Personenbezogene Daten - Staats- und Universitätsbibliothek ...
Personenbezogene Daten - Staats- und Universitätsbibliothek ...
Personenbezogene Daten - Staats- und Universitätsbibliothek ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Daten</strong>schutz in Bibliotheken -<br />
Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen / aktualisierte Print-Version<br />
Bernd Uderstadt / <strong>Daten</strong>schutzbeauftragter (DSB) der SUB &<br />
Referent der gemeinsamen DSB von UHH, HfMT, HFBK, HCU & TUHH (gDSB)<br />
12. / 29. Juni 2012
Hinweis<br />
• Der Workshop zu Gr<strong>und</strong>lagen des <strong>Daten</strong>schutzes in Bibliotheken <strong>und</strong><br />
aktuellen Fragestellungen fand am 12.06.2012 in der <strong>Staats</strong>bibliothek<br />
Hamburg statt<br />
• In dieser im Nachgang aktualisierten Version des Vortrags finden sich<br />
kleine redaktionelle Änderungen, weitere Links sowie kurze Antworten<br />
zu den Fragen aus dem Auditorium (Folien 54 - 63)<br />
• Bei der Komplexität einiger Fragen sind weitere Erörterungen im<br />
Rahmen unserer Beratungsangebote sinnvoll. Hierfür stehen wir allen<br />
Mitarbeiterinnen <strong>und</strong> Mitarbeitern von SUB, UHH, HfMT, HFBK, HCU<br />
<strong>und</strong> TUHH gern zur Verfügung. Dies gilt auch, sofern Sie als Betroffene<br />
bzw. Betroffener Fragen an uns richten möchten.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 2
Inhalt (1)<br />
Folie/n<br />
• <strong>Daten</strong>schutzbeauftragte der Hmb. Hochschulen & der <strong>Staats</strong>bibliothek … 6 -7<br />
• Aufgaben der behördlichen <strong>Daten</strong>schutzbeauftragten ……………………. 8 – 10<br />
• Der Hmb. Beauftragte für <strong>Daten</strong>schutz u. Informationsfreiheit (HmbBfDI). 11<br />
• Rechtsgr<strong>und</strong>lagen – Übersicht ………………………………………………. 12<br />
• Unsere Gr<strong>und</strong>rechte ………………………………………………………….. 14 – 15<br />
• Begriffsbestimmungen ……………………………………………………….. 16<br />
• Die <strong>Daten</strong> verarbeitende Stelle ………………………………………………. 18<br />
• Zulässigkeit der <strong>Daten</strong>verarbeitung ………………………………………….. 19 – 21<br />
• ….<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 3
Inhalt (2)<br />
Folie/n<br />
• Rechte der Betroffenen ………………………………………………………. 22 – 23<br />
• <strong>Daten</strong>geheimnis nach § 7 HmbDSG …………………………………………… 24<br />
• Die Verfahrensbeschreibung (§ 9 HmbDSG) …………………………………. 26 – 28<br />
• Technische u. organisatorische Maßnahmen; Vorabkontrolle (§ 8 HmbDSG). 29 – 34<br />
• <strong>Daten</strong>verarbeitung im Auftrag (§ 3 HmbDSG) ……………………………..…. 35 – 41<br />
• Auskunft (§ 18 HmbDSG) …………………………………………………….…. 42<br />
• Berichtigung, Sperrung <strong>und</strong> Löschung (§ 19 HmbDSG) ………………………. 43 – 47<br />
• Weitere Rechtsgr<strong>und</strong>lagen nach HmbDSG ……………………………………. 48 – 49<br />
• ….<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 4
Inhalt (3)<br />
Folie/n<br />
• Videoüberwachung (§ 30 HmbDSG) …………………………………………… 50 – 51<br />
• Weitere Informationsquellen ………………………………………………….. 52<br />
• Kontakt ……………………………………………………………………….…. 53<br />
• Fragen & Antworten ……………………………………………………………. 54 – 63<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 5
Die behördlichen <strong>Daten</strong>schutzbeauftragten (DSB) der öffentl. Hmb.<br />
Hochschulen, inkl. ihrer Fachbibliotheken, sowie der <strong>Staats</strong>bibliothek HH<br />
• <strong>Daten</strong>schutzbeauftragte der HAW<br />
• Gemeinsame <strong>Daten</strong>schutzbeauftragte der<br />
UHH, HfMT, HFBK, HCU <strong>und</strong> TUHH => Prof. Dr. Gabriele Beger<br />
• <strong>Daten</strong>schutzbeauftragter der SUB => Bernd Uderstadt<br />
<br />
Anm.: Sämtliche öffentlichen Hamburger Hochschulen <strong>und</strong> die <strong>Staats</strong>bibliothek<br />
Hamburg (Landesbetrieb der BWF) sind damit der Empfehlung des Gesetzgebers zur<br />
Bestellung von behördlichen <strong>Daten</strong>schutzbeauftragten gefolgt, obwohl keine<br />
gesetzliche Pflicht zur Bestellung bestellt.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 6
Hochschul-Kooperation <strong>Daten</strong>schutz<br />
Gemeinsame <strong>Daten</strong>schutzbeauftragte (gDSB) von …<br />
• Universität Hamburg (UHH)<br />
• Hochschule für Musik <strong>und</strong> Theater Hamburg (HfMT)<br />
• Hochschule für bildende Künste (HFBK)<br />
• HafenCity Universität Hamburg (HCU)<br />
• Technische Universität Hamburg-Harburg (TUHH)<br />
• <strong>Staats</strong>- <strong>und</strong> Universitätsbibliothek Hamburg (SUB)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 7
Die Aufgaben der behördlichen <strong>Daten</strong>schutzbeauftragten (1)<br />
• Die behördlichen <strong>Daten</strong>schutzbeauftragten (behDSB) haben die<br />
Aufgabe, die <strong>Daten</strong> verarbeitenden Stellen <strong>und</strong> deren<br />
Personalvertretungen in der Ausführung des Hamburgischen<br />
<strong>Daten</strong>schutzgesetzes (HmbDSG) sowie anderer Vorschriften über den<br />
<strong>Daten</strong>schutz zu unterstützen.<br />
• Sie können sich unmittelbar an die Leitung der <strong>Daten</strong> verarbeitenden<br />
Stelle wenden. Sie sind bei ihrer Tätigkeit weisungsfrei <strong>und</strong> dürfen<br />
wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden.<br />
• Sie sind … bei der Erfüllung ihrer Aufgaben zu unterstützen.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 8
Die Aufgaben der behördlichen <strong>Daten</strong>schutzbeauftragten (2)<br />
• Zu ihren Aufgaben gehört es insbesondere,<br />
1. auf die Umsetzung <strong>und</strong> Einhaltung von Vorschriften über den<br />
<strong>Daten</strong>schutz hinzuwirken,<br />
2. die nach § 9 HmbDSG zu erstellenden Verfahrensbeschreibungen<br />
zu führen <strong>und</strong> zur Einsicht bereitzuhalten,<br />
3. das Ergebnis der Vorabkontrolle nach § 8 Absatz 4 HmbDSG zu<br />
prüfen <strong>und</strong> im Zweifelsfall den HmbBfDI zu hören.<br />
( § 10 a Abs. 5 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 9
Die Aufgaben der behördlichen <strong>Daten</strong>schutzbeauftragten (3)<br />
• Betroffene <strong>und</strong> Beschäftigte können sich in allen Angelegenheiten des<br />
<strong>Daten</strong>schutzes jederzeit unmittelbar an die behördlichen<br />
<strong>Daten</strong>schutzbeauftragten wenden; niemand darf deswegen<br />
gemaßregelt oder benachteiligt werden.<br />
• Die behördlichen <strong>Daten</strong>schutzbeauftragten sind, auch nach<br />
Beendigung ihrer Tätigkeit, zur Verschwiegenheit über die Identität<br />
Betroffener <strong>und</strong> Beschäftigter, die sich an sie gewandt haben, sowie<br />
über Umstände, die Rückschlüsse auf diese Personen zulassen,<br />
verpflichtet. Dies gilt nicht, soweit die Betroffenen oder Beschäftigten<br />
sie von der Pflicht zur Verschwiegenheit entb<strong>und</strong>en haben.<br />
( § 10 a Abs. 6+7 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 10
Der Hamburgische Beauftragte für <strong>Daten</strong>schutz <strong>und</strong><br />
Informationsfreiheit (HmbBfDI)<br />
<strong>Daten</strong> verarbeitende Stellen des HmbBfDI:<br />
• Landesbeauftragter für den <strong>Daten</strong>schutz ( § 23 HmbDSG )<br />
• Aufsichtsbehörde ( § 38 BDSG )<br />
• Informationsfreiheitsbeauftragter ( § 15 HmbIFG )<br />
( WebSite des HmbBfDI )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 11
Das Dickicht der Rechtsgr<strong>und</strong>lagen<br />
• Europäische <strong>Daten</strong>schutz-RL 95/46EG<br />
• B<strong>und</strong>esdatenschutzgesetz (BDSG)<br />
• 16 Landesdatenschutzgesetze (LDSG‘s)<br />
• … das Hamburgische <strong>Daten</strong>schutzgesetz (HmbDSG)<br />
• Telemediengesetz (TMG) & Telekommunikationsgesetz (TKG)<br />
• Spezialgesetze mit <strong>Daten</strong>schutzregelungen (z.B. HmbHG, HmbPersVG)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 12
Das obligatorische Vorwort<br />
• Die nachfolgenden Informationen gelten unter dem<br />
Vorbehalt …<br />
des geschäftlichen / dienstlichen Handelns<br />
der Verarbeitung personenbezogener <strong>Daten</strong> (pb<strong>Daten</strong>)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 13
Ihre / Unsere (Gr<strong>und</strong>-)Rechte (1)<br />
• …als Mitarbeiterinnen, Studierende, Benutzerinnen, K<strong>und</strong>en,…<br />
§ 1 HmbDSG – Aufgabe des <strong>Daten</strong>schutzes<br />
„Dieses Gesetz regelt die Verarbeitung personenbezogener <strong>Daten</strong><br />
durch öffentliche Stellen, um das Recht einer jeden Person zu<br />
schützen, selbst über die Preisgabe <strong>und</strong> Verwendung ihrer <strong>Daten</strong><br />
zu bestimmen, soweit keine Einschränkungen in diesem Gesetz<br />
oder in anderen Rechtsvorschriften zugelassen sind.“<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 14
Ihre / Unsere (Gr<strong>und</strong>-)Rechte (2)<br />
• Der Ursprung: Das Volkszählungsurteil von 1983<br />
• <strong>Daten</strong>schutz = Gr<strong>und</strong>recht<br />
• Gr<strong>und</strong>rechtseingriff auf Gr<strong>und</strong> eines Gesetzes<br />
• für das Gemeinwohl notwendig<br />
• bereichsspezifisch<br />
• normenklar<br />
• unabhängige <strong>Daten</strong>schutzkontrolle<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 15
Begriffsbestimmungen<br />
• <strong>Personenbezogene</strong> <strong>Daten</strong> (pb<strong>Daten</strong>) sind Einzelangaben über<br />
persönliche oder sachliche Verhältnisse bestimmter oder<br />
bestimmbarer natürlicher Personen (Betroffene, betroffene<br />
Personen).<br />
• <strong>Daten</strong>verarbeitung ist das Erheben, Speichern,<br />
Verändern, Übermitteln, Sperren, Löschen <strong>und</strong><br />
Nutzen von personenbezogenen <strong>Daten</strong>.<br />
• Weitere Begrifflichkeiten => siehe § 4 HmbDSG<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 16
<strong>Daten</strong>verarbeitung<br />
Erheben<br />
Speichern<br />
Verändern Nutzen Übermitteln<br />
Sperren<br />
Löschen<br />
( § 4 Abs. 2 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 17
Die <strong>Daten</strong> verarbeitende Stelle<br />
• <strong>Daten</strong> verarbeitende Stelle => verantwortliche Stelle<br />
• Im rechtlichen Sinne => Präsidium der Hochschule /<br />
Direktorium der SUB ( § 2 Abs. 1 HmbDSG )<br />
• Präsidium / Direktorium delegiert =><br />
„fachverantwortliche Stelle“<br />
(allgemeiner Sprachgebrauch der gDSB)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 18
Zulässigkeit der <strong>Daten</strong>verarbeitung - § 5 HmbDSG (1)<br />
• Die Verarbeitung personenbezogener <strong>Daten</strong> (pb<strong>Daten</strong>) ist nur zulässig,<br />
soweit<br />
1. dieses Gesetz oder eine besondere Rechtsvorschrift über<br />
den <strong>Daten</strong>schutz sie erlaubt oder<br />
2. die Betroffenen eingewilligt haben.<br />
!! An die Verarbeitung pb<strong>Daten</strong>, aus denen die rassische <strong>und</strong> ethnische Herkunft,<br />
politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die<br />
Gewerkschaftszugehörigkeit hervorgehen, sowie von <strong>Daten</strong> über Ges<strong>und</strong>heit<br />
<strong>und</strong> Sexualleben, werden besondere Bedingungen geknüpft !!<br />
Anm.: Diese <strong>Daten</strong>kategorien werden auch als sensitive oder sensible pb<strong>Daten</strong> bezeichnet,<br />
wobei der Begriff nicht abschließend nur für diese <strong>Daten</strong> verwendet werden kann.<br />
( § 5 Abs. 1 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 19
Zulässigkeit der <strong>Daten</strong>verarbeitung - § 5 HmbDSG (2)<br />
• Die Einwilligung in die Verarbeitung personenbezogener <strong>Daten</strong> bedarf der<br />
Schriftform, soweit nicht wegen besonderer Umstände eine andere Form<br />
angemessen ist.<br />
• Gegenstand, Inhalt <strong>und</strong> Umfang der erlaubten Verarbeitung, insbesondere die Art<br />
der <strong>Daten</strong>, die Adressaten der Übermittlung, der Verwendungszweck <strong>und</strong> die Dauer<br />
der Aufbewahrung, sind in der Einwilligungserklärung klar <strong>und</strong> verständlich zu<br />
bezeichnen; die Betroffenen sind unter Darlegung der Rechtsfolgen darauf<br />
hinzuweisen, dass sie die Einwilligung verweigern <strong>und</strong> mit Wirkung für die Zukunft<br />
widerrufen können. Wird die Einwilligung zusammen mit anderen Erklärungen<br />
schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild der<br />
Erklärung hervorzuheben.<br />
• Die Einwilligung ist unwirksam, wenn sie durch unangemessene Androhung von<br />
Nachteilen, durch fehlende Aufklärung oder in sonstiger, gegen die Gebote von<br />
Treu <strong>und</strong> Glauben verstoßender Weise erlangt wurde. ( § 5 Abs. 2 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 20
Zulässigkeit der <strong>Daten</strong>verarbeitung - § 5 HmbDSG (3)<br />
• Es gilt der Gr<strong>und</strong>satz der <strong>Daten</strong>sparsamkeit :<br />
‣ Die Verarbeitung personenbezogener <strong>Daten</strong> <strong>und</strong> die Auswahl <strong>und</strong> Gestaltung<br />
technischer Einrichtungen haben sich auch an dem Ziel auszurichten, so wenig<br />
personenbezogene <strong>Daten</strong> wie möglich zu erheben <strong>und</strong> weiter zu verarbeiten.<br />
Dabei ist jeweils zu prüfen, inwieweit es möglich ist, personenbezogene <strong>Daten</strong><br />
anonym oder pseudonym zu verarbeiten. Erforderlich sind Maßnahmen zur<br />
anonymen oder pseudonymen <strong>Daten</strong>verarbeitung nur, wenn ihr Aufwand in einem<br />
angemessenen Verhältnis zur Schutzwürdigkeit der <strong>Daten</strong> steht.<br />
( § 5 Abs. 4 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 21
Rechte der Betroffenen - § 6 HmbDSG (1)<br />
• Die Betroffenen haben ein Recht auf<br />
1. Geltendmachung von Einwänden gegen die Verarbeitung ihrer<br />
<strong>Daten</strong> (§ 5 Absatz 3),<br />
2. Aufklärung bei der Herausgabe mobiler <strong>Daten</strong>verarbeitungs-medien<br />
(§ 5 b),<br />
3. Anrufung der bzw. des behördlichen <strong>Daten</strong>schutzbeauftragten (§ 10<br />
a Absatz 6),<br />
4. Unterrichtung bei der Erhebung (§ 12 a),<br />
5. Sperrung der Übermittlung an Stellen außerhalb des öffentlichen<br />
Bereichs (§ 16 Absatz 3),<br />
6. …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 22
Rechte der Betroffenen - § 6 HmbDSG (2)<br />
• Die Betroffenen haben ein Recht auf<br />
6. Auskunft (§ 18),<br />
7. Berichtigung (§ 19 Absatz 1),<br />
8. Sperrung (§ 19 Absatz 2),<br />
9. Löschung (§ 19 Absatz 3),<br />
10. Schadensersatz (§ 20),<br />
11. Anrufung der oder des Hamburgischen Beauftragten für<br />
<strong>Daten</strong>schutz <strong>und</strong> Informationsfreiheit (§ 26).<br />
• Auf diese Rechte kann nicht im Vorwege verzichtet werden.<br />
( § 6 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 23
<strong>Daten</strong>geheimnis - § 7 HmbDSG<br />
• „Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen<br />
oder ihren auftragnehmenden Stellen dienstlichen Zugang zu<br />
personenbezogenen <strong>Daten</strong> haben, ist es untersagt, geschützte<br />
personenbezogene <strong>Daten</strong> unbefugt zu einem anderen als dem zur<br />
jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten,<br />
insbesondere bekannt zu geben oder zugänglich zu machen. Dieses<br />
Verbot besteht auch nach Beendigung der Tätigkeit fort.“<br />
( § 7 HmbDSG )<br />
• Demnach bedarf es formalrechtlich keiner schriftlichen Verpflichtung<br />
• Aber: Vertragliche Verpflichtungen bei UHH <strong>und</strong> HCU<br />
=> Dienstvereinbarungen mit den jew. Personalräten<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 24
Das HmbDSG im täglichen Workflow<br />
• Die Verfahrensbeschreibung ( § 9 HmbDSG )<br />
- Transparenz für die Öffentlichkeit -<br />
• Die ToM‘s <strong>und</strong> die Vorabkontrolle ( § 8 HmbDSG )<br />
- wie steht‘s um die IT-Sicherheit ? -<br />
• Die Auftrags-DV (§ 3 HmbDSG)<br />
- eine clevere juristische Lösung !? -<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 25
Die Verfahrensbeschreibung (1)<br />
• Die <strong>Daten</strong> verarbeitende Stelle legt in einer laufend auf dem<br />
neuesten Stand zu haltenden Verfahrensbeschreibung für jedes<br />
automatisierte Verfahren, mit dem pb<strong>Daten</strong> verarbeitet werden<br />
sollen, fest …<br />
1. den Name <strong>und</strong> Anschrift der <strong>Daten</strong> verarbeitenden Stelle,<br />
2. die Bezeichnung des Verfahrens <strong>und</strong> seine Zweckbestimmungen,<br />
3. die Art der verarbeitenden <strong>Daten</strong> sowie die Rechtsgr<strong>und</strong>lage […]<br />
4. den Kreis der Betroffenen,<br />
5. die Empfängerinnen oder Empfänger […] die <strong>Daten</strong> erhalten<br />
können<br />
…<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 26
Die Verfahrensbeschreibung (2)<br />
…<br />
6. eine beabsichtigte <strong>Daten</strong>übermittlung (außerhalb der EU)<br />
7. Fristen für die Sperrung <strong>und</strong> Löschung der <strong>Daten</strong>,<br />
8. die technischen <strong>und</strong> organisatorischen (Sicherheits-)<br />
Maßnahmen nach § 8 HmbDSG - die toM‘s ,<br />
9. die Art der Geräte, die Stellen, bei denen sie aufgestellt sind<br />
sowie das Verfahren zur Übermittlung, Sperrung, Löschung,<br />
Auskunftserteilung <strong>und</strong> Benachrichtigung.<br />
// Ausnahmen: öffentliche Register / Verfahren der allg. Bürotätigkeit //<br />
( § 9 Abs. 1+2 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 27
Die Verfahrensbeschreibung (3)<br />
• !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br />
Die Verfahrensbeschreibungen können bei der<br />
<strong>Daten</strong> verarbeitenden (verantwortlichen) Stelle von<br />
jeder Person eingesehen werden ! ( § 9 Abs. 3 HmbDSG )<br />
• !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br />
• Verfahrensbeschreibung – HowTo<br />
Handreichung/Orientierungshilfe der gDSB *<br />
Musterformular für alle Hochschulen <strong>und</strong> die Stabi (gDSB) *<br />
(*= künftig auch im Bibliotheks-Wiki im Ordner <strong>Daten</strong>schutz)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 28
Die ToM‘s <strong>und</strong> die Vorabkontrolle (1)<br />
• Die technischen <strong>und</strong> organisatorischen Maßnahmen<br />
- „Die <strong>Daten</strong> verarbeitenden Stellen <strong>und</strong> ihre auftragnehmen-den<br />
Stellen haben die technischen <strong>und</strong> organisatorischen Maßnahmen<br />
zu treffen, die erforderlich sind, um die Aus-führung der<br />
Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind<br />
technische <strong>und</strong> organisatorische Maß-nahmen nur, wenn ihr<br />
Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit<br />
der <strong>Daten</strong> steht.“<br />
…<br />
( § 8 Abs. 1 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 29
Die ToM‘s <strong>und</strong> die Vorabkontrolle (2)<br />
• Die toM‘s im Kontext der pb<strong>Daten</strong> ( § 8 Abs. 2 HmbDSG )<br />
- „Werden personenbezogene <strong>Daten</strong> automatisiert verarbeitet, sind<br />
technische <strong>und</strong> organisatorische Maßnahmen zu treffen, die<br />
geeignet sind zu gewährleisten, dass …<br />
1. nur Befugte die pb<strong>Daten</strong> zur Kenntnis nehmen können<br />
(Vertraulichkeit),<br />
2. die pb<strong>Daten</strong> während der Verarbeitung unverfälscht,<br />
vollständig <strong>und</strong> widerspruchsfrei bleiben (Integrität),<br />
…<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 30
Die ToM‘s <strong>und</strong> die Vorabkontrolle (3)<br />
• Die toM‘s im Kontext der pb<strong>Daten</strong><br />
- …<br />
3. die pb<strong>Daten</strong> zeitgerecht zur Verfügung stehen <strong>und</strong><br />
ordnungsgemäß verarbeitet werden können (Verfügbarkeit),<br />
4. die pb<strong>Daten</strong> ihrem Ursprung zugeordnet werden können<br />
(Authentizität),<br />
5. festgestellt werden kann, wer wann welche pb<strong>Daten</strong> in<br />
welcher Weise verarbeitet hat (Revisionsfähigkeit).<br />
( § 8 Abs. 2 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 31
Die ToM‘s <strong>und</strong> die Vorabkontrolle (4)<br />
• Die toM‘s im Kontext der pb<strong>Daten</strong><br />
- Gilt auch für die „analoge <strong>Daten</strong>verarbeitung“:<br />
„Werden pb<strong>Daten</strong> nicht-automatisiert verarbeitet, sind<br />
technische <strong>und</strong> organisatorische Maßnahmen zu treffen,<br />
um insbesondere den Zugriff Unbefugter bei der Bearbeitung,<br />
der Aufbewahrung, dem Transport <strong>und</strong> der Vernichtung<br />
zu verhindern“.<br />
( § 8 Abs. 2 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 32
Die ToM‘s <strong>und</strong> die Vorabkontrolle (5)<br />
• Vorabkontrolle / Risikoanalyse<br />
„Vor der Entscheidung über die Einführung oder die<br />
wesentliche Veränderung eines automatisierten Verfahrens,<br />
mit dem pb<strong>Daten</strong> verarbeitet werden sollen, haben die <strong>Daten</strong><br />
verarbeitenden Stellen zu untersuchen, ob <strong>und</strong> in welchem<br />
Umfang mit der Nutzung dieses Verfahrens Gefahren für die<br />
Rechte der Betroffenen verb<strong>und</strong>en sind. Die Einführung <strong>und</strong><br />
die wesentliche Änderung … sind nur zulässig, soweit<br />
derartige Gefahren durch toM‘s wirksam beherrscht werden<br />
können… .“<br />
( § 8 Abs. 4 HmbDSG )<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 33
Die ToM‘s <strong>und</strong> die Vorabkontrolle (6)<br />
• Vorabkontrolle / Risikoanalyse - HowTo<br />
- Handreichung <strong>und</strong> Muster-Risikoanalyse des HmbBfDI<br />
- BSI-IT-Gr<strong>und</strong>schutzkataloge<br />
- BSI-IT-Gr<strong>und</strong>schutzstandards<br />
- Alternativen: Best Practice nach ITIL oder COBIT<br />
- ISMS-Tools:<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 34
Die <strong>Daten</strong>verarbeitung im Auftrag (1)<br />
• Jede Übermittlung pb<strong>Daten</strong> bedarf einer Rechtsgr<strong>und</strong>lage bzw. der<br />
Einwilligung der Betroffenen<br />
• Der Trick: Die Auftrags-DV ( § 3 Abs. 1 HmbDSG )<br />
- Wir suchen uns einen geeigneten Dienstleister, der die pb<strong>Daten</strong><br />
strikt nach unseren Vorgaben <strong>und</strong> nur für unsere Zwecke<br />
verarbeitet …<br />
… <strong>und</strong> schon handelt es sich im datenschutzrechtlichen Sinne<br />
nicht mehr um eine Übermittlung an Dritte .<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 35
Die <strong>Daten</strong>verarbeitung im Auftrag (2)<br />
• Voraussetzungen:<br />
- Die auftragnehmende Stelle (AN) ist unter besonderer<br />
Berücksichtigung der Eignung der von ihr getroffenen technischen<br />
<strong>und</strong> organisatorischen Maßnahmen ( § 8 HmbDSG ) sorgfältig<br />
auszuwählen.<br />
- Der AN ist verpflichtet, die <strong>Daten</strong> nur zu dem Zweck zu verarbeiten,<br />
zu dem sie ihm vom Auftraggeber (AG) überlassen worden sind,<br />
sowie nach Erledigung des Auftrags die überlassenen <strong>Daten</strong>träger<br />
zurückzugeben, zu löschen oder zu vernichten <strong>und</strong> bei ihm<br />
gespeicherte pb<strong>Daten</strong> zu löschen, soweit nicht besondere<br />
Rechtsvorschriften entgegenstehen.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 36
Die <strong>Daten</strong>verarbeitung im Auftrag (3)<br />
• Empfehlung: ein schriftlicher Vertrag (1)<br />
Inhalt:<br />
1. Gegenstand <strong>und</strong> die Dauer des Auftrags,<br />
2. Umfang, Art <strong>und</strong> der Zweck der vorgesehenen Erhebung,<br />
Verarbeitung oder Nutzung von <strong>Daten</strong>, die Art der <strong>Daten</strong> <strong>und</strong> der<br />
Kreis der Betroffenen,<br />
3. die nach § 8 HmbDSG zu treffenden technischen <strong>und</strong><br />
organisatorischen Maßnahmen,<br />
4. die Berichtigung, Löschung <strong>und</strong> Sperrung von <strong>Daten</strong>,<br />
5. …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 37
Die <strong>Daten</strong>verarbeitung im Auftrag (4)<br />
• Empfehlung: ein schriftlicher Vertrag …(2)<br />
…<br />
5. die Plichten des AN, insbesondere die von ihm vorzunehmenden<br />
Kontrollen,<br />
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,<br />
7. die Kontrollrechte des AG‘s <strong>und</strong> die entsprechenden Duldungs- <strong>und</strong><br />
Mitwirkungspflichten des AN,<br />
8. mitzuteilende Verstöße des AN oder der bei ihm beschäftigten<br />
Personen gegen Vorschriften zum Schutz pb<strong>Daten</strong> oder gegen die<br />
im Auftrag getroffenen Festlegungen, …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 38
Die <strong>Daten</strong>verarbeitung im Auftrag (5)<br />
• Empfehlung: ein schriftlicher Vertrag …(3)<br />
…<br />
9. der Umfang der Weisungsbefugnisse, die sich der AG gegenüber<br />
dem AN vorbehält,<br />
10. die Rückgabe überlassener <strong>Daten</strong>träger <strong>und</strong> die Löschung beim<br />
AN.<br />
!!! Ein Vertrag zur Auftrags-DV ist auch abzuschließen für<br />
beratende, begutachtende Tätigkeiten …<br />
Wartungsarbeiten oder Hilfstätigkeiten bei der DV …<br />
… sofern dabei nicht ausgeschlossen werden kann, dass der AN Zugriff<br />
auf die pb<strong>Daten</strong> nehmen könnte.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 39
Die <strong>Daten</strong>verarbeitung im Auftrag (6)<br />
• Die Spitzfindigkeiten (1)<br />
- Ein Auftragnehmer ist nur ein Auftragnehmer …<br />
… wenn er die pb<strong>Daten</strong> im Auftrag in einem Mitgliedstaat<br />
der Europäischen Union verarbeitet.<br />
- … ansonsten ist er Dritter => § 4 Abs. 4 HmbDSG<br />
„Dritte sind alle Stellen außerhalb der <strong>Daten</strong> verarbeitenden<br />
(verantwortlichen) Stelle, ausgenommen die Betroffenen<br />
<strong>und</strong> diejenigen Stellen, die in einem Mitgliedstaat der EU<br />
pb<strong>Daten</strong> im Auftrag verarbeiten.“<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 40
Die <strong>Daten</strong>verarbeitung im Auftrag (7)<br />
• Die Spitzfindigkeiten (2)<br />
- Ist der Auftragnehmer aber ein Dritter, so werden ihm die pb<strong>Daten</strong><br />
übermittelt:<br />
„ Im Einzelnen ist Übermitteln das Bekanntgeben von <strong>Daten</strong> an<br />
Dritte in der Weise, dass die <strong>Daten</strong> weitergegeben, zur Einsicht<br />
bereitgehalten oder veröffentlicht werden oder dass Dritte in<br />
einem automatisierten Verfahren bereitgehaltene <strong>Daten</strong> abrufen“<br />
(§ 4 Abs. 2 Satz 2 Ziff. 4 HmbDSG)<br />
- § 5 HmbDSG => Die Übermittlung bedarf einer Rechtsvorschrift …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 41
Auskunft - § 18 HmbDSG<br />
• Abs. 1 (von 6)<br />
Den Betroffenen ist von der <strong>Daten</strong> verarbeitenden Stelle auf<br />
Antrag gebührenfrei Auskunft zu erteilen über<br />
1. die zu ihrer Person gespeicherten <strong>Daten</strong>,<br />
2. die Zweckbestimmungen <strong>und</strong> die Rechtsgr<strong>und</strong>lage der<br />
Speicherung,<br />
3. die Herkunft der <strong>Daten</strong> <strong>und</strong> die Empfängerinnen oder<br />
Empfänger oder den Kreis der Empfängerinnen <strong>und</strong><br />
Empfänger; […]<br />
[…]<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 42
Berichtigung, Sperrung <strong>und</strong> Löschung - § 19 HmbDSG (1)<br />
• Abs. 1 – Berichtigung<br />
- <strong>Personenbezogene</strong> <strong>Daten</strong> (pb<strong>Daten</strong>) sind unverzüglich zu<br />
berichtigen, wenn sie unrichtig sind. […]<br />
// Für Akten gilt: Vermerken, zu welchem Zeitpunkt oder aus welchem Gr<strong>und</strong><br />
diese <strong>Daten</strong> unrichtig waren / wurden //<br />
- …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 43
Berichtigung, Sperrung <strong>und</strong> Löschung - § 19 HmbDSG… (2)<br />
• Abs. 2 – Sperrung (1)<br />
- pb<strong>Daten</strong> sind zu sperren, wenn<br />
1. ihre Richtigkeit von den Betroffenen bestritten wird <strong>und</strong> sich<br />
weder die Richtigkeit noch die Unrichtigkeit feststellen lässt<br />
2. in Fällen des § 19 Abs. 3 (Löschung) Gr<strong>und</strong> zu der Annahme<br />
besteht, dass durch die Löschung schutzwürdige Belange<br />
Betroffener beeinträchtigt würden, oder wenn Betroffene an<br />
Stelle der Löschung die Sperrung verlangen …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 44
Berichtigung, Sperrung <strong>und</strong> Löschung - § 19 HmbDSG… (3)<br />
• Abs. 2 – Sperrung (2)<br />
- pb<strong>Daten</strong> sind zu sperren, wenn<br />
3. sie nur zu Zwecken der <strong>Daten</strong>sicherung oder der<br />
<strong>Daten</strong>schutzkontrolle gespeichert sind.<br />
// Für Akten gelten wiederum spezielle Vorschriften //<br />
[…]<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 45
Berichtigung, Sperrung <strong>und</strong> Löschung - § 19 HmbDSG… (4)<br />
• Abs. 3 – Löschung<br />
- pb<strong>Daten</strong> sind zu löschen, wenn<br />
1. ihre Speicherung unzulässig ist oder<br />
2. ihre Kenntnis für die <strong>Daten</strong> verarbeitende Stelle zur<br />
Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.<br />
// Auch hier gelten wiederum spezielle Vorschriften für pb<strong>Daten</strong> in Akten //<br />
[…]<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 46
Berichtigung, Sperrung <strong>und</strong> Löschung - § 19 HmbDSG… (5)<br />
• Abs. 5 – Informationspflicht<br />
- Von der Berichtigung unrichtiger <strong>Daten</strong>, der Sperrung bestrittener<br />
oder unzulässig gespeicherter <strong>Daten</strong> sind unverzüglich die Stellen<br />
zu verständigen, denen <strong>Daten</strong> übermittelt worden sind; […]<br />
• Abs. 6 – Prüfung der Erforderlichkeit<br />
- In automatisierten Dateien gespeicherte <strong>Daten</strong> sind regelmäßig alle<br />
4 Jahre auf ihre Erforderlichkeit hin zu überprüfen <strong>und</strong> die<br />
<strong>Daten</strong>bestände gem. § 19 Abs. 3 zu bereinigen.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 47
Weitere Rechtsgr<strong>und</strong>lagen nach HmbDSG (1)<br />
• § 12 - <strong>Daten</strong>erhebung<br />
• § 13 - Zulässigkeit der weiteren <strong>Daten</strong>verarbeitung; Zweckbindung<br />
• § 14 - Übermittlung innerhalb des öffentlichen Bereichs<br />
• § 15 - Übermittlung an öff.-rechtl. Religionsgesellschaften<br />
• § 16 - Übermittlung an Stellen außerhalb des öffentlichen Bereichs<br />
• § 17 - Übermittlung an Stellen außerhalb der BRD<br />
• …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 48
Weitere Rechtsgr<strong>und</strong>lagen nach HmbDSG (2)<br />
[Besondere Vorschriften über den <strong>Daten</strong>schutz]<br />
• § 27 - <strong>Daten</strong>verarbeitung zum Zwecke wissenschaftlicher Forschung<br />
• § 28 - <strong>Daten</strong>verarbeitung bei Beschäftigungsverhältnissen<br />
• § 30 - Videoüberwachung …<br />
[Straf- <strong>und</strong> Bußgeldvorschriften]<br />
• § 32 - Straftaten<br />
• § 33 - Ordnungswidrigkeiten<br />
…<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 49
Weitere Rechtsgr<strong>und</strong>lagen nach HmbDSG (3)<br />
• § 30 - Videobeobachtung <strong>und</strong> Videoaufzeichnung (Videoüberwachung)<br />
‣ Nur zulässig in Ausübung des Hausrechts der verantwortlichen Stelle<br />
‣ zum Schutz von Personen <strong>und</strong> Sachen<br />
oder<br />
‣ zur Überwachung von Zugangsberechtigungen,<br />
‣ sofern keine Anhaltspunkte dafür bestehen, dass schutzwürdige<br />
Interessen der Betroffenen überwiegen.<br />
‣ Voraussetzungen:<br />
‣ Umfassende Dokumentation (analog zu Verfahrensbeschreibung <strong>und</strong><br />
Vorabkontrolle, Mustervordruck kann bei der gDSB / dem DSB der SUB<br />
abgefordert werden)<br />
‣ …<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 50
Weitere Rechtsgr<strong>und</strong>lagen nach HmbDSG (4)<br />
• § 30 - Videobeobachtung <strong>und</strong> Videoaufzeichnung (Videoüberwachung)<br />
‣ Voraussetzungen (Fortsetzung):<br />
‣ Information der Betroffenen (Pictogramme, etc.) bevor der überwachte<br />
Bereich betreten wird<br />
‣ max. 7 Tage Speicherfrist<br />
‣ Kein Einsatz von Kameras mit Audio-Funktionalität (ggf. zu zerstören)<br />
‣ Sämtliche Vorgaben gelten auch bei Einsatz von Videokamera-Attrappen<br />
‣ Alle 2 Jahre ist die Erforderlichkeit der jew. Anlage zu überprüfen<br />
• Link: Handreichung zur Videoüberwachung (HmbBfDI)<br />
• Musterformular für alle Hochschulen <strong>und</strong> die Stabi (gDSB) *<br />
(*= künftig auch im Bibliotheks-Wiki im Ordner <strong>Daten</strong>schutz)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 51
Weitere Informationsquellen<br />
• ZENDAS<br />
• Ausblick: Informationsportal der gDSB<br />
• HmbBfDI<br />
• <strong>Daten</strong>schutz.de<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 52
Vielen Dank <strong>und</strong> …<br />
Bernd Uderstadt<br />
Von-Melle-Park 3<br />
20146 Hamburg<br />
040 / 4 28 38-58 01<br />
datenschutz@sub.uni-hamburg.de (Funktionspostfach gDSB)<br />
datenschutzbeauftragter@sub.uni-hamburg.de (Funktionspostfach DSB der SUB)<br />
bernd.uderstadt@sub.hamburg.de (pers. Email-Account im FHHnet)<br />
http://www.sub.uni-hamburg.de<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 53
Fragen <strong>und</strong> Antworten<br />
• Im Vorfeld der Veranstaltung konnten <strong>und</strong> sollten unsere Bibliothekskolleginnen<br />
<strong>und</strong> –kollegen Fragen <strong>und</strong> Probleme skizzieren, die sie im Arbeitsalltag bewegen.<br />
• Heraus kam ein interessanter Mix an Fragen, welche die ganze Bandbreite des<br />
Themas <strong>Daten</strong>schutz im alltäglichen Geschäftsleben verdeutlichen. Hierfür ein<br />
herzlicher Dank an Sie.<br />
• Auf den folgenden Folien versuchen wir Ihnen mehr oder minder präzise<br />
Vorschläge <strong>und</strong> Anregungen zu den verschiedenen Fragestellungen zu geben.<br />
• Bei der Komplexität einiger Fragen sind weitere Erörterungen im Rahmen unserer<br />
Beratungsangebote sinnvoll <strong>und</strong> erforderlich. Hierfür stehen wir allen<br />
Mitarbeiterinnen <strong>und</strong> Mitarbeitern von SUB, UHH, HfMT, HFBK, HCU <strong>und</strong> TUHH<br />
gern zur Verfügung.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 54
Frage I :<br />
• Falls Personen Hausverbot erhalten haben, in wieweit ist es zulässig<br />
identifizierendes Material (Name, Foto, Beschreibung) zu verbreiten?<br />
(an alle Beschäftigte, Fremd-/Wachpersonal, Aushang im Eingangsbereich?)<br />
‣ Diese Frage ist im Kontext des Betriebs einer Bibliothek zu sehen. Wer hat welche<br />
geschäftlichen Rollen inne? Zulässig ist die Übermittlung der genannten Informationen<br />
(Foto nur wenn es aus öffentlichen Quellen stammt, oder i.R. der Bibliotheksnutzung<br />
rechtmäßig erhoben wurde) an die Kolleginnen <strong>und</strong> Kollegen, die berechtigt sind, dass<br />
Hausrecht auszuüben. Erforderlich bzw. zumindest dringend empfehlenswert ist daher<br />
eine entsprechende Orga-Verfügung der Bibliotheksleitung bzw. der verantwortlichen<br />
Stelle für die Ausübung des Hausrechts. Unzulässig ist eindeutig ein öffentlicher Aushang<br />
(käme einer öff. Denunzierung gleich) bzw. auch nur die Einsichtnahme durch<br />
unberechtigte Dritte (z.B. K<strong>und</strong>en) in die pb<strong>Daten</strong> der Person der das Hausverbot erteilt<br />
wurde. Im Zusammenhang mit der erforderlichen Verfahrensbeschreibung für das<br />
Fachverfahren „Bibliotheksnutzung“ sollten auch die o.g. Prozesse dargestellt werden.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 55
Frage II :<br />
• Ist es zulässig, bei Büchern, die nur einmal in der Bibliothek vorhanden<br />
sind <strong>und</strong> langfristig in Dienstzimmern stehen, diesen Standort offen im<br />
Katalog anzugeben, einschließlich Nennung des Dauerentleihers,<br />
vorausgesetzt dessen/deren Einverständnis liegt vor?<br />
‣ Betroffen sind hier insbesondere die Persönlichkeitsrechte der künftigen Leserin / des künftigen Lesers,<br />
aber auch des Dauerentleihers. Während Letztere/r sich zumindest evtl. unbequeme Arbeitsgänge erspart,<br />
muss die künftige Entleiherin / der neue Leser sich gegenüber dem bibliotheksfremden Dauerentleiher<br />
„outen“ welche ggf. spezielle Literatur sie / er lesen möchte. Im Rahmen einer Abwägung überwiegen<br />
u.E. die Persönlichkeits-rechte der /des künftigen Leserin/Lesers. Informationen über die Ausleihe (wer<br />
liest was) sollten nur der Bibliothek im Rahmen der konkreten Ausleihprozesse bekannt sein. Die<br />
Vorgänge sollten transparent <strong>und</strong> umfassend in den jew. Benutzerordnungen geregelt sein. Auch hier ist<br />
eine Verfahrensbeschreibung vorzuhalten <strong>und</strong> eine Vorabkontrolle/ Risikoanalyse durchzuführen <strong>und</strong><br />
schriftlich zu dokumentieren. Die Einwilligungslösung (Beide müssen informiert (d.h. über mögliche Vor<strong>und</strong><br />
Nachteile aufgeklärt) eingewilligt haben) sollte aus unserer Sicht die absolute Ausnahme darstellen,<br />
eine transparente Regelung in der Benutzerordnung ist eindeutig vorzuziehen.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 56
Frage III :<br />
• Problem: Beschäftigte, die im LBS-System eine Verbuchung vornehmen,<br />
erhalten Einsicht in sämtliche personenbezogenen <strong>Daten</strong> eines Nutzers. Zum<br />
Kreise der Beschäftigen zählen ebenso abhängig beschäftige Mitarbeiter wie<br />
studentische Hilfskräfte. Inwieweit müssen Personen, die mit<br />
Verbuchungsvorgängen betraut sind, schriftlich auf die Einhaltung des<br />
<strong>Daten</strong>schutzes verpflichtet werden, <strong>und</strong> wenn ja, wie sieht so eine schriftliche<br />
Verpflichtung aus formaler Sicht aus?<br />
‣ Nach § 7 HmbDSG ist keine schriftliche Verpflichtung auf das <strong>Daten</strong>geheimnis erforderlich<br />
(siehe auch Folie 24), jede Person ist bei Zugriff auf die <strong>Daten</strong> verpflichtet, das<br />
<strong>Daten</strong>geheimnis zu wahren. Die Universität Hamburg <strong>und</strong> die HafenCity Universität haben<br />
sich aber in vertraglichen Dienstvereinbarungen mit ihren Personalräten verbindlich<br />
zugesichert, ihre Mitarbeiterinnen <strong>und</strong> Mitarbeiter schriftlich zu verpflichten. Ob dies auch<br />
für weitere öff. Hochschulen in Hamburg gilt entzieht sich unserer Kenntnis.<br />
Eine Mustervorlage stellen wir Ihnen im Bibliotheks-WiKi (Ordner <strong>Daten</strong>schutz) zeitnah zur<br />
Verfügung.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 57
Frage IV :<br />
• Können Mitarbeiter/innen aus datenschutz-rechtlichen Gründen die<br />
Angaben für einen Dienstplaner, der allen Angestellten zugänglich ist,<br />
verweigern? Gemeint sind hauptsächlich Abwesenheiten (ganztägig<br />
ohne Nennung der Gründe, dienstliche Teilabwesenheit mit<br />
Benennung wie z. Bsp.: Sitzungstermine)<br />
‣ Hinsichtlich der Nutzung dienstlicher Arbeitsmittel zur Bürokommunikation (Email,<br />
Kalender, Kontakte, etc.) ist zwischen der FHH <strong>und</strong> den Spitzenverbänden der<br />
Gewerkschaften eine sogenannte 94er-Vereinbarung geschlossen worden (nach § 94<br />
HmbPersVG). In der Anlage hierzu ist auch definiert, wie mit solchen Kalenderfunktionen<br />
unter Wahrung der Privatsphäre der Mitarbeiterinnen <strong>und</strong> Mitarbeiter umgegangen<br />
werden soll. Oftmals fehlt es leider – aus unserer Sicht – an konkretisierenden<br />
Organisationsverfügungen der Hochschulen bzw. der jew. Fachbereiche, welche Details<br />
der Kalender- <strong>und</strong> Emailnutzung auch für Vertretungs- <strong>und</strong> Abwesenheitsfälle transparent<br />
regeln. Unsere dringende Empfehlung an die Leitungsebenen: Machen Sie die Organisationsprozesse<br />
transparent! Dies hilft innerbetriebliche Konflikte zu vermeiden.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 58
Frage V :<br />
• Ist es zulässig, Nutzerdaten aus dem Ausleihsystem zu verwenden, um<br />
die Nutzer über F<strong>und</strong>sachen (z.B. Leseausweise, auf dem Kopierer<br />
vergessene amtliche Dokumente, Handys u.a.) zu informieren?<br />
‣ Sofern eine eindeutige Zuordnung der F<strong>und</strong>stücke zu einen konkreten Nutzer möglich ist<br />
hätten wir keine Bedenken, so zu verfahren.<br />
‣ Empfehlung: Definieren Sie die Nutzung der pb<strong>Daten</strong> für diese Fälle als zusätzliche<br />
Zweckbestimmung in der (vermutlich noch nicht vorhandenen) Verfahrensbeschreibung<br />
Ihrer Bibliothek (siehe hierzu auch Folien 26 ff.)<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 59
Frage VI :<br />
• Thema Web-Analyse Software:<br />
Welche Software kann ich aus datenschutzrechtlicher Sicht zur Analyse des<br />
Nutzungsverhaltens einer Website bedenkenlos einsetzen, welche nicht, <strong>und</strong><br />
warum nicht? Kann man beispielsweise Google Analytics oder AWStats<br />
bedenkenlos verwenden?<br />
‣ Nach unserer laienhaften Kenntnis (wir sind keine IT-Sicherheits-Spezialisten) erheben alle<br />
am Markt verfügbaren Webtracking-Tools mehr oder weniger viele personenbezogene<br />
oder personenbeziehbare <strong>Daten</strong> (u.a. die IP-Adresse, die nach herrschender Rechtsauffassung<br />
als pbDatum gilt). Daher ist in jedem Einzelfall eine detaillierte Prüfung der IT-<br />
Prozesse erforderlich => Stichwort Vorabkontrolle/Risikoanalyse (s. auch Folien 29 ff.).<br />
<strong>Daten</strong>schutzgerechte Anwendungsszenarien sind uns bekannt von den Produkten PIWIK,<br />
AWStats <strong>und</strong> auch Google Analytics (Hinweise des HmbBfDI). In aller Regel ist zudem ein<br />
Vertrag zur Auftragsdatenverarbeitung nach § 3 HmbDSG (s. Folien 35 ff.) abzuschließen,<br />
sofern der Anbieter als Dienstleister agiert <strong>und</strong> nicht eine komplette In-House-Lösung<br />
realisiert wurde.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 60
Frage VII :<br />
• Wie ist mit Diplom-, bzw. Abschlussarbeiten zu verfahren, für die keine<br />
Einverständniserklärung seitens des/der Verf. vorliegt, dass die Arbeit<br />
in der Bibliothek zugänglich <strong>und</strong> im Katalog nachgewiesen sein darf.<br />
‣ Sofern diese Einwilligung fehlt <strong>und</strong> auch keine Rechtsgr<strong>und</strong>lage für die Veröffentlichung<br />
vorliegt (s. Folien 19 ff.) – z.B. eine Prüfungs- oder Promotionsordnung – mit<br />
entsprechender Legitimation, darf die entsprechende Arbeit nicht veröffentlicht werden.<br />
Dies gilt auch für die bloße Erfassung von Name <strong>und</strong> Titel der Arbeit.<br />
‣ Wie gehen wir aber mit Altlasten um? (z.B. Fälle in denen nicht bzw. nur sehr arbeitsintensiv<br />
nachprüfbar ist, ob eine Einwilligung vorliegt)<br />
‣ Sofern sich eine solche Überprüfung einfach gestaltet, sollten Arbeiten ohne Legitimation<br />
für die Veröffentlichung aus Bibliothek <strong>und</strong> Katalogen (Campus-Katalog, WorldCat)<br />
entfernt werden. Bei zeitintensiven Recherche-Aufwänden sollte ggf. eine Reaktion der<br />
Betroffenen abgewartet werden.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 61
Frage VIII :<br />
• Welche Voraussetzungen sind zu erfüllen, um Bachelor- <strong>und</strong><br />
Masterarbeiten als Pdf-Dokument zur Verfügung zu stellen?<br />
Reicht hier die übliche Einverständniserklärung?<br />
‣ Diese Frage erscheint zunächst trivial, wirft aber bei näherer Betrachtung verschiedenste<br />
Folgefragen auf. Zudem sind neben Fragen des <strong>Daten</strong>schutzes, besser der „data privacy“,<br />
auch Urheberrechtsfragen zu betrachten. Für eine umfassende Beantwortung fehlt an<br />
dieser Stelle die Zeit – oder die Antwort könnte nur lauten: NEIN!<br />
‣ Bachelor- <strong>und</strong> Masterarbeiten stellen persönliche Werke ihrer Autoren dar. Diese sind<br />
gegen Missbräuche (Fremdnutzung, Veränderung, etc.) zu schützen. Es sind also zunächst<br />
einmal technische Maßnahmen zu ergreifen, die sicherstellen, dass die Integrität <strong>und</strong><br />
Authentizität des Werkes gewährleistet ist. Technisch ausgedrückt ist das jeweilige<br />
Dokument mit einer qualifizierten digitalen Signatur zu versehen. Eine normale pdf-Datei<br />
reicht hier bei weitem nicht aus. Wir empfehlen die Einbindung Ihrer IT-Abteilung <strong>und</strong> Ihrer<br />
Rechtsabteilung bzgl. der urheberrechtlichen Fragestellungen.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 62
Frage IX :<br />
• Nach welchen Vorgaben darf eine Videoüberwachungsanlage<br />
betrieben werden?<br />
‣ Eine einfache Antwort zum Abschluss: § 30 HmbDSG stellt für die öffentlichen<br />
Hamburger Hochschulen <strong>und</strong> die <strong>Staats</strong>- <strong>und</strong> Universitätsbibliothek Hamburg<br />
die abschließende <strong>und</strong> einzige Rechtsgr<strong>und</strong>lage für den Einsatz von Videoüberwachungsanlagen<br />
im öffentlichen Raum der Freien <strong>und</strong> Hansestadt Hamburg<br />
dar (s. Folien 50 ff.).<br />
‣ Mit Blick auf „die internationalen Teilnehmer“ ;-) an unserem Workshop sei<br />
folgender Hinweis erlaubt: Für nicht-öffentliche Institutionen, Bibliotheken <strong>und</strong><br />
Vereine, Unternehmen gilt das B<strong>und</strong>esdatenschutzgesetz (BDSG). Einschlägige<br />
Rechtsnorm ist dort der § 6b BDSG mit deutlich anderer inhaltlicher<br />
Ausrichtung.<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 63
• Bild Lichthof<br />
<strong>Daten</strong>schutz in Bibliotheken – Gr<strong>und</strong>lagen <strong>und</strong> aktuelle Fragen | 12.06.2012 | 64