Wie funktioniert das mit Datenschutz in Bibliotheken? Und gibt es einen richtigen und einen falschen Datenschutz?

Die Diskussion um den Datenschutz in Hochschulen und Bibliotheken fängt gerade erst an. Mit Anwendbarkeit der DSGVO im Mai 2018 ist vielen erst einmal die Bedeutung des Datenschutzes bewusst geworden. In einer Vielzahl von Betrieben, Behörden, Hochschulen und Bibliotheken wurde die DSGVO zum Anlass genommen, Verfahren und Prozesse neu zu strukturieren und den „Datenschutz“ mit einzubinden. In Bibliotheken und Hochschulen wurde dann häufig die Frage gestellt:

Betrifft uns das überhaupt? Und wenn ja, wie gehen wir damit um? Ich würde die Frage uneingeschränkt mit JA! beantworten. In Bibliotheken und Hochschulen wird eine große Anzahl von personenbezogenen Daten verarbeitet. Und dass dies in ordnungsgemäßer Weise erfolgt, ist eine der Zielrichtungen des Datenschutzrechts. Was sind denn nun Beispiele für die Verarbeitung von personenbezogenen Daten in diesen Bereichen? Dazu muss ich erst einmal wissen, was „personenbezogene Daten“ sind. Die DSGVO definiert den Begriff in Art.  4  Nr. 1 wie folgt:

Bei „personenbezogene Daten“ handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Als einfachstes Beispiel für die Verarbeitung von personenbezogenen Daten in einer Bibliothek fällt mir da die Entleihe und Rückgabe von Medien ein. Die Bibliothek erfasst, wie lange der Benutzer über das Medium verfügt hat und wie sie/er damit umgegangen ist (in welchem Zustand ist es in Bibliothek zurück gelangt). Die Erhebung dieser Daten ist datenschutzrechtlich zulässig. Datenschutzrechtlich interessant wird es bei der Frage, wie lange ich diese Daten aufbewahren darf.   Mache ich mir keine Gedanken über mögliche Löschfristen oder gehe ich davon aus, dass ich diese Daten unbeschränkt lange  speichern darf, habe ich ein zu wenig differenziertes Verständnis von Datenschutz. Bei allen anderen Fristüberlegungen kann man heftig streiten. Gehen Sie grob davon aus, dass 2-4 Wochen Speicherfrist zulässig sind. Als Richtschnur gilt die Zeit, die eine Bibliothek benötigen sollte, um ein Medium auf seinen Zustand zu kontrollieren und es an den Standort zurück zustellen.

Die nächsten Beispiele für Datenschutz in Bibliotheken erhalten Sie im nächsten Blogeintrag.

 

 

Von der positiven Wirkung des Datenschutzrechts

Eine der Kernaussagen in meinem letzten Beitrag war ja „Der Datenschutz hat ein massives Imageproblem.“ Dies zu belegen fällt nicht schwer, dies zu ändern dagegen schon. Ein großes Problem hängt sicherlich damit zusammen, dass sich Aufsichtsbehörden derzeit offensichtlich noch nicht einig darüber sind, wie denn nun die DSGVO und die Landesdatenschutzgesetze zu interpretieren seien. Dies führt zur Unsicherheit bei den Anwendern, ist bei juristischen Fragestellungen allerdings auch keine Besonderheit. Es existiert häufig nicht nur eine richtige oder falsche Auslegung, es geht mehr in Richtung vertretbar oder nicht mehr vertretbar und da ist die Spannbreite natürlich viel weiter als bei falsch oder richtig. Allerdings stimmt es schon nachdenklich, wenn von der zuständigen Landesdatenschutzbeauftragten keine Interpretationshilfen zum vor einem Jahr in Kraft getretenen neuen Landesdatenschutzgesetz vorliegen und man sich mit Gesetzbegründungen und Kommentaren zu anderen Datenschutzgesetzen behelfen muss. Und natürlich gibt es auch Datenschutzbeauftragte, die das Datenschutzrecht zu sehr verinnerlicht haben und es als Maß aller Dinge. Dazu mein Kommentar: Man muss arbeitsfähig bleiben.

Man muss die GDPR entsprechend dem Beitragsbild ja nicht gleich lieben, aber das Datenschutzrecht enthält schon ein paar vernünftige Ansätze und Ausprägungen, die es zu beachten gilt. Es ist gut zu wissen, dass noch eine Privatsphäre existiert, auf die der Staat keinen Zugriff hat. Viele wissen dies Privileg gar nicht ausreichend zu schätzen und geben viel dieser Privatheit in sozialen Medien preis. Unterschätzen sie dieses Recht, Daten nicht mitteilen zu müssen, nicht. Schon bei der Debatte über das Volkszählungsgesetz 1983 wurden folgende Aspekte der vorgesehenen Datenerhebung beleuchtet: Die Kritik richtete sich vor allem gegen die Absicht, Volkszählungsdaten zum Abgleich für die Melderegister zu verwenden, aber auch gegen den umfangreichen Fragebogen und die Ausführlichkeit der Fragen, die Rückschlüsse auf die Identität des Befragten zulasse. Diese Rückschlüsse auf die Identität ziehen zu können, ist auch im Wissenschaftsbereich für die Erzielung und Überprüfung von Forschungsergebnissen häufig überhaupt nicht notwendig. Sind die ForscherInnen anderer Ansicht, kann dies schon einmal zu sehr intensiven Diskussionen führen. Aus dem Zensus 2011 sollte man sich folgende datenschutzrechtliche Errungenschaften vergegenwärtigen  https://www.bundestag.de/resource/blob/191824/570c0b7bb4598e0f6b0ebe0a7caf8528/Zensus_2011-data.pdf :

„Die Interviewer, die in den Erhebungsstellen beschäftigt sind, wurden im Vorfeld zu den gesetzlichen Ge- und Verboten des Datenschutzes geschult. Der Bundesdatenschutzbeauftragte hat im Vorfeld auf die aus datenschutzrechtlicher Sicht problematische Datenerhebung in sensiblen Sonderbereichen wie Altenheimen und Haftanstalten hingewiesen. Er hat empfohlen, die Identifizierungsdaten so früh wie möglich zu löschen und damit den konkreten Personenbezug aufzulösen. Im „Volkszählungs-Urteil“ wurde vom BVerfG empfohlen, zur Vermeidung einer sozialen Stigmatisierung in diesen Bereichen eine Erhebung in möglichst anonymisierter Form durchzuführen. Beim Zensus 2011 werden die Bewohner sensibler Bereiche nicht persönlich befragt, sondern die Leiter dieser Einrichtungen geben stellvertretend Auskunft. Im Gegensatz zur Haushaltebefragung sollen ausschließlich Daten abgefragt werden, die zur Feststellung des Wohnsitzes unerlässlich sind.“

Nichts anderes gilt, wenn man sich mit dem Datenschutz im Bereich der Forschung auseinandersetzt. Auch hier gilt, dass die Verarbeitung von personenbezogenen Daten in möglichst anonymisierter, aber zumindest in pseudonymisierter Form durchzuführen ist. Wenn man dies schließlich im entsprechenden Kontext richtig versteht und einordnet, kann das Image des Datenschutzes an Hochschulen eigentlich nur besser werden.

 

Der Datenschutz, oh nein nicht schon wieder der Datenschutz

So klingt es schon einmal, wenn ich mich bei meiner Zielgruppe in der Hochschule melde, um sie auf datenschutzrechtlich relevante Sachverhalte aufmerksam zu machen.

Der Datenschutz hat ein massives Imageproblem. Er ist das, was früher der Denkmalschutz und der Brandschutz waren. Er wird schnell zur Rechtfertigung herangezogen, wenn Vorhaben verhindert oder erschwert werden sollen. Und es stimmt: Die Regelungen des Datenschutzrechts sind kompliziert, komplex und in ihrer Anwendung können sie sehr bürokratisch sein und wirken. Aber glauben sie mir: Kein Datenschutzbeauftragter hat ein Interesse daran, irgendjemandem das Leben schwerer zu machen. Und der Datenschutz verfolgt keinen Selbstzweck. Es geht im Bereich der Hochschulen darum, einen vernünftigen Ausgleich zwischen den Interessen der Forschungsfreiheit und der Informationellen Selbstbestimmung zu finden. Und hier erfährt der Datenschutz durchaus seine Berechtigung. Wer möchte den gläsernen Menschen und wem ist es recht, dass seine Daten zu anderen Zwecken verarbeitet werden, als für die er sie ursprünglich zur Verfügung gestellt hat?

Und dann fange ich an den Datenschutz zu rechtfertigen. Nein besser, ich versuche den Hintergrund für die Existenz von einem Datenschutzbeauftragten an einer Hochschule zu erklären. Und dass ich weder die DSGVO noch das Datenschutzgesetz NRW erfunden habe, wir uns aber an deren Vorgaben halten müssen. The basics: „Auf welche personenbezogenen Daten möchten sie denn gerne Zugriff erhalten? Und wie möchten sie diese verarbeiten? Bitte versetzen sie sich dazu einmal in die Position der von der Datenverarbeitung betroffenen Person: Welche Daten würden sie zur Verfügung stellen und wie sollte mit den Daten verfahren werden? Ach so, darüber sollte ich mir vor Beginn meines Vorhabens Gedanken machen. Stimmt, leuchtet ein. Und dann benötigt der Datenschutzbeauftragte zur datenschutzrechtlichen Beurteilung ihres Vorhabens noch folgende Unterlagen: The essentials: https://www.fernuni-hagen.de/imperia/md/content/arbeiten/datenschutz/checkliste_erforderliche_unterlagen.pdf a) Ein Gesamtkonzept b) das ominöse VVT (Verzeichnis der Verarbeitungstätigkeiten) c) arbeitet noch jemand mit den Daten? Ja, dann entweder Unterlagen zur Auftragsdatenverarbeitung oder zur gemeinsamen Verantwortung d) und welche technischen und organisatorischen Maßnahmen (TOMs) haben sie sich überlegt, damit die Verarbeitung so funktioniert, wie sie sich das vorgestellt haben.

Klingt doch erstaunlich einfach und unkompliziert. Wenn man sich rechtzeitig damit auseinandersetzt…