datenpannen (Art. 33/34)

Geht ein USB-Stick mit Kinderdaten verloren, wird eine E-Mail mit Gesundheitsinformationen an den falschen Empfänger geschickt oder wird ein Laptop gestohlen, liegt eine Datenpanne (Verletzung des Schutzes personenbezogener Daten) vor. Diese muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die Betroffenen besteht. Besteht ein hohes Risiko, müssen auch die betroffenen Eltern informiert werden. Die Einrichtung braucht daher einen klar definierten Prozess: Wer meldet? An wen? Welche Informationen werden dokumentiert?

Typische Datenschutz-Fehler in der OGS

In der Praxis begegnen bestimmte Datenschutzverstöße immer wieder. Die meisten passieren nicht aus böser Absicht, sondern aus Unwissenheit oder Bequemlichkeit. Hier die häufigsten Fehler – und wie man sie vermeidet:

WhatsApp-Gruppen mit Eltern

Viele OGS-Einrichtungen kommunizieren über WhatsApp-Gruppen mit Eltern. Das Problem: WhatsApp gehört zu Meta (ehemals Facebook) und übermittelt Metadaten und Kontaktinformationen an Server in den USA. Allein durch die Nutzung von WhatsApp werden die Telefonnummern aller Gruppenmitglieder an Meta übermittelt – ohne deren Einwilligung. Das ist ein Verstoß gegen die DSGVO. Besser: Nutzung eines DSGVO-konformen Messengers (z. B. Threema, Signal) oder Kommunikation per E-Mail mit BCC.

Offene Papierlisten auf dem Tisch

Anwesenheitslisten, die offen auf dem Tisch im Eingangsbereich liegen, sind für jeden einsehbar – andere Eltern, Besucher, Handwerker. Damit werden personenbezogene Daten unbefugten Dritten zugänglich gemacht. Lösung: Listen nach Gebrauch umdrehen oder wegräumen, besser: digitale Erfassung, die nur autorisiertes Personal einsehen kann.

Fotos von Kindern ohne Einwilligung

Eine Betreuerin fotografiert die Kinder beim Bastelprojekt und postet die Bilder in der Eltern-WhatsApp-Gruppe. Gleich zwei Verstöße: Fotos ohne Einwilligung und Verbreitung über einen nicht DSGVO-konformen Kanal. Die Fotoeinwilligung muss vor der Aufnahme vorliegen, für jeden Veröffentlichungszweck gesondert erteilt werden und ist jederzeit widerrufbar.

Ungesicherte Excel-Tabellen auf privatem Laptop

Koordinatoren, die Kinderdaten in einer Excel-Tabelle auf dem privaten Laptop verwalten, verstoßen gleich mehrfach gegen die DSGVO: keine Verschlüsselung, kein Passwortschutz, keine Trennung von privaten und dienstlichen Daten, keine Kontrolle durch den Verantwortlichen, keine Löschung bei Personalwechsel. Wenn der Laptop gestohlen wird oder die Festplatte defekt ist, liegt eine meldepflichtige Datenpanne vor. Lösung: Dienstgeräte mit Verschlüsselung nutzen oder auf eine professionelle Verwaltungslösung umsteigen.

Keine Löschung nach Schuljahresende

Ein Kind verlässt die OGS – seine Daten bleiben jahrelang im System, im Ordner, in der Excel-Tabelle. Das verstößt gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist. Ohne ein definiertes Löschkonzept sammeln sich über die Jahre große Mengen nicht mehr benötigter Kinderdaten an – ein erhebliches Risiko bei einer Datenpanne.

Geteilte Passwörter für den Schul-Computer

Alle Betreuer nutzen dasselbe Passwort für den Computer im OGS-Büro. Das Passwort steht auf einem Post-it am Monitor. Bei einer Datenpanne lässt sich nicht nachvollziehen, wer auf die Daten zugegriffen hat. Lösung: Individuelle Benutzerkonten mit persönlichen Passwörtern. Falls das nicht möglich ist, zumindest ein starkes, regelmäßig geändertes Passwort, das nicht sichtbar notiert ist.

Checkliste: DSGVO-konform in der OGS

Die folgende Checkliste hilft OGS-Koordinatoren, die wichtigsten Datenschutz-Anforderungen systematisch umzusetzen:

  • Betreuungsvertrag prüfen: Enthält der Vertrag eine Datenschutzklausel? Werden die Rechtsgrundlagen für die Datenverarbeitung benannt? Werden die Eltern über ihre Rechte informiert?
  • Einwilligungen einholen: Liegen für Fotos, Gesundheitsdaten und ggf. digitale Tools gesonderte Einwilligungserklärungen vor? Sind diese freiwillig, informiert und widerrufbar?
  • Verarbeitungsverzeichnis anlegen: Dokumentieren Sie alle Datenverarbeitungen: Welche Daten, welcher Zweck, welche Rechtsgrundlage, welche Löschfrist?
  • Datenschutz-Informationsblatt erstellen: Händigen Sie Eltern bei der Anmeldung ein verständliches Informationsblatt aus, das alle Pflichtangaben nach Art. 13 DSGVO enthält.
  • Löschkonzept erstellen: Definieren Sie für jede Datenkategorie eine Aufbewahrungsfrist und einen Löschprozess. Prüfen Sie regelmäßig, ob Daten gelöscht werden müssen.
  • Team schulen: Schulen Sie alle Mitarbeiter mindestens einmal jährlich zu Datenschutz-Grundlagen: Was darf man, was nicht? Worauf muss man im Alltag achten?
  • Technische Maßnahmen umsetzen: Passwortschutz für alle Geräte, Verschlüsselung sensibler Daten, aktuelle Software, gesichertes WLAN.
  • Organisatorische Maßnahmen umsetzen: Verschlossene Aktenschränke, Zugriffsrechte nur für befugtes Personal, Vertraulichkeitsvereinbarungen für alle Mitarbeiter.
  • Datenpannen-Prozess definieren: Wer meldet eine Datenpanne? An wen (Datenschutzbeauftragter, Aufsichtsbehörde)? Innerhalb welcher Frist? Welche Informationen werden dokumentiert?
  • Datenschutzbeauftragten benennen: Öffentliche Stellen (kommunale Träger) müssen einen Datenschutzbeauftragten haben. Aber auch private Träger brauchen einen, wenn sie regelmäßig sensible Daten verarbeiten – was in der OGS der Fall ist.

Digitale Verwaltung und Datenschutz

Auf den ersten Blick scheint es widersprüchlich: Mehr Digitalisierung und mehr Datenschutz gleichzeitig? Tatsächlich kann der Einsatz professioneller digitaler Verwaltungstools den Datenschutz in der OGS erheblich verbessern – wenn das Tool richtig gewählt ist.

Verschlüsselung statt offene Aktenordner

Papierunterlagen in einem Ordner sind für jeden zugänglich, der den Ordner in die Hand nimmt. Ein digitales System mit AES-256-Verschlüsselung schützt die Daten so, dass sie ohne Autorisierung unlesbar sind – selbst wenn das Gerät gestohlen wird. Das ist ein Quantensprung in der Datensicherheit.

Zugriffsrechte statt „jeder liest mit“

Beim Papierordner kann jeder, der Zugang zum Büro hat, alle Daten einsehen – inklusive Sorgerechtsregelungen und Gesundheitsinformationen. Digitale Systeme ermöglichen differenzierte Zugriffsrechte: Die Praktikantin sieht die Anwesenheitsliste, aber nicht die Gesundheitsdaten. Der Aushilfsbetreuer sieht die Abholberechtigungen seiner Gruppe, aber nicht die Sorgerechtsunterlagen.

Automatische Löschung statt manuelles Schreddern

Löschfristen manuell einzuhalten erfordert Disziplin und Erinnerung. In der Praxis bleiben Akten jahrelang liegen, weil niemand daran denkt. Professionelle digitale Systeme können Daten nach Ablauf der Aufbewahrungsfrist automatisch löschen oder den Verantwortlichen an die anstehende Löschung erinnern.

Nachvollziehbarkeit statt Ratespiel

Wer hat wann die Abholberechtigung für Mia geändert? Bei Papierformularen ist das nicht nachvollziehbar. Digitale Systeme protokollieren Änderungen mit Zeitstempel und können im Streitfall als Nachweis dienen, dass die Einrichtung sorgfältig gearbeitet hat.

Serverstandort und Auftragsverarbeitung

Entscheidend bei der Wahl eines digitalen Tools ist der Serverstandort. Daten von Kindern sollten ausschließlich auf Servern innerhalb der EU – idealerweise in Deutschland – gespeichert werden. Zudem muss mit dem Anbieter ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) geschlossen werden, der regelt, wie der Anbieter mit den Daten umgeht.

Die App OGS Verwaltung wurde speziell für die Anforderungen der Offenen Ganztagsschule entwickelt – mit Datenschutz als Grundprinzip: Alle Daten werden mit AES-256 verschlüsselt, auf deutschen Servern gespeichert und sind DSGVO-konform. Es gibt kein Tracking, keine Werbung und keine Weitergabe von Daten an Dritte. Wenn ein Kind die OGS verlässt, können alle seine Daten vollständig gelöscht werden.

Fazit

Datenschutz in der OGS ist keine abstrakte Pflichtübung, sondern eine konkrete Verantwortung gegenüber den Kindern und Familien, die der Einrichtung ihr Vertrauen schenken. Die DSGVO gibt den Rahmen vor – aber die Umsetzung liegt bei den Koordinatoren und Betreuern vor Ort.

Die gute Nachricht: Die meisten Anforderungen sind mit überschaubarem Aufwand umsetzbar. Ein sauberer Betreuungsvertrag, ein Verarbeitungsverzeichnis, klare Einwilligungen, ein Löschkonzept und regelmäßige Team-Schulungen bilden das Fundament. Wer zusätzlich auf professionelle digitale Werkzeuge setzt, kann den Datenschutz nicht nur erfüllen, sondern deutlich übertreffen – mit verschlüsselter Speicherung, Zugriffsrechten und automatischer Löschung.

Gerade mit dem Rechtsanspruch auf Ganztagsbetreuung ab 2026 und steigenden Kinderzahlen wird professioneller Datenschutz in der OGS noch wichtiger. Jetzt ist der richtige Zeitpunkt, die eigenen Prozesse zu prüfen und auf ein solides Fundament zu stellen.

Weitere Artikel

Kinder beim Basteln in der OGS
Digital

Anwesenheitsliste in der OGS: Von Papier zu digital

 Betreuerin mit Grundschulkindern im Klassenzimmer
Alltag

Abholberechtigung in der OGS: Sicherheit und Organisation