Uncategorized

Sinn dieses Blogs

Alles, was nicht in 140 Zeichen gepackt werden kann, soll hier erscheinen.

Advertisements
Standard
Uncategorized

Warum mit dem Inkrafttreten der DSGVO in Deutschland keine Abmahnwelle droht

In einem Thread auf Twitter zeigt @RAinDiercks sehr anschaulich auf, warum am 25.05.2018 keine neue sogenannte „Abmahnwelle“ droht https://mobile.twitter.com/RAinDiercks/status/998096178972536833

Als ein Beispiel ihrer überzeugenden Darstellung, sei folgender Punkt zitiert:

„… Schon jetzt können alle den Vorschriften des TMG oder des BDSG widersprechenden Datenschutzerklärungen abgemahnt werden. Das passiert sogar. Aber offensichtlich so selten, dass es nicht bekannt ist.“

Und wieder zeigt sich eine Parallele zur Debatte um die Reform des Urheberrechts: Wer schon bisher relativ rechtskonform gehandelt hat, braucht sich keine großen Sorgen zu machen. Für denjenigen, für den bisher „Datenschutz“ noch ein Fremdwort ist, sollte sich jetzt spätestens Gedanken darüber machen, wie er die Verarbeitung von personenbezogenen Daren rechtmäßig gestalten kann.

Standard
Uncategorized

Was sich noch ändern muss

Seit dem Inkrafttreten des UrhWissG am 1.3.2018 habe ich nun ja schon einige Veranstaltungen zu den Chancen und Risiken der neuen Vorschriften durchgeführt. Dabei habe ich die Beobachtung gemacht, dass viele potentielle AnwenderInnen der Normen noch sehr unsicher sind, da der Umgang mit der neuen Situation natürlich noch ungewohnt ist. Allerdings muss man sich auch intensiv mit den Paragraphen befassen und sich auch noch die Möglichkeit zugestehen, Fehler bei der Auslegung und der Anwendung machen zu dürfen. Das ist ja auch alles nicht so schlimm, aber man muss sich schon trauen. Zunächst sollte man beispielsweise versuchen, den Begriff der „Sitzung“ auszulegen. Das kann nach zeitlicher Dauer, aber auch nach Umfang der vervielfältigten Medien erfolgen.

Den Kopiendirektversand sollte man zumindest auch einmal in Erwägung ziehen. Und die zahlreichen Vervielfältigungsmöglichkeiten rufen gerade zu nach Umsetzung.

Was ist darüber hinaus noch wünschenswert? Neben der unausweichlichen E-Lending Debatte, sollte man langfristig noch folgende Ziele im Auge behalten, die exemplarisch in diesem Werk http://blogs.sub.uni-hamburg.de/hup/products-page/publikationen/153/ behandelt werden:

1. Verkürzung der Schutzfrist von 70 Jahren, damit beispielsweise Massendigitalisierungen im Bereich von Presseartikeln vereinfacht werden.

2. Vereinfachung und Steigerung der Bereitwilligkeit von kollektiver Rechtewahrnehmung durch Verwertungsgesellschaften.

3. Schaffung von Bereichsausnahmen für Museen und Bibliotheken, Kulturgüter öffentlich zugänglich zu machen, ohne Vervielfältigungsmöglichkeiten für die Betrachter.

Auch wenn es sich dabei noch um Zukunftsmusik handelt, lohnt es sich, darüber schon einmal nachzudenken…

Standard
Uncategorized

Was Bibliotheken bei der DSGVO beachten sollten

Zur Abwechslung also einmal ein Thema, das nichts mit Urheberrecht zu tun hat, das aber doch von Relevanz für Bibliotheken ist. Zunächst einmal, vielen Dank für die verdienstvolle Handreichung   http://www.repo.uni-hannover.de/bitstream/handle/123456789/3099/DSGVO_Handreichung_28032018_final.pdf?sequence=1&isAllowed=y von Brehm/Knaf/Talke. Sie kann (und will) jedoch nicht alle Fragen zur DSGVO beantworten. Das kann dieser Blogbeitrag auch nicht. Er kann, wie auch alle Beiträge zum UrhWissG , nur versuchen dazu einzuladen, sich mit seiner bisherigen datenschutzrechtlichen Verfahrensweise kritisch auseinander zu setzen. Im Anschluss sollte man schon bisher unzulängliche oder falsche Handlungen einstellen und durch rechtmäßige ersetzen.

Eine wichtige Bemerkung sei vorab gestattet:

Bei allen datenschutzrechtlich relevanten Verfahren sind die behördlichenDatenschutzbeauftragten zu informieren! Sie sind diejenigen, die die Bibliotheken beraten und unterstützen oder ihnen ihre Bedenken mitteilen müssen!

I. Warum ist die DSGVO für Bibliotheken relevant?

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 ändert sich das Normgefüge EU-weit. Während die bisherigen EU-Regel, die Datenschutz-Richtlinie den Mitgliedstaaten einen weiten Spielraum für ihre nationale Gesetzgebung ließen, hat die DSGVO überwiegend unmittelbare Wirkung und bedarf weitgehend gar keines nationalen Gesetzes mehr.

Nun zu einem wichtigen Begriff: personenbezogene Daten.

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr.1 DSGVO definiert:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Der Begriff ist also denkbar weit formuliert, z.B. fällt darunter:

  • die Information, dass eine bestimmte Person registrierte(r) Benutzer(In) der Bibliothek ist;
  • ob bzw. wann eine Person den Lesesaal betreten hat (wenn dies erfasst wird);
  • wann die betroffene Person ein Medium ausgeliehen oder aus dem Magazin bestellt hat.

Die DSGVO gibt für die Verarbeitung personenbezogener Daten  bestimmte Prinzipien vor, die teilweise auch jetzt schon gültig sind:

Durch Artikel 5 Absatz 1 der dsgvo werden sechs Grundsätze für die Verarbeitung personenbezogener Daten verbindlich eingeführt:

  • „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (wird u.a. durch die Informations- und Auskunftspflichten konkretisiert)
  • „Zweckbindung“ (Datenerhebung und-verarbeitung nur für festgelegte, eindeutige und legitime Zwecke )
  • „Datenminimierung“ (dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt)
  • „Richtigkeit“ (auf dem neuesten Stand;)
  • „Speicherbegrenzung“ (heißt: Anonymisierung so früh wie möglich;)
  • „Integrität und Vertraulichkeit“ (Sicherheit durch technische und organisatorische Schutzmaßnahmen).

Nach Artikel 5 Absatz 2 besteht eine „Rechenschaftspflicht“ des nach Absatz 1 Verantwortlichen (…gegenüber Datenschutzbeauftragten und Aufsichtsbehörden)!

II. Besteht Handlungsbedarf für Bibliotheken?

Bibliotheken haben dafür Sorge zu tragen, dass die sechs verbindlich eingeführten Grundsätze zur Verarbeitung personbezogener Daten ordnungsgemäß umgesetzt werden! Darüber hinaus bestehen folgende Pflichten:

  • Nach Art. 25 DSGVO hat die datenverarbeitende („verantwortliche“) Stelle den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sicherzustellen. Neben geeigneter technischer und organisatorischer Maßnahmen kann dazu u.a. die Pseudonymisierung gehören, die, auch wenn sie den Personenbezug nicht aufhebt, trotzdem die Identifizierung der betroffenen Person durch eine Verschlüsselung erschwert!
  • Im Rahmen der Technikgestaltung muss auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das Verfahren dient dem nach Art. 25 Abs. 1 DSGVO vorgegebenen Prinzip Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu gewährleisten, indem vor Einführung eines Verfahrens Risiken bewertet und technische und organisatorische Abhilfemaßnahmen aufeinander abgestimmt werden, um die festgestellten Risiken zu minimieren.
  • Die Verarbeitung der Daten muss rechtmäßig nach Art. 6 DSGVO sein. In der Regel wird die Verarbeitung aufgrund der Einwilligung des Nutzers nach Art. 6 Abs. 1 lit a gerechtfertigt und damit rechtmäßig sein. Sofern Bibliotheken öffentlich-rechtlich organisiert sind, ist die Benutzungsordnung Rechtsgrundlage für alle im Aufgabenbereich der Bibliothek liegenden Verarbeitungen von Nutzerdaten. Die Benutzungsordnung erkennt der Nutzer im Rahmen der Zulassung zur Nutzung an. Bei privat-rechtlich organisierten Bibliotheken wird ein Nutzungsvertrag geschlossen.
  • Art 30 Abs. 1 DSGVO verpflichtet Unternehmen und Behörden zur Führung eines „Verzeichnisses von Verarbeitungstätigkeiten“ Das Verzeichnis von Verarbeitungstätigkeiten ist daher nicht mehr – wie etwa bisher das Verfahrensverzeichnis nach Art. 26 Abs. 1 BayDSG – rechtlich zwingend vom behördlichen Datenschutzbeauftragten zu führen. Der Behördenleiter kann aber die Führung dieses Verzeichnisses dem behördlichen Datenschutzbeauftragten nach Art. 38 Abs. 6 DSGVO behördenintern als besondere Aufgabe übertragen, da entgegenstehende Interessenskonflikte nicht erkennbar sind.
  • Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO Die betroffene Person hat nach Art.15 DSGVO (Ergänzend: § 34 BDSG-2018 bzw. entsprechende Landesgesetze) das Recht, Auskunft darüber zu verlangen, ob die Einrichtung Daten über sie verarbeitet und welche das sind. Darüber hinaus ist sie über ihr zustehende Rechte, wie z. B. das Recht auf Berichtigung und Löschung der Daten zu informieren.Wesentlicher Inhalt der Auskunft nach Art. 15 DSGVO sind:
    • die Verarbeitungszwecke;
    • die Kategorien personenbezogener Daten, die verarbeitet werden (durchaus relevant, weil von Ausleihdaten besondere Kategorien i.S.d. Art.9 Abs.1 DSGVO (z.B. politische Meinungen, religiöse oder weltanschauliche Überzeugungen) berührt sein können);
    • falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.
  • Weitere Rechte der BetroffenenArtikel 16 DSGVO Recht auf Berichtigung
  • Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ausnahmsweise kann auch der Anspruch bestehen, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
  • Artikel 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
  • a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

  • d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 (EINWILLIGUNG durch ein Kind) erhoben.

III. Die Stellung des Datenschutzbeauftragten:

Nach Artikel 37 Absatz 1 DSGVO hat der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen.

Bei allen datenschutzrechtlich relevanten Verfahren ist allerdings der behördliche Datenschutzbeauftragte zu informieren. Er ist derjenige, der die Bibliotheken beraten und unterstützen oder ihnen seine Bedenken mitteilen muss.

Es ist allerdings von der Struktur der Einrichtung abhängig, welche Aufgabe und Stellung der Datenschutzbeauftragte der Einrichtung hat. (z. B. Herder Institut als Teil der Leibnitz Gemeinschaft)

IV. Die Verantwortlichkeit – Rechtsfolgen

Bei der Verarbeitung personenbezogener daten können, wie überall, fehler passieren. Folgende Rechtsfolgen können eintreten:

A) Fehlerhafte Einwilligung des Betroffenen:

Verstöße gegen einwilligungsspezifische Vorgaben der DSGVO führen zur umfassenden Ungültigkeit der betroffenen Teile der Einwilligung. Wie weit die Unwirksamkeit reicht, muss durch Auslegung ermittelt werden. Alle darauf beruhenden Verarbeitungen von personenbezogenen Daten sind ohne Rechtsgrundlage erfolgt. Ist die Einwilligung vollumfänglich unwirksam, sind die erhobenen Daten zu löschen.B) Unterlassene Rechtsfolgeabschätzung

Durchführung der Folgenabschätzung ist keine Voraussetzung für die Rechtmäßigkeit der konkreten Verarbeitung. Unterlassen der Durchführung kann aber einen Verstoß gegen Art. 25 Abs. 1 begründen.

Verstöße gegen Art. 35 sind bußgeldbewehrt (Art. 83 Abs. 4 a), begründen aber keine Schadensersatzpflicht gegenüber der betroffenen Person.

Bußgelder können gemäß § 43 Abs. 3 BDSG nicht gegen öffentliche Institutionen verhängt werden. Dies gilt jedoch nicht für Einrichtungen, die mit ihren Dienstleistungen am Wettbewerb teilnehmen, § 43 Abs. 2 BDSG30, das wird aber auf die meisten Bibliotheken nicht zutreffen.

C) Meldepflicht bei Datenpannen und Datenschutzverstößen (Art. 33 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

V. Zusammenfassung:

1.Bibliotheken müssen die sechs Grundprinzipienfür die Verarbeitung personenbezogener Daten bei den Verarbeitungsvorgängen implementieren

„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“

„Zweckbindung“

„Datenminimierung“

„Richtigkeit“

„Speicherbegrenzung“

„Integrität und Vertraulichkeit“ und Rechenschaftspflicht ernst nehmen!

2. Falls die personenbezogenen Daten selbst verarbeitet werden, ist ein Datenschutzbeauftragter zu bestellen!

  • z. B. § 32a DSG NRW – Behördliche Datenschutzbeauftragte

(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen.

3. Es besteht eine Meldepflicht bei Datenpannen und Datenschutzverstößen (Art. 33 DSGVO)

– Zuständige Aufsichtsbehörde ist entweder Landesbeauftragte(r) für Datenschutz und Informationsfreiheit oder Bundesbeauftragte(r) Für den Datenschutz und die Informationsfreiheit.

Standard
Uncategorized

Was die DSM Richtlinie erwarten lässt

Noch ist es für Bibliotheken nicht zu spät, sich Gehör zu verschaffen. Und das ist auch dringend nötig. Denn was der Bericherstatter für die Richtlinie derzeit plant, dem Parlament zur Abstimmung vorzulegen, ist alles andere als erfreulich. Neben anderen Verschlechterungen hinsichtlich der möglichen Ausnahmen für Bildung und Wissenschaft, wird insbesondere die Einführung eines Leistungsschutzrechts für Presseverlage allgemein kritisiert https://www.ivir.nl/publicaties/download/Academics_Against_Press_Publishers_Right.pdf.

Bitte verfolgen Sie die regelmäßigen Updates von EBLIDA und melden Sie sich zugunsten der Bibliotheken zu Wort!

http://www.eblida.org/copyright-reform/our-position-background.html

Standard
Uncategorized

Bitte den Gesetzestext genau lesen!

Die Verunsicherung hinsichtlich der Anwendungsmöglichkeiten des § 60e UrhG geht weiter. Woran liegt das? Zum Teil sicherlich an den juristischen Formulierungen, an die man sich erst einmal gewöhnen muss. Zu einem anderen, nicht geraden kleinen, Teil aber auch daran, dass der Gesetzestext nicht vorliegt oder nicht mit der notwendigen Sorgfalt gelesen wird.

Ein Beispiel: Die Bereichsausnahme für Presse und Kioskzeitschriften ist in Absatz 4 der Vorschrift nicht komplett umgesetzt worden. Das bedeutet, Zeitungen dürfen an den Terminals angezeigt (zugänglich gemacht) werden; ausgedruckt oder downloaded hingegen NICHT!

Erschienene Werke in Absatz 5 sind gleichzusetzen mit veröffentlichten Werken; Briefe aus Nachlässen sind weder erschienenen, noch wurden sie in der Regel veröffentlicht.

Allerdings dürfen Bibliotheken nach Absatz 2 Vervielfältigungsstücke von Zeitungen verleihen. Auf das Format und auf noch etwas anderes kommt es dabei nicht an.

Also bitte: Lesen Sie die Vorschriften und setzten Sie Sie kreativ um!

Standard
Uncategorized

Die nicht kommerzielle Nutzung von Texten Teil 2

Es gibt also immer noch Bibliotheken und Verbünde die meinen von einem Besteller einer Aufsatzkopie eine Erklärung verlangen zu müssen, dass sie/er die Kopie ausschließlich zu nicht kommerziellen Zwecken verwenden wird. Woraus wird diese Verpflichtung genommen? Wenn man sich die Gesetzesbegründung in Bundestagsdrucksache 18/12329 auf Seite 36 durchliest steht dort vielmehr, .“…Erlaubt sind daher auch Nutzungen für den Unterricht an Privatschulen.“ Entgegen der Ansicht mancher Bibliotheken kommt es also nicht auf die Finanzierung der Einrichtung oder der Erwerbsquelle des Nutzers an, sondern ob ein Medium konkret für eine kommerzielle Nutzung verwendet wird. Da dies nicht der Regelfall ist, ist eine Erklärung also nur erforderlich, wenn ausnahmsweise eine kommerzielle Nutzung beabsichtigt ist. Warum also dieser vorauseilende Gehorsam, wenn er nicht notwendig ist? Wozu soll es denn in vier Jahren eine Evaluation des Gesetzes geben, wenn man dann unklare Regelungen nicht thematisiert, weil man sie vorher schon zu Lasten seiner Nutzer ausgelegt hat? Selbst im beck Online Kommentar zum UrhG wird die Vorschrift entsprechend der Bundestagsdrucksache ausgelegt (Rn. 10 zu § 60a) Und an dieser Stelle ist eine bibliotheksfreundliche Auslegung der Vorschrift sicherlich keine Selbstverständlichkeit.

Standard
Uncategorized

Referentenentwurf zur Umsetzung der Marrakesch Richtlinie veröffentlicht

Vorgestern hat das BMJV seinen Referentenentwurf zu „Marrakesch“ veröffentlicht. https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RefE_Umsetzung_Marrakesch_Richtlinie.pdf;jsessionid=274F26149CB88AA31B9836276053C82B.1_cid297?__blob=publicationFile&v=1

Ziel des Entwurfs ist es, Menschen, die blind sind oder unter einer Seh- oder Lesebehinderung leiden, einen barrierefreien Zugang zu Literatur oder sonstigen Sprachwerken zu ermöglichen.

Die Marrakesch Richtlinie wiederum dient der Umsetzung des Marrakesh Treaty, eine Vereinbarung, die im Jahre 2013 von den WIPO Mitgliedsstaaten unterzeichnet wurde.

http://www.wipo.int/treaties/en/ip/marrakesh/ Dies war seit langer Zeit einmal wieder eine Übereinkunft, auf die sich die WIPO Staaten einigen konnten. Allerdings macht diese Übereinkunft es nicht gerade leichter, bei den laufenden SCCR Verhandlungen zu einem Abschluss zu kommen. http://www.wipo.int/policy/en/sccr/

Viele NGOs machen die Beobachtung, dass Staaten der Ansicht sind, mit dem Marrakesh Treaty einen ausreichenden Beitrag zur Harmonisierung des Welt Urheberrechts geleistet zu haben. Sie sehen es als ausreichenden humanitären Beitrag an, Blinden und Sehbehinderten eine Verbesserung des Zugangs zu den genannten Medien zu ermöglichen. Dass der Zugang erleichtert wird, ist sicherlich zutreffend. https://irights.info/artikel/was-bringt-der-wipo-blindenvertrag/15943 Mit diesem Argument jedoch eine weitere Harmonisierung der weltweiten Urheberrechtsregelungen abzulehnen, ist grotesk. Denn auch im Bereich von Bildung und Wissenschaft ist Globalisierung längst kein Fremdwort mehr. So sollte es doch in der heutigen Zeit eigentlich eine Selbstverständlichkeit sein, einen grenzüberschreitenden Dokumentenaustausch auf elektronische Weise zu ermöglichen. Doch weit gefehlt: Dies ist eine der Hauptstreitigkeiten bei den Sitzungen, die regelmäßig in Genf stattfinden. http://www.wipo.int/copyright/en/limitations/libraries_and_archives.html Man kann nur hoffen, dass insbesondere die EU Vertreter bald zur Vernunft kommen und einsehen, dass die technischen Entwicklungen ohnehin immer weiter voranschreiten und durch mangelnde Regelungen nur Piraterie und andere Phänomene fördert. Oder hat dort etwa noch nie etwas von Sci Hub gehört?

Standard