Datenschutz in Bibliotheken

Workshop 1.1

Harald Müller

im.baden-wuerttemberg.de/fileadmin/_processed_/csm_140327_DateNdschutz_Fotolia_940x360_54a5f7d632.jpg

Gliederung

1. Datenschutz allgemein

2. Benutzerdaten

3. Datenspeicherung im Ausland

4. Unterschrift auf SignPad

5. Facebook

6. Recht auf Vergessenwerden

Zweck des Datenschutzes

Der Datenschutz soll den Einzelnen vor

Beeinträchtigungen seines Persönlichkeits-

rechts durch den Umgang von öffentlichen

und nicht-öffentlichen Stellen mit seinen

personenbezogenen Daten schützen.

Recht auf informationelle Selbstbestimmung

Art. 2 Abs. 1 GG / Art. 8 Abs. 1 EMRK

1

Bibliothek & persönliche Daten

Benutzer/innen

Autoren/innen

(Mitarbeiter/innen)

Rechtsgrundlagen

„Volkszählungsurteil“ Bundesverfassungsgericht

(BVerfGE 65, 1 - Urteil des Ersten Senats vom 15. Dezember 1983 auf

die mündliche Verhandlung vom 18. und 19. Oktober 1983)

Bundesdatenschutzgesetz (Stand: 14.01.2003 BGBl I 66;

zuletzt geändert 25. Februar 2015 (BGBl. I S. 162)

Datenschutzgesetze der Länder >>>

Niedersächsisches Datenschutzgesetz (NDSG), in der Fassung vom

29.01.02 (Nds. GVBl S. 22), zul. geänd.12.12.2012 (Nds. GVBl S. 589)

Personenbezogene (pb) Daten

Angaben über persönliche oder sachliche

Verhältnisse einer natürlichen Person, z.B.:

Name

Anschrift

Geburtsdatum

Religion

Staatsangehörigkeit

Arbeitgeber

Schule

Krankheiten

Hobbies

Grundsatz des Datenschutzes

Verbot von: Erhebung, Verarbeitung,

Nutzung pb Daten in autom. Verfahren / Datei

Erhebung = Beschaffen pb Daten (Prinzip der

Direkterhebung § 4 Abs. 2 BDSG)

Verarbeiten = Speichern, Verändern, Über-

mitteln, Sperren, Löschen pb Daten

Datenverarbeitung zulässig, wenn:

Gesetzliche Erlaubnis („darf“)

Gesetzliche Anordnung („muß“)

Einwilligung des Betroffenen („ok“)

§ 4 Abs. 1 BDSG / § 4 Abs. 1 NDSG

Gesetzliche Erlaubnis

§ 13 Abs. 1 BDSG

Das Erheben personenbezogener Daten ist

zulässig, wenn ihre Kenntnis zur Erfüllung

der Aufgaben der verantwortlichen Stelle

erforderlich ist.

Erforderlich ist die Erhebung, wenn ihre Kenntnis zur

Erreichung des angestrebten Zweckes objektiv geeignet und

im Verhältnis zum angestrebten Zweck auch notwendig ist.

Gesetzliche Erlaubnis

§ 9 Abs. 1 NDSG

Personenbezogene Daten dürfen erhoben

werden, wenn ihre Kenntnis zur Erfüllung der

Aufgaben der erhebenden Stelle erforderlich

ist.

Erforderlich ist die Erhebung, wenn ihre Kenntnis zur

Erreichung des angestrebten Zweckes objektiv geeignet und

im Verhältnis zum angestrebten Zweck auch notwendig ist.

Gesetzliche Erlaubnis

Erforderlich ist die Verarbeitung, wenn sie zur Erreichung des

angestrebten Zweckes objektiv geeignet und im Verhältnis

zum angestrebten Zweck auch notwendig ist.

§ 10 NDSG

Speicherung, Veränderung, Nutzung; Zweckbindung

(1) Das Speichern, Verändern und Nutzen personenbe-

zogener Daten ist zulässig, wenn es zur Erfüllung der Auf-

gaben der öffentlichen Stelle erforderlich ist und die Daten

für diese Zwecke erhoben worden sind. Erlangt die öffent-

liche Stelle Kenntnis von personenbezogenen Daten, ohne

diese erhoben zu haben, so darf sie diese Daten nur für

Zwecke verarbeiten, für die sie diese Daten erstmals

speichert.

Datenvermeidung und

Datensparsamkeit

§ 3a BDSG Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten und die Auswahl und Gestaltungvon Datenverarbeitungssystemen sind an dem Zielauszurichten, so wenig personenbezogene Datenwie möglich zu erheben, zu verarbeiten oder zunutzen. Insbesondere sind personenbezogeneDaten zu anonymisieren oder zu pseudonymi-sieren, soweit dies nach dem Verwendungszweckmöglich ist und keinen im Verhältnis zu dem ange-strebten Schutzzweck unverhältnismäßigen Auf-wand erfordert.

Datenvermeidung und

Datensparsamkeit

Gestaltung und Auswahl von Informationstechnik

haben sich an dem Ziel auszurichten, keine oder so

wenig personenbezogene Daten wie möglich zu er-

heben, zu verarbeiten oder zu nutzen.

Insbesondere ist von den Möglichkeiten der Anonymi-

sierung und Pseudonymisierung (Definition = § 3 Abs.

6 und 6a BDSG) Gebrauch zu machen, soweit dies

möglich ist und der Aufwand in einem angemessenen

Verhältnis zum angestrebten Schutzzweck steht.

§ 3 BDSG

Weitere Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangabenüber persönliche oder sachliche Verhältnisse einerbestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Automatisierte Verarbeitung ist die Erhebung, Ver-arbeitung oder Nutzung personenbezogener Datenunter Einsatz von Datenverarbeitungsanlagen. Einenicht automatisierte Datei ist jede nicht automati-sierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merk-malen zugänglich ist und ausgewertet werden kann…

Autom. Verfahren / Datei

Durch nicht-/automatisiertes Verfahren

ausgewertet

oder gleichartig aufgebaut, zugänglich,

ausgewertet werden kann

Sammlung pb Daten (§ 3 Abs. 1 / § 46 Abs.

1 BDSG)

= Nutzerkonto Bibliothek

= Online-Katalog einer Bibliothek

Benutzerdaten

Erheben = Anmeldung

Speichern = Benutzerkonto anlegen

Verändern = Sperren

Nutzen = Ausleihe, Rückgabe, Mahnung

2

Datenerhebung

§ 9 NDSG Erhebung

(1) Personenbezogene Daten dürfen erhoben

werden, wenn ihre Kenntnis zur Erfüllung der

Aufgaben der erhebenden Stelle erforderlich

ist. Die Daten sind bei den Betroffenen mit

ihrer Kenntnis zu erheben.

Datenerhebung

§ 9 NDSG Erhebung

(2) Werden Daten bei den Betroffenen erhoben,

so sind sie über den Zweck der Erhebung aufzu-

klären. Werden die Daten aufgrund einer Rechts-

vorschrift erhoben, so sind die Betroffenen in ge-

eigneter Weise über diese aufzuklären. Soweit

eine Auskunftspflicht besteht oder die Gewähr-

ung von Rechtsvorteilen die Angabe von Daten

voraussetzt, sind die Betroffenen hierauf, sonst

auf die Freiwilligkeit ihrer Angaben hinzuweisen.

Gesetzliche Erlaubnis

§ 10 NDSG Speicherung, Veränderung, Nutzung;

Zweckbindung

(1) Das Speichern, Verändern und Nutzen person-

enbezogener Daten ist zulässig, wenn es zur Erfüll-

ung der Aufgaben der öffentlichen Stelle erforderlich

ist und die Daten für diese Zwecke erhoben worden

sind. Erlangt die öffentliche Stelle Kenntnis von per-

sonenbezogenen Daten, ohne diese erhoben zu

haben, so darf sie diese Daten nur für Zwecke verar-

beiten, für die sie diese Daten erstmals speichert.

Einwilligung

§ 4 NDSG Zulässigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten ist

nur zulässig, wenn

1. dieses Gesetz oder eine andere Rechtsvor-

schrift dies vorsieht oder

2. die Betroffenen eingewilligt haben.

(2) Die Einwilligung bedarf der Schriftform, es sei

denn, dass wegen besonderer Umstände eine

andere Form angemessen ist.

Bibliothekspraxis

Unterschrift bei Anmeldung = Einwilligung

Ausleihdaten nach Rückgabe löschen

Benutzerkonto nach Rückgabe Ausweis löschen

Datenübernahme in UB aus Univerwaltung möglich

Zugriff auf Benutzerkonto für Dritte sperren

Keine Ausleihdaten an Dritte

Datenübermittlung nur an Gericht

Speicherung von Benutzerdaten im Ausland

https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf3

Speicherung von Benutzerdaten im Ausland

https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf3

Speicherung von Benutzerdaten im Ausland

https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf

Speicherung von Benutzerdaten im Ausland

https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf

Unterschrift auf SignPad

§ 28 BDSG

…

(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der

Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der

Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung

elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die

Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen

und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

§ 4 NDSG

…

(2) Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen beson-

derer Umstände eine andere Form angemessen ist.

4

§ 126a BGB Elektronische Form

(1) Soll die gesetzlich vorgeschriebene schriftliche Form

durch die elektronische Form ersetzt werden, so muss der

Aussteller der Erklärung dieser seinen Namen hinzufügen

und das elektronische Dokument mit einer qualifizierten

elektronischen Signatur nach dem Signaturgesetz

versehen.

Unterschrift auf SignPad

http://signature.wacom.eu/wp-content/uploads/2014/06/stu-500_DE.jpg

5

• Motto: „Facebook ermöglicht es dir, mit den Menschen in deinem Leben in

Verbindung zu treten und Inhalte mit diesen zu teilen.“

• Thilo Weichert: Datenschutzverstoß als Geschäftsmodell — der Fall

Facebook. In: Datenschutz und Datensicherheit 2012 H. 10, S. 716 – 721.

• Zitat: Mit dem Börsengang im Mai 2012 hat Facebook einige Milliarden Dollar

eingesammelt. Dies war nur durch eine personenbezogene Datenverarbeitung

möglich, die in Deutschland und Europa gegen Datenschutzrecht verstößt. Der

Beitrag untersucht, weshalb ein datenschutzwidriges Geschäftsmodell

zumindest mittelfristig erfolgreich sein konnte und wie dies in Zukunft verhindert

werden kann.

>>> Social Plugins „Gefällt mir“

Telemediengesetz TMG

§ 13 TMG Pflichten des Diensteanbieters

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezo-gener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parla-ments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automati-sierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unter-richtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Dienstean-

bieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,

3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen

kann.

Beispiel Datenschutzhinweis

Verwendung von Facebook Social Plugins

Unser Internetauftritt verwendet Social Plugins ("Plugins") des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird ("Facebook"). Die Plugins sind mit einem Facebook Logo oder dem Zusatz "Facebook Social Plugin" gekennzeichnet.

Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Pluginswird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite einge-bunden.

Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt kann Face-book den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den "Gefällt mir" Button betätigen oder einen Kommentar abgeben, wird die ent-sprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespei-chert.

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook.

Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen.

Quelle: http://www.thomashelbing.com/de/facebook-social-plugiNds-dateNdschutz-bdsg-dateNdschutzhinweise-privacy-policy-like-button-gefallt-mir

6

Katalog = Datei (Datenbank)

Personenbezogene Daten

Namen von Autoren, Herausgebern usw.

Katalogisieren = Erheben & Speichern

Katalogrecherche = Übermitteln

Datenschutzbeauftragte haben auch

schon Bibliothekskataloge überprüft

Katalog = Datei (Datenbank)

§ 9 NDSG

Erhebung

(1) Personenbezogene Daten dürfen erhoben werden,

wenn ihre Kenntnis zur Erfüllung der Aufgaben der erheb-

enden Stelle erforderlich ist ... Bei Dritten dürfen person-

enbezogene Daten nur erhoben werden, wenn

…

5. die Daten aus allgemein zugänglichen Quellen ent-

nommen werden können, soweit nicht schutzwürdige Inter-

essen der Betroffenen offensichtlich entgegenstehen…

Katalog = Datei (Datenbank)

§ 14 Abs. 2 BDSG

(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist

nur zulässig, wenn

...

5. die Daten allgemein zugänglich sind oder die verant-

wortliche Stelle sie veröffentlichen dürfte, es sei denn,

dass das schutzwürdige Interesse des Betroffenen an

dem Ausschluss der Zweckänderung offensichtlich

überwiegt ...

Recht auf Vergessenwerden

http://www.ifla.org/files/assets/clm/statements/rtbf-full-statement-de.pdf

https://de.wikipedia.org/wiki/Recht_auf_Vergessenwerden

The right to be forgotten & librariesby Harald Müller 2015

Conflicting interests

International treaties guarantee an unrestricted access to information. Libraries and archives are

memory institutions. In some cases the courts doubted whether an archive should be ordered to

“change history” by erasing personal data.

Main findings

The right of erasure as provided for by data protection law has rarely been the only legal ground in

courts.

Oblivion may be achieved by other means than erasure.

The easy access and quick retrieval of personal data via search engines is the main concern of

individuals regarding their online privacy.

Sometimes the right to oblivion can be waived

While oblivion and erasure are complementary legal tools, the right of erasure has the potential to

neglect the thorough balancing of conflicting interests.

The right to be forgotten is a generic term, bringing together the existing rights of oblivion and

erasure.

No right to erasure, oblivion or forgetting can be absolute, but rather that they have to be carefully

weighed against the freedom of speech and information. Since the latter is justifiably a cornerstone

of any democratic society.

Dr. Harald Müller

Aktionsbündnis Urheberrecht für Bildung & Wissenschaft

IFLA Document delivery section

EBLIDA Expert Group Information Law

mueller@urheberrechtsbuendnis.de

hmueller.mpil@gmx.de