Die Diskussion um den Datenschutz in Hochschulen und Bibliotheken fängt gerade erst an. Mit Anwendbarkeit der DSGVO im Mai 2018 ist vielen erst einmal die Bedeutung des Datenschutzes bewusst geworden. In einer Vielzahl von Betrieben, Behörden, Hochschulen und Bibliotheken wurde die DSGVO zum Anlass genommen, Verfahren und Prozesse neu zu strukturieren und den „Datenschutz“ mit einzubinden. In Bibliotheken und Hochschulen wurde dann häufig die Frage gestellt:
Betrifft uns das überhaupt? Und wenn ja, wie gehen wir damit um? Ich würde die Frage uneingeschränkt mit JA! beantworten. In Bibliotheken und Hochschulen wird eine große Anzahl von personenbezogenen Daten verarbeitet. Und dass dies in ordnungsgemäßer Weise erfolgt, ist eine der Zielrichtungen des Datenschutzrechts. Was sind denn nun Beispiele für die Verarbeitung von personenbezogenen Daten in diesen Bereichen? Dazu muss ich erst einmal wissen, was „personenbezogene Daten“ sind. Die DSGVO definiert den Begriff in Art. 4 Nr. 1 wie folgt:
Bei „personenbezogene Daten“ handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Als einfachstes Beispiel für die Verarbeitung von personenbezogenen Daten in einer Bibliothek fällt mir da die Entleihe und Rückgabe von Medien ein. Die Bibliothek erfasst, wie lange der Benutzer über das Medium verfügt hat und wie sie/er damit umgegangen ist (in welchem Zustand ist es in Bibliothek zurück gelangt). Die Erhebung dieser Daten ist datenschutzrechtlich zulässig. Datenschutzrechtlich interessant wird es bei der Frage, wie lange ich diese Daten aufbewahren darf. Mache ich mir keine Gedanken über mögliche Löschfristen oder gehe ich davon aus, dass ich diese Daten unbeschränkt lange speichern darf, habe ich ein zu wenig differenziertes Verständnis von Datenschutz. Bei allen anderen Fristüberlegungen kann man heftig streiten. Gehen Sie grob davon aus, dass 2-4 Wochen Speicherfrist zulässig sind. Als Richtschnur gilt die Zeit, die eine Bibliothek benötigen sollte, um ein Medium auf seinen Zustand zu kontrollieren und es an den Standort zurück zustellen.
Die nächsten Beispiele für Datenschutz in Bibliotheken erhalten Sie im nächsten Blogeintrag.