Uncategorized

Was Bibliotheken bei der DSGVO beachten sollten

Zur Abwechslung also einmal ein Thema, das nichts mit Urheberrecht zu tun hat, das aber doch von Relevanz für Bibliotheken ist. Zunächst einmal, vielen Dank für die verdienstvolle Handreichung   http://www.repo.uni-hannover.de/bitstream/handle/123456789/3099/DSGVO_Handreichung_28032018_final.pdf?sequence=1&isAllowed=y von Brehm/Knaf/Talke. Sie kann (und will) jedoch nicht alle Fragen zur DSGVO beantworten. Das kann dieser Blogbeitrag auch nicht. Er kann, wie auch alle Beiträge zum UrhWissG , nur versuchen dazu einzuladen, sich mit seiner bisherigen datenschutzrechtlichen Verfahrensweise kritisch auseinander zu setzen. Im Anschluss sollte man schon bisher unzulängliche oder falsche Handlungen einstellen und durch rechtmäßige ersetzen.

Eine wichtige Bemerkung sei vorab gestattet:

Bei allen datenschutzrechtlich relevanten Verfahren sind die behördlichenDatenschutzbeauftragten zu informieren! Sie sind diejenigen, die die Bibliotheken beraten und unterstützen oder ihnen ihre Bedenken mitteilen müssen!

I. Warum ist die DSGVO für Bibliotheken relevant?

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 ändert sich das Normgefüge EU-weit. Während die bisherigen EU-Regel, die Datenschutz-Richtlinie den Mitgliedstaaten einen weiten Spielraum für ihre nationale Gesetzgebung ließen, hat die DSGVO überwiegend unmittelbare Wirkung und bedarf weitgehend gar keines nationalen Gesetzes mehr.

Nun zu einem wichtigen Begriff: personenbezogene Daten.

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr.1 DSGVO definiert:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Der Begriff ist also denkbar weit formuliert, z.B. fällt darunter:

  • die Information, dass eine bestimmte Person registrierte(r) Benutzer(In) der Bibliothek ist;
  • ob bzw. wann eine Person den Lesesaal betreten hat (wenn dies erfasst wird);
  • wann die betroffene Person ein Medium ausgeliehen oder aus dem Magazin bestellt hat.

Die DSGVO gibt für die Verarbeitung personenbezogener Daten  bestimmte Prinzipien vor, die teilweise auch jetzt schon gültig sind:

Durch Artikel 5 Absatz 1 der dsgvo werden sechs Grundsätze für die Verarbeitung personenbezogener Daten verbindlich eingeführt:

  • „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (wird u.a. durch die Informations- und Auskunftspflichten konkretisiert)
  • „Zweckbindung“ (Datenerhebung und-verarbeitung nur für festgelegte, eindeutige und legitime Zwecke )
  • „Datenminimierung“ (dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt)
  • „Richtigkeit“ (auf dem neuesten Stand;)
  • „Speicherbegrenzung“ (heißt: Anonymisierung so früh wie möglich;)
  • „Integrität und Vertraulichkeit“ (Sicherheit durch technische und organisatorische Schutzmaßnahmen).

Nach Artikel 5 Absatz 2 besteht eine „Rechenschaftspflicht“ des nach Absatz 1 Verantwortlichen (…gegenüber Datenschutzbeauftragten und Aufsichtsbehörden)!

II. Besteht Handlungsbedarf für Bibliotheken?

Bibliotheken haben dafür Sorge zu tragen, dass die sechs verbindlich eingeführten Grundsätze zur Verarbeitung personbezogener Daten ordnungsgemäß umgesetzt werden! Darüber hinaus bestehen folgende Pflichten:

  • Nach Art. 25 DSGVO hat die datenverarbeitende („verantwortliche“) Stelle den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sicherzustellen. Neben geeigneter technischer und organisatorischer Maßnahmen kann dazu u.a. die Pseudonymisierung gehören, die, auch wenn sie den Personenbezug nicht aufhebt, trotzdem die Identifizierung der betroffenen Person durch eine Verschlüsselung erschwert!
  • Im Rahmen der Technikgestaltung muss auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das Verfahren dient dem nach Art. 25 Abs. 1 DSGVO vorgegebenen Prinzip Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu gewährleisten, indem vor Einführung eines Verfahrens Risiken bewertet und technische und organisatorische Abhilfemaßnahmen aufeinander abgestimmt werden, um die festgestellten Risiken zu minimieren.
  • Die Verarbeitung der Daten muss rechtmäßig nach Art. 6 DSGVO sein. In der Regel wird die Verarbeitung aufgrund der Einwilligung des Nutzers nach Art. 6 Abs. 1 lit a gerechtfertigt und damit rechtmäßig sein. Sofern Bibliotheken öffentlich-rechtlich organisiert sind, ist die Benutzungsordnung Rechtsgrundlage für alle im Aufgabenbereich der Bibliothek liegenden Verarbeitungen von Nutzerdaten. Die Benutzungsordnung erkennt der Nutzer im Rahmen der Zulassung zur Nutzung an. Bei privat-rechtlich organisierten Bibliotheken wird ein Nutzungsvertrag geschlossen.
  • Art 30 Abs. 1 DSGVO verpflichtet Unternehmen und Behörden zur Führung eines „Verzeichnisses von Verarbeitungstätigkeiten“ Das Verzeichnis von Verarbeitungstätigkeiten ist daher nicht mehr – wie etwa bisher das Verfahrensverzeichnis nach Art. 26 Abs. 1 BayDSG – rechtlich zwingend vom behördlichen Datenschutzbeauftragten zu führen. Der Behördenleiter kann aber die Führung dieses Verzeichnisses dem behördlichen Datenschutzbeauftragten nach Art. 38 Abs. 6 DSGVO behördenintern als besondere Aufgabe übertragen, da entgegenstehende Interessenskonflikte nicht erkennbar sind.
  • Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO Die betroffene Person hat nach Art.15 DSGVO (Ergänzend: § 34 BDSG-2018 bzw. entsprechende Landesgesetze) das Recht, Auskunft darüber zu verlangen, ob die Einrichtung Daten über sie verarbeitet und welche das sind. Darüber hinaus ist sie über ihr zustehende Rechte, wie z. B. das Recht auf Berichtigung und Löschung der Daten zu informieren.Wesentlicher Inhalt der Auskunft nach Art. 15 DSGVO sind:
    • die Verarbeitungszwecke;
    • die Kategorien personenbezogener Daten, die verarbeitet werden (durchaus relevant, weil von Ausleihdaten besondere Kategorien i.S.d. Art.9 Abs.1 DSGVO (z.B. politische Meinungen, religiöse oder weltanschauliche Überzeugungen) berührt sein können);
    • falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.
  • Weitere Rechte der BetroffenenArtikel 16 DSGVO Recht auf Berichtigung
  • Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ausnahmsweise kann auch der Anspruch bestehen, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
  • Artikel 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
  • a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

  • d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 (EINWILLIGUNG durch ein Kind) erhoben.

III. Die Stellung des Datenschutzbeauftragten:

Nach Artikel 37 Absatz 1 DSGVO hat der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen.

Bei allen datenschutzrechtlich relevanten Verfahren ist allerdings der behördliche Datenschutzbeauftragte zu informieren. Er ist derjenige, der die Bibliotheken beraten und unterstützen oder ihnen seine Bedenken mitteilen muss.

Es ist allerdings von der Struktur der Einrichtung abhängig, welche Aufgabe und Stellung der Datenschutzbeauftragte der Einrichtung hat. (z. B. Herder Institut als Teil der Leibnitz Gemeinschaft)

IV. Die Verantwortlichkeit – Rechtsfolgen

Bei der Verarbeitung personenbezogener daten können, wie überall, Fehler passieren. Folgende Rechtsfolgen können eintreten:

A) Fehlerhafte Einwilligung des Betroffenen:

Verstöße gegen einwilligungsspezifische Vorgaben der DSGVO führen zur umfassenden Ungültigkeit der betroffenen Teile der Einwilligung. Wie weit die Unwirksamkeit reicht, muss durch Auslegung ermittelt werden. Alle darauf beruhenden Verarbeitungen von personenbezogenen Daten sind ohne Rechtsgrundlage erfolgt. Ist die Einwilligung vollumfänglich unwirksam, sind die erhobenen Daten zu löschen.

B) Unterlassene Rechtsfolgeabschätzung

Die Durchführung der Folgenabschätzung ist keine Voraussetzung für die Rechtmäßigkeit der konkreten Verarbeitung. Unterlassen der Durchführung kann aber einen Verstoß gegen Art. 25 Abs. 1 begründen.

Verstöße gegen Art. 35 sind bußgeldbewehrt (Art. 83 Abs. 4 a), begründen aber keine Schadensersatzpflicht gegenüber der betroffenen Person.

Bußgelder können gemäß § 43 Abs. 3 BDSG nicht gegen öffentliche Institutionen verhängt werden. Dies gilt jedoch nicht für Einrichtungen, die mit ihren Dienstleistungen am Wettbewerb teilnehmen, § 43 Abs. 2 BDSG30, das wird aber auf die meisten Bibliotheken nicht zutreffen.

C) Meldepflicht bei Datenpannen und Datenschutzverstößen (Art. 33 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

V. Zusammenfassung:

1.Bibliotheken müssen die sechs Grundprinzipienfür die Verarbeitung personenbezogener Daten bei den Verarbeitungsvorgängen implementieren

„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“

„Zweckbindung“

„Datenminimierung“

„Richtigkeit“

„Speicherbegrenzung“

„Integrität und Vertraulichkeit“ und Rechenschaftspflicht ernst nehmen!

2. Falls die personenbezogenen Daten selbst verarbeitet werden, ist ein Datenschutzbeauftragter zu bestellen!

  • z. B. § 32a DSG NRW – Behördliche Datenschutzbeauftragte

(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen.

3. Es besteht eine Meldepflicht bei Datenpannen und Datenschutzverstößen (Art. 33 DSGVO)

– Zuständige Aufsichtsbehörde ist entweder Landesbeauftragte(r) für Datenschutz und Informationsfreiheit oder Bundesbeauftragte(r) für den Datenschutz und die Informationsfreiheit.

Standard

6 Gedanken zu “Was Bibliotheken bei der DSGVO beachten sollten

  1. Matthias Razum schreibt:

    Sowohl hier wie bei dem Beitrag von Brehm/Knaf/Talke fehlt mir eine weitere, eigentlich offensichtliche Kategorie personenbezogener Daten: die Informationen zu Autoren in den Bibliothekskatalogen. Auf welcher rechtlichen Basis erfolgt hier die Verarbeitung der Daten und wie geht man mit dem Recht auf Löschung um?

    Gefällt mir

    • Sehr geehrter Herr Razum, um welche Informationen zu den Autoren geht es Ihnen denn? Wenn jemand ein Werk unter seinem Namen veröffentlicht können Sie davon ausgehen, dass sie/er eingewilligt hat, dass sein Name verknüpft mit dem Werk in einem Bibliothekskatalog erscheint. Mehr Informationen bedarf es nicht.

      Gefällt mir

      • Matthias Razum schreibt:

        Sehr geehrter Herr Hinte, vielen Dank für Ihre Antwort. Aus pragmatischer Sicht gebe ich Ihnen Recht, auch wenn ich die DS-GVO in dieser Hinsicht etwas anders interpretiere, gerade was die Aufklärung der der Autor/inn/en über Weitergabe und Verarbeitung in Systemen Dritter angeht (ich verweise nur auf die von mir sehr geschätzte Weitergabe von Katalogdaten über OAI-PMH oder als LOD-Dump). Das ist aber wohl zum aktuellen Zeitpunkt nicht abschließend zu klären.

        Aber wie gehe ich mit dem Recht auf Löschung um? Kann ich mich hier auf übergeordnete Bedeutung der Daten für die Forschung berufen oder muss ich tatsächlich Metadaten „verstümmeln“?

        Gefällt mir

      • Sehr geehrter Herr Razum, vielen Dank für Ihre Bemerkung. Wie antwortet der Jurist: Es kommt darauf an. Momentan geht die Gewichtung eher hin zum Datenschutz. Aber auch das kann sich wieder ändern. Versuchen Sie einfach, sich in die Lage des Autors zu versetzen und beurteilen Sie dann, welche Daten in den Metadaten unverzichtbar sind und welche eher zur Disposition des Autors gehören. Mit freundlichen Grüßen Oliver Hinte

        Gefällt mir

  2. Felix Lohmeier schreibt:

    Ein weiterer wichtiger Punkt sind die erweiterten Anforderungen an die Datenschutzerklärung auf den Webseiten. Ich bin noch auf der Suche nach einem kostenfreien Muster mit Textschnipseln. Hat jemand einen Tipp?

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s