Personenbezogene Daten - Staats- und UniversitÃ¤tsbibliothek ...

Datenschutz in Bibliotheken - 

Grundlagen und aktuelle Fragen / aktualisierte Print-Version 

Bernd Uderstadt / Datenschutzbeauftragter (DSB) der SUB & 

Referent der gemeinsamen DSB von UHH, HfMT, HFBK, HCU & TUHH (gDSB) 

12. / 29. Juni 2012

Hinweis 

• Der Workshop zu Grundlagen des Datenschutzes in Bibliotheken und 

aktuellen Fragestellungen fand am 12.06.2012 in der Staatsbibliothek 

Hamburg statt 

• In dieser im Nachgang aktualisierten Version des Vortrags finden sich 

kleine redaktionelle Änderungen, weitere Links sowie kurze Antworten 

zu den Fragen aus dem Auditorium (Folien 54 - 63) 

• Bei der Komplexität einiger Fragen sind weitere Erörterungen im 

Rahmen unserer Beratungsangebote sinnvoll. Hierfür stehen wir allen 

Mitarbeiterinnen und Mitarbeitern von SUB, UHH, HfMT, HFBK, HCU 

und TUHH gern zur Verfügung. Dies gilt auch, sofern Sie als Betroffene 

bzw. Betroffener Fragen an uns richten möchten. 

Datenschutz in Bibliotheken – Grundlagen und aktuelle Fragen | 12.06.2012 | 2

Inhalt (1) 

Folie/n 

• Datenschutzbeauftragte der Hmb. Hochschulen & der Staatsbibliothek … 6 -7 

• Aufgaben der behördlichen Datenschutzbeauftragten ……………………. 8 – 10 

• Der Hmb. Beauftragte für Datenschutz u. Informationsfreiheit (HmbBfDI). 11 

• Rechtsgrundlagen – Übersicht ………………………………………………. 12 

• Unsere Grundrechte ………………………………………………………….. 14 – 15 

• Begriffsbestimmungen ……………………………………………………….. 16 

• Die Daten verarbeitende Stelle ………………………………………………. 18 

• Zulässigkeit der Datenverarbeitung ………………………………………….. 19 – 21 

• …. 


Inhalt (2) 

Folie/n 

• Rechte der Betroffenen ………………………………………………………. 22 – 23 

• Datengeheimnis nach § 7 HmbDSG …………………………………………… 24 

• Die Verfahrensbeschreibung (§ 9 HmbDSG) …………………………………. 26 – 28 

• Technische u. organisatorische Maßnahmen; Vorabkontrolle (§ 8 HmbDSG). 29 – 34 

• Datenverarbeitung im Auftrag (§ 3 HmbDSG) ……………………………..…. 35 – 41 

• Auskunft (§ 18 HmbDSG) …………………………………………………….…. 42 

• Berichtigung, Sperrung und Löschung (§ 19 HmbDSG) ………………………. 43 – 47 

• Weitere Rechtsgrundlagen nach HmbDSG ……………………………………. 48 – 49 

• …. 


Inhalt (3) 

Folie/n 

• Videoüberwachung (§ 30 HmbDSG) …………………………………………… 50 – 51 

• Weitere Informationsquellen ………………………………………………….. 52 

• Kontakt ……………………………………………………………………….…. 53 

• Fragen & Antworten ……………………………………………………………. 54 – 63 


Die behördlichen Datenschutzbeauftragten (DSB) der öffentl. Hmb. 

Hochschulen, inkl. ihrer Fachbibliotheken, sowie der Staatsbibliothek HH 

• Datenschutzbeauftragte der HAW 

• Gemeinsame Datenschutzbeauftragte der 

UHH, HfMT, HFBK, HCU und TUHH => Prof. Dr. Gabriele Beger 

• Datenschutzbeauftragter der SUB => Bernd Uderstadt 

 

Anm.: Sämtliche öffentlichen Hamburger Hochschulen und die Staatsbibliothek 

Hamburg (Landesbetrieb der BWF) sind damit der Empfehlung des Gesetzgebers zur 

Bestellung von behördlichen Datenschutzbeauftragten gefolgt, obwohl keine 

gesetzliche Pflicht zur Bestellung bestellt. 


Hochschul-Kooperation Datenschutz 

Gemeinsame Datenschutzbeauftragte (gDSB) von … 

• Universität Hamburg (UHH) 

• Hochschule für Musik und Theater Hamburg (HfMT) 

• Hochschule für bildende Künste (HFBK) 

• HafenCity Universität Hamburg (HCU) 

• Technische Universität Hamburg-Harburg (TUHH) 

• Staats- und Universitätsbibliothek Hamburg (SUB) 


Die Aufgaben der behördlichen Datenschutzbeauftragten (1) 

• Die behördlichen Datenschutzbeauftragten (behDSB) haben die 

Aufgabe, die Daten verarbeitenden Stellen und deren 

Personalvertretungen in der Ausführung des Hamburgischen 

Datenschutzgesetzes (HmbDSG) sowie anderer Vorschriften über den 

Datenschutz zu unterstützen. 

• Sie können sich unmittelbar an die Leitung der Daten verarbeitenden 

Stelle wenden. Sie sind bei ihrer Tätigkeit weisungsfrei und dürfen 

wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. 

• Sie sind … bei der Erfüllung ihrer Aufgaben zu unterstützen. 



• Zu ihren Aufgaben gehört es insbesondere, 

1. auf die Umsetzung und Einhaltung von Vorschriften über den 

Datenschutz hinzuwirken, 

2. die nach § 9 HmbDSG zu erstellenden Verfahrensbeschreibungen 

zu führen und zur Einsicht bereitzuhalten, 

3. das Ergebnis der Vorabkontrolle nach § 8 Absatz 4 HmbDSG zu 

prüfen und im Zweifelsfall den HmbBfDI zu hören. 

( § 10 a Abs. 5 HmbDSG ) 



• Betroffene und Beschäftigte können sich in allen Angelegenheiten des 

Datenschutzes jederzeit unmittelbar an die behördlichen 

Datenschutzbeauftragten wenden; niemand darf deswegen 

gemaßregelt oder benachteiligt werden. 

• Die behördlichen Datenschutzbeauftragten sind, auch nach 

Beendigung ihrer Tätigkeit, zur Verschwiegenheit über die Identität 

Betroffener und Beschäftigter, die sich an sie gewandt haben, sowie 

über Umstände, die Rückschlüsse auf diese Personen zulassen, 

verpflichtet. Dies gilt nicht, soweit die Betroffenen oder Beschäftigten 

sie von der Pflicht zur Verschwiegenheit entbunden haben. 

( § 10 a Abs. 6+7 HmbDSG ) 


Der Hamburgische Beauftragte für Datenschutz und 

Informationsfreiheit (HmbBfDI) 

Daten verarbeitende Stellen des HmbBfDI: 

• Landesbeauftragter für den Datenschutz ( § 23 HmbDSG ) 

• Aufsichtsbehörde ( § 38 BDSG ) 

• Informationsfreiheitsbeauftragter ( § 15 HmbIFG ) 

( WebSite des HmbBfDI ) 


Das Dickicht der Rechtsgrundlagen 

• Europäische Datenschutz-RL 95/46EG 

• Bundesdatenschutzgesetz (BDSG) 

• 16 Landesdatenschutzgesetze (LDSG‘s) 

• … das Hamburgische Datenschutzgesetz (HmbDSG) 

• Telemediengesetz (TMG) & Telekommunikationsgesetz (TKG) 

• Spezialgesetze mit Datenschutzregelungen (z.B. HmbHG, HmbPersVG) 


Das obligatorische Vorwort 

• Die nachfolgenden Informationen gelten unter dem 

Vorbehalt … 

des geschäftlichen / dienstlichen Handelns 

der Verarbeitung personenbezogener Daten (pbDaten) 


Ihre / Unsere (Grund-)Rechte (1) 

• …als Mitarbeiterinnen, Studierende, Benutzerinnen, Kunden,… 

§ 1 HmbDSG – Aufgabe des Datenschutzes 

„Dieses Gesetz regelt die Verarbeitung personenbezogener Daten 

durch öffentliche Stellen, um das Recht einer jeden Person zu 

schützen, selbst über die Preisgabe und Verwendung ihrer Daten 

zu bestimmen, soweit keine Einschränkungen in diesem Gesetz 

oder in anderen Rechtsvorschriften zugelassen sind.“ 


Ihre / Unsere (Grund-)Rechte (2) 

• Der Ursprung: Das Volkszählungsurteil von 1983 

• Datenschutz = Grundrecht 

• Grundrechtseingriff auf Grund eines Gesetzes 

• für das Gemeinwohl notwendig 

• bereichsspezifisch 

• normenklar 

• unabhängige Datenschutzkontrolle 


Begriffsbestimmungen 

• Personenbezogene Daten (pbDaten) sind Einzelangaben über 

persönliche oder sachliche Verhältnisse bestimmter oder 

bestimmbarer natürlicher Personen (Betroffene, betroffene 

Personen). 

• Datenverarbeitung ist das Erheben, Speichern, 

Verändern, Übermitteln, Sperren, Löschen und 

Nutzen von personenbezogenen Daten. 

• Weitere Begrifflichkeiten => siehe § 4 HmbDSG 


Datenverarbeitung 

Erheben 

Speichern 

Verändern Nutzen Übermitteln 

Sperren 

Löschen 

( § 4 Abs. 2 HmbDSG ) 


Die Daten verarbeitende Stelle 

• Daten verarbeitende Stelle => verantwortliche Stelle 

• Im rechtlichen Sinne => Präsidium der Hochschule / 

Direktorium der SUB ( § 2 Abs. 1 HmbDSG ) 

• Präsidium / Direktorium delegiert => 

„fachverantwortliche Stelle“ 

(allgemeiner Sprachgebrauch der gDSB) 


Zulässigkeit der Datenverarbeitung - § 5 HmbDSG (1) 

• Die Verarbeitung personenbezogener Daten (pbDaten) ist nur zulässig, 

soweit 

1. dieses Gesetz oder eine besondere Rechtsvorschrift über 

den Datenschutz sie erlaubt oder 

2. die Betroffenen eingewilligt haben. 

!! An die Verarbeitung pbDaten, aus denen die rassische und ethnische Herkunft, 

politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die 

Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit 

und Sexualleben, werden besondere Bedingungen geknüpft !! 

Anm.: Diese Datenkategorien werden auch als sensitive oder sensible pbDaten bezeichnet, 

wobei der Begriff nicht abschließend nur für diese Daten verwendet werden kann. 




• Die Einwilligung in die Verarbeitung personenbezogener Daten bedarf der 

Schriftform, soweit nicht wegen besonderer Umstände eine andere Form 

angemessen ist. 

• Gegenstand, Inhalt und Umfang der erlaubten Verarbeitung, insbesondere die Art 

der Daten, die Adressaten der Übermittlung, der Verwendungszweck und die Dauer 

der Aufbewahrung, sind in der Einwilligungserklärung klar und verständlich zu 

bezeichnen; die Betroffenen sind unter Darlegung der Rechtsfolgen darauf 

hinzuweisen, dass sie die Einwilligung verweigern und mit Wirkung für die Zukunft 

widerrufen können. Wird die Einwilligung zusammen mit anderen Erklärungen 

schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild der 

Erklärung hervorzuheben. 

• Die Einwilligung ist unwirksam, wenn sie durch unangemessene Androhung von 

Nachteilen, durch fehlende Aufklärung oder in sonstiger, gegen die Gebote von 

Treu und Glauben verstoßender Weise erlangt wurde. ( § 5 Abs. 2 HmbDSG ) 



• Es gilt der Grundsatz der Datensparsamkeit : 

‣ Die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung 

technischer Einrichtungen haben sich auch an dem Ziel auszurichten, so wenig 

personenbezogene Daten wie möglich zu erheben und weiter zu verarbeiten. 

Dabei ist jeweils zu prüfen, inwieweit es möglich ist, personenbezogene Daten 

anonym oder pseudonym zu verarbeiten. Erforderlich sind Maßnahmen zur 

anonymen oder pseudonymen Datenverarbeitung nur, wenn ihr Aufwand in einem 

angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht. 



Rechte der Betroffenen - § 6 HmbDSG (1) 

• Die Betroffenen haben ein Recht auf 

1. Geltendmachung von Einwänden gegen die Verarbeitung ihrer 

Daten (§ 5 Absatz 3), 

2. Aufklärung bei der Herausgabe mobiler Datenverarbeitungs-medien 

(§ 5 b), 

3. Anrufung der bzw. des behördlichen Datenschutzbeauftragten (§ 10 

a Absatz 6), 

4. Unterrichtung bei der Erhebung (§ 12 a), 

5. Sperrung der Übermittlung an Stellen außerhalb des öffentlichen 

Bereichs (§ 16 Absatz 3), 

6. … 


Rechte der Betroffenen - § 6 HmbDSG (2) 

• Die Betroffenen haben ein Recht auf 

6. Auskunft (§ 18), 

7. Berichtigung (§ 19 Absatz 1), 

8. Sperrung (§ 19 Absatz 2), 

9. Löschung (§ 19 Absatz 3), 

10. Schadensersatz (§ 20), 

11. Anrufung der oder des Hamburgischen Beauftragten für 

Datenschutz und Informationsfreiheit (§ 26). 

• Auf diese Rechte kann nicht im Vorwege verzichtet werden. 

( § 6 HmbDSG ) 


Datengeheimnis - § 7 HmbDSG 

• „Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen 

oder ihren auftragnehmenden Stellen dienstlichen Zugang zu 

personenbezogenen Daten haben, ist es untersagt, geschützte 

personenbezogene Daten unbefugt zu einem anderen als dem zur 

jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, 

insbesondere bekannt zu geben oder zugänglich zu machen. Dieses 

Verbot besteht auch nach Beendigung der Tätigkeit fort.“ 

( § 7 HmbDSG ) 

• Demnach bedarf es formalrechtlich keiner schriftlichen Verpflichtung 

• Aber: Vertragliche Verpflichtungen bei UHH und HCU 

=> Dienstvereinbarungen mit den jew. Personalräten 


Das HmbDSG im täglichen Workflow 

• Die Verfahrensbeschreibung ( § 9 HmbDSG ) 

- Transparenz für die Öffentlichkeit - 

• Die ToM‘s und die Vorabkontrolle ( § 8 HmbDSG ) 

- wie steht‘s um die IT-Sicherheit ? - 

• Die Auftrags-DV (§ 3 HmbDSG) 

- eine clevere juristische Lösung !? - 


Die Verfahrensbeschreibung (1) 

• Die Daten verarbeitende Stelle legt in einer laufend auf dem 

neuesten Stand zu haltenden Verfahrensbeschreibung für jedes 

automatisierte Verfahren, mit dem pbDaten verarbeitet werden 

sollen, fest … 

1. den Name und Anschrift der Daten verarbeitenden Stelle, 

2. die Bezeichnung des Verfahrens und seine Zweckbestimmungen, 

3. die Art der verarbeitenden Daten sowie die Rechtsgrundlage […] 

4. den Kreis der Betroffenen, 

5. die Empfängerinnen oder Empfänger […] die Daten erhalten 

können 

… 



… 

6. eine beabsichtigte Datenübermittlung (außerhalb der EU) 

7. Fristen für die Sperrung und Löschung der Daten, 

8. die technischen und organisatorischen (Sicherheits-) 

Maßnahmen nach § 8 HmbDSG - die toM‘s , 

9. die Art der Geräte, die Stellen, bei denen sie aufgestellt sind 

sowie das Verfahren zur Übermittlung, Sperrung, Löschung, 

Auskunftserteilung und Benachrichtigung. 

// Ausnahmen: öffentliche Register / Verfahren der allg. Bürotätigkeit // 

( § 9 Abs. 1+2 HmbDSG ) 



• !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 

Die Verfahrensbeschreibungen können bei der 

Daten verarbeitenden (verantwortlichen) Stelle von 

jeder Person eingesehen werden ! ( § 9 Abs. 3 HmbDSG ) 

• !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 

• Verfahrensbeschreibung – HowTo 

Handreichung/Orientierungshilfe der gDSB * 

Musterformular für alle Hochschulen und die Stabi (gDSB) * 

(*= künftig auch im Bibliotheks-Wiki im Ordner Datenschutz) 


Die ToM‘s und die Vorabkontrolle (1) 

• Die technischen und organisatorischen Maßnahmen 

- „Die Daten verarbeitenden Stellen und ihre auftragnehmen-den 

Stellen haben die technischen und organisatorischen Maßnahmen 

zu treffen, die erforderlich sind, um die Aus-führung der 

Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind 

technische und organisatorische Maß-nahmen nur, wenn ihr 

Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit 

der Daten steht.“ 

… 




• Die toM‘s im Kontext der pbDaten ( § 8 Abs. 2 HmbDSG ) 

- „Werden personenbezogene Daten automatisiert verarbeitet, sind 

technische und organisatorische Maßnahmen zu treffen, die 

geeignet sind zu gewährleisten, dass … 

1. nur Befugte die pbDaten zur Kenntnis nehmen können 

(Vertraulichkeit), 

2. die pbDaten während der Verarbeitung unverfälscht, 

vollständig und widerspruchsfrei bleiben (Integrität), 

… 



• Die toM‘s im Kontext der pbDaten 

- … 

3. die pbDaten zeitgerecht zur Verfügung stehen und 

ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 

4. die pbDaten ihrem Ursprung zugeordnet werden können 

(Authentizität), 

5. festgestellt werden kann, wer wann welche pbDaten in 

welcher Weise verarbeitet hat (Revisionsfähigkeit). 




• Die toM‘s im Kontext der pbDaten 

- Gilt auch für die „analoge Datenverarbeitung“: 

„Werden pbDaten nicht-automatisiert verarbeitet, sind 

technische und organisatorische Maßnahmen zu treffen, 

um insbesondere den Zugriff Unbefugter bei der Bearbeitung, 

der Aufbewahrung, dem Transport und der Vernichtung 

zu verhindern“. 




• Vorabkontrolle / Risikoanalyse 

„Vor der Entscheidung über die Einführung oder die 

wesentliche Veränderung eines automatisierten Verfahrens, 

mit dem pbDaten verarbeitet werden sollen, haben die Daten 

verarbeitenden Stellen zu untersuchen, ob und in welchem 

Umfang mit der Nutzung dieses Verfahrens Gefahren für die 

Rechte der Betroffenen verbunden sind. Die Einführung und 

die wesentliche Änderung … sind nur zulässig, soweit 

derartige Gefahren durch toM‘s wirksam beherrscht werden 

können… .“ 




• Vorabkontrolle / Risikoanalyse - HowTo 

- Handreichung und Muster-Risikoanalyse des HmbBfDI 

- BSI-IT-Grundschutzkataloge 

- BSI-IT-Grundschutzstandards 

- Alternativen: Best Practice nach ITIL oder COBIT 

- ISMS-Tools: 


Die Datenverarbeitung im Auftrag (1) 

• Jede Übermittlung pbDaten bedarf einer Rechtsgrundlage bzw. der 

Einwilligung der Betroffenen 

• Der Trick: Die Auftrags-DV ( § 3 Abs. 1 HmbDSG ) 

- Wir suchen uns einen geeigneten Dienstleister, der die pbDaten 

strikt nach unseren Vorgaben und nur für unsere Zwecke 

verarbeitet … 

… und schon handelt es sich im datenschutzrechtlichen Sinne 

nicht mehr um eine Übermittlung an Dritte . 



• Voraussetzungen: 

- Die auftragnehmende Stelle (AN) ist unter besonderer 

Berücksichtigung der Eignung der von ihr getroffenen technischen 

und organisatorischen Maßnahmen ( § 8 HmbDSG ) sorgfältig 

auszuwählen. 

- Der AN ist verpflichtet, die Daten nur zu dem Zweck zu verarbeiten, 

zu dem sie ihm vom Auftraggeber (AG) überlassen worden sind, 

sowie nach Erledigung des Auftrags die überlassenen Datenträger 

zurückzugeben, zu löschen oder zu vernichten und bei ihm 

gespeicherte pbDaten zu löschen, soweit nicht besondere 

Rechtsvorschriften entgegenstehen. 



• Empfehlung: ein schriftlicher Vertrag (1) 

Inhalt: 

1. Gegenstand und die Dauer des Auftrags, 

2. Umfang, Art und der Zweck der vorgesehenen Erhebung, 

Verarbeitung oder Nutzung von Daten, die Art der Daten und der 

Kreis der Betroffenen, 

3. die nach § 8 HmbDSG zu treffenden technischen und 

organisatorischen Maßnahmen, 

4. die Berichtigung, Löschung und Sperrung von Daten, 

5. … 



• Empfehlung: ein schriftlicher Vertrag …(2) 

… 

5. die Plichten des AN, insbesondere die von ihm vorzunehmenden 

Kontrollen, 

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 

7. die Kontrollrechte des AG‘s und die entsprechenden Duldungs- und 

Mitwirkungspflichten des AN, 

8. mitzuteilende Verstöße des AN oder der bei ihm beschäftigten 

Personen gegen Vorschriften zum Schutz pbDaten oder gegen die 

im Auftrag getroffenen Festlegungen, … 



• Empfehlung: ein schriftlicher Vertrag …(3) 

… 

9. der Umfang der Weisungsbefugnisse, die sich der AG gegenüber 

dem AN vorbehält, 

10. die Rückgabe überlassener Datenträger und die Löschung beim 

AN. 

!!! Ein Vertrag zur Auftrags-DV ist auch abzuschließen für 

beratende, begutachtende Tätigkeiten … 

Wartungsarbeiten oder Hilfstätigkeiten bei der DV … 

… sofern dabei nicht ausgeschlossen werden kann, dass der AN Zugriff 

auf die pbDaten nehmen könnte. 



• Die Spitzfindigkeiten (1) 

- Ein Auftragnehmer ist nur ein Auftragnehmer … 

… wenn er die pbDaten im Auftrag in einem Mitgliedstaat 

der Europäischen Union verarbeitet. 

- … ansonsten ist er Dritter => § 4 Abs. 4 HmbDSG 

„Dritte sind alle Stellen außerhalb der Daten verarbeitenden 

(verantwortlichen) Stelle, ausgenommen die Betroffenen 

und diejenigen Stellen, die in einem Mitgliedstaat der EU 

pbDaten im Auftrag verarbeiten.“ 



• Die Spitzfindigkeiten (2) 

- Ist der Auftragnehmer aber ein Dritter, so werden ihm die pbDaten 

übermittelt: 

„ Im Einzelnen ist Übermitteln das Bekanntgeben von Daten an 

Dritte in der Weise, dass die Daten weitergegeben, zur Einsicht 

bereitgehalten oder veröffentlicht werden oder dass Dritte in 

einem automatisierten Verfahren bereitgehaltene Daten abrufen“ 

(§ 4 Abs. 2 Satz 2 Ziff. 4 HmbDSG) 

- § 5 HmbDSG => Die Übermittlung bedarf einer Rechtsvorschrift … 


Auskunft - § 18 HmbDSG 

• Abs. 1 (von 6) 

Den Betroffenen ist von der Daten verarbeitenden Stelle auf 

Antrag gebührenfrei Auskunft zu erteilen über 

1. die zu ihrer Person gespeicherten Daten, 

2. die Zweckbestimmungen und die Rechtsgrundlage der 

Speicherung, 

3. die Herkunft der Daten und die Empfängerinnen oder 

Empfänger oder den Kreis der Empfängerinnen und 

Empfänger; […] 

[…] 


Berichtigung, Sperrung und Löschung - § 19 HmbDSG (1) 

• Abs. 1 – Berichtigung 

- Personenbezogene Daten (pbDaten) sind unverzüglich zu 

berichtigen, wenn sie unrichtig sind. […] 

// Für Akten gilt: Vermerken, zu welchem Zeitpunkt oder aus welchem Grund 

diese Daten unrichtig waren / wurden // 

- … 


Berichtigung, Sperrung und Löschung - § 19 HmbDSG… (2) 

• Abs. 2 – Sperrung (1) 

- pbDaten sind zu sperren, wenn 

1. ihre Richtigkeit von den Betroffenen bestritten wird und sich 

weder die Richtigkeit noch die Unrichtigkeit feststellen lässt 

2. in Fällen des § 19 Abs. 3 (Löschung) Grund zu der Annahme 

besteht, dass durch die Löschung schutzwürdige Belange 

Betroffener beeinträchtigt würden, oder wenn Betroffene an 

Stelle der Löschung die Sperrung verlangen … 



• Abs. 2 – Sperrung (2) 

- pbDaten sind zu sperren, wenn 

3. sie nur zu Zwecken der Datensicherung oder der 

Datenschutzkontrolle gespeichert sind. 

// Für Akten gelten wiederum spezielle Vorschriften // 

[…] 



• Abs. 3 – Löschung 

- pbDaten sind zu löschen, wenn 

1. ihre Speicherung unzulässig ist oder 

2. ihre Kenntnis für die Daten verarbeitende Stelle zur 

Erfüllung ihrer Aufgaben nicht mehr erforderlich ist. 

// Auch hier gelten wiederum spezielle Vorschriften für pbDaten in Akten // 

[…] 



• Abs. 5 – Informationspflicht 

- Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener 

oder unzulässig gespeicherter Daten sind unverzüglich die Stellen 

zu verständigen, denen Daten übermittelt worden sind; […] 

• Abs. 6 – Prüfung der Erforderlichkeit 

- In automatisierten Dateien gespeicherte Daten sind regelmäßig alle 

4 Jahre auf ihre Erforderlichkeit hin zu überprüfen und die 

Datenbestände gem. § 19 Abs. 3 zu bereinigen. 


Weitere Rechtsgrundlagen nach HmbDSG (1) 

• § 12 - Datenerhebung 

• § 13 - Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung 

• § 14 - Übermittlung innerhalb des öffentlichen Bereichs 

• § 15 - Übermittlung an öff.-rechtl. Religionsgesellschaften 

• § 16 - Übermittlung an Stellen außerhalb des öffentlichen Bereichs 

• § 17 - Übermittlung an Stellen außerhalb der BRD 

• … 



[Besondere Vorschriften über den Datenschutz] 

• § 27 - Datenverarbeitung zum Zwecke wissenschaftlicher Forschung 

• § 28 - Datenverarbeitung bei Beschäftigungsverhältnissen 

• § 30 - Videoüberwachung … 

[Straf- und Bußgeldvorschriften] 

• § 32 - Straftaten 

• § 33 - Ordnungswidrigkeiten 

… 



• § 30 - Videobeobachtung und Videoaufzeichnung (Videoüberwachung) 

‣ Nur zulässig in Ausübung des Hausrechts der verantwortlichen Stelle 

‣ zum Schutz von Personen und Sachen 

oder 

‣ zur Überwachung von Zugangsberechtigungen, 

‣ sofern keine Anhaltspunkte dafür bestehen, dass schutzwürdige 

Interessen der Betroffenen überwiegen. 

‣ Voraussetzungen: 

‣ Umfassende Dokumentation (analog zu Verfahrensbeschreibung und 

Vorabkontrolle, Mustervordruck kann bei der gDSB / dem DSB der SUB 

abgefordert werden) 

‣ … 



• § 30 - Videobeobachtung und Videoaufzeichnung (Videoüberwachung) 

‣ Voraussetzungen (Fortsetzung): 

‣ Information der Betroffenen (Pictogramme, etc.) bevor der überwachte 

Bereich betreten wird 

‣ max. 7 Tage Speicherfrist 

‣ Kein Einsatz von Kameras mit Audio-Funktionalität (ggf. zu zerstören) 

‣ Sämtliche Vorgaben gelten auch bei Einsatz von Videokamera-Attrappen 

‣ Alle 2 Jahre ist die Erforderlichkeit der jew. Anlage zu überprüfen 

• Link: Handreichung zur Videoüberwachung (HmbBfDI) 

• Musterformular für alle Hochschulen und die Stabi (gDSB) * 

(*= künftig auch im Bibliotheks-Wiki im Ordner Datenschutz) 


Weitere Informationsquellen 

• ZENDAS 

• Ausblick: Informationsportal der gDSB 

• HmbBfDI 

• Datenschutz.de 


Vielen Dank und … 

Bernd Uderstadt 

Von-Melle-Park 3 

20146 Hamburg 

040 / 4 28 38-58 01 

datenschutz@sub.uni-hamburg.de (Funktionspostfach gDSB) 

datenschutzbeauftragter@sub.uni-hamburg.de (Funktionspostfach DSB der SUB) 

bernd.uderstadt@sub.hamburg.de (pers. Email-Account im FHHnet) 

http://www.sub.uni-hamburg.de 


Fragen und Antworten 

• Im Vorfeld der Veranstaltung konnten und sollten unsere Bibliothekskolleginnen 

und –kollegen Fragen und Probleme skizzieren, die sie im Arbeitsalltag bewegen. 

• Heraus kam ein interessanter Mix an Fragen, welche die ganze Bandbreite des 

Themas Datenschutz im alltäglichen Geschäftsleben verdeutlichen. Hierfür ein 

herzlicher Dank an Sie. 

• Auf den folgenden Folien versuchen wir Ihnen mehr oder minder präzise 

Vorschläge und Anregungen zu den verschiedenen Fragestellungen zu geben. 

• Bei der Komplexität einiger Fragen sind weitere Erörterungen im Rahmen unserer 

Beratungsangebote sinnvoll und erforderlich. Hierfür stehen wir allen 

Mitarbeiterinnen und Mitarbeitern von SUB, UHH, HfMT, HFBK, HCU und TUHH 

gern zur Verfügung. 


Frage I : 

• Falls Personen Hausverbot erhalten haben, in wieweit ist es zulässig 

identifizierendes Material (Name, Foto, Beschreibung) zu verbreiten? 

(an alle Beschäftigte, Fremd-/Wachpersonal, Aushang im Eingangsbereich?) 

‣ Diese Frage ist im Kontext des Betriebs einer Bibliothek zu sehen. Wer hat welche 

geschäftlichen Rollen inne? Zulässig ist die Übermittlung der genannten Informationen 

(Foto nur wenn es aus öffentlichen Quellen stammt, oder i.R. der Bibliotheksnutzung 

rechtmäßig erhoben wurde) an die Kolleginnen und Kollegen, die berechtigt sind, dass 

Hausrecht auszuüben. Erforderlich bzw. zumindest dringend empfehlenswert ist daher 

eine entsprechende Orga-Verfügung der Bibliotheksleitung bzw. der verantwortlichen 

Stelle für die Ausübung des Hausrechts. Unzulässig ist eindeutig ein öffentlicher Aushang 

(käme einer öff. Denunzierung gleich) bzw. auch nur die Einsichtnahme durch 

unberechtigte Dritte (z.B. Kunden) in die pbDaten der Person der das Hausverbot erteilt 

wurde. Im Zusammenhang mit der erforderlichen Verfahrensbeschreibung für das 

Fachverfahren „Bibliotheksnutzung“ sollten auch die o.g. Prozesse dargestellt werden. 


Frage II : 

• Ist es zulässig, bei Büchern, die nur einmal in der Bibliothek vorhanden 

sind und langfristig in Dienstzimmern stehen, diesen Standort offen im 

Katalog anzugeben, einschließlich Nennung des Dauerentleihers, 

vorausgesetzt dessen/deren Einverständnis liegt vor? 

‣ Betroffen sind hier insbesondere die Persönlichkeitsrechte der künftigen Leserin / des künftigen Lesers, 

aber auch des Dauerentleihers. Während Letztere/r sich zumindest evtl. unbequeme Arbeitsgänge erspart, 

muss die künftige Entleiherin / der neue Leser sich gegenüber dem bibliotheksfremden Dauerentleiher 

„outen“ welche ggf. spezielle Literatur sie / er lesen möchte. Im Rahmen einer Abwägung überwiegen 

u.E. die Persönlichkeits-rechte der /des künftigen Leserin/Lesers. Informationen über die Ausleihe (wer 

liest was) sollten nur der Bibliothek im Rahmen der konkreten Ausleihprozesse bekannt sein. Die 

Vorgänge sollten transparent und umfassend in den jew. Benutzerordnungen geregelt sein. Auch hier ist 

eine Verfahrensbeschreibung vorzuhalten und eine Vorabkontrolle/ Risikoanalyse durchzuführen und 

schriftlich zu dokumentieren. Die Einwilligungslösung (Beide müssen informiert (d.h. über mögliche Vorund 

Nachteile aufgeklärt) eingewilligt haben) sollte aus unserer Sicht die absolute Ausnahme darstellen, 

eine transparente Regelung in der Benutzerordnung ist eindeutig vorzuziehen. 


Frage III : 

• Problem: Beschäftigte, die im LBS-System eine Verbuchung vornehmen, 

erhalten Einsicht in sämtliche personenbezogenen Daten eines Nutzers. Zum 

Kreise der Beschäftigen zählen ebenso abhängig beschäftige Mitarbeiter wie 

studentische Hilfskräfte. Inwieweit müssen Personen, die mit 

Verbuchungsvorgängen betraut sind, schriftlich auf die Einhaltung des 

Datenschutzes verpflichtet werden, und wenn ja, wie sieht so eine schriftliche 

Verpflichtung aus formaler Sicht aus? 

‣ Nach § 7 HmbDSG ist keine schriftliche Verpflichtung auf das Datengeheimnis erforderlich 

(siehe auch Folie 24), jede Person ist bei Zugriff auf die Daten verpflichtet, das 

Datengeheimnis zu wahren. Die Universität Hamburg und die HafenCity Universität haben 

sich aber in vertraglichen Dienstvereinbarungen mit ihren Personalräten verbindlich 

zugesichert, ihre Mitarbeiterinnen und Mitarbeiter schriftlich zu verpflichten. Ob dies auch 

für weitere öff. Hochschulen in Hamburg gilt entzieht sich unserer Kenntnis. 

Eine Mustervorlage stellen wir Ihnen im Bibliotheks-WiKi (Ordner Datenschutz) zeitnah zur 

Verfügung. 


Frage IV : 

• Können Mitarbeiter/innen aus datenschutz-rechtlichen Gründen die 

Angaben für einen Dienstplaner, der allen Angestellten zugänglich ist, 

verweigern? Gemeint sind hauptsächlich Abwesenheiten (ganztägig 

ohne Nennung der Gründe, dienstliche Teilabwesenheit mit 

Benennung wie z. Bsp.: Sitzungstermine) 

‣ Hinsichtlich der Nutzung dienstlicher Arbeitsmittel zur Bürokommunikation (Email, 

Kalender, Kontakte, etc.) ist zwischen der FHH und den Spitzenverbänden der 

Gewerkschaften eine sogenannte 94er-Vereinbarung geschlossen worden (nach § 94 

HmbPersVG). In der Anlage hierzu ist auch definiert, wie mit solchen Kalenderfunktionen 

unter Wahrung der Privatsphäre der Mitarbeiterinnen und Mitarbeiter umgegangen 

werden soll. Oftmals fehlt es leider – aus unserer Sicht – an konkretisierenden 

Organisationsverfügungen der Hochschulen bzw. der jew. Fachbereiche, welche Details 

der Kalender- und Emailnutzung auch für Vertretungs- und Abwesenheitsfälle transparent 

regeln. Unsere dringende Empfehlung an die Leitungsebenen: Machen Sie die Organisationsprozesse 

transparent! Dies hilft innerbetriebliche Konflikte zu vermeiden. 


Frage V : 

• Ist es zulässig, Nutzerdaten aus dem Ausleihsystem zu verwenden, um 

die Nutzer über Fundsachen (z.B. Leseausweise, auf dem Kopierer 

vergessene amtliche Dokumente, Handys u.a.) zu informieren? 

‣ Sofern eine eindeutige Zuordnung der Fundstücke zu einen konkreten Nutzer möglich ist 

hätten wir keine Bedenken, so zu verfahren. 

‣ Empfehlung: Definieren Sie die Nutzung der pbDaten für diese Fälle als zusätzliche 

Zweckbestimmung in der (vermutlich noch nicht vorhandenen) Verfahrensbeschreibung 

Ihrer Bibliothek (siehe hierzu auch Folien 26 ff.) 


Frage VI : 

• Thema Web-Analyse Software: 

Welche Software kann ich aus datenschutzrechtlicher Sicht zur Analyse des 

Nutzungsverhaltens einer Website bedenkenlos einsetzen, welche nicht, und 

warum nicht? Kann man beispielsweise Google Analytics oder AWStats 

bedenkenlos verwenden? 

‣ Nach unserer laienhaften Kenntnis (wir sind keine IT-Sicherheits-Spezialisten) erheben alle 

am Markt verfügbaren Webtracking-Tools mehr oder weniger viele personenbezogene 

oder personenbeziehbare Daten (u.a. die IP-Adresse, die nach herrschender Rechtsauffassung 

als pbDatum gilt). Daher ist in jedem Einzelfall eine detaillierte Prüfung der IT- 

Prozesse erforderlich => Stichwort Vorabkontrolle/Risikoanalyse (s. auch Folien 29 ff.). 

Datenschutzgerechte Anwendungsszenarien sind uns bekannt von den Produkten PIWIK, 

AWStats und auch Google Analytics (Hinweise des HmbBfDI). In aller Regel ist zudem ein 

Vertrag zur Auftragsdatenverarbeitung nach § 3 HmbDSG (s. Folien 35 ff.) abzuschließen, 

sofern der Anbieter als Dienstleister agiert und nicht eine komplette In-House-Lösung 

realisiert wurde. 


Frage VII : 

• Wie ist mit Diplom-, bzw. Abschlussarbeiten zu verfahren, für die keine 

Einverständniserklärung seitens des/der Verf. vorliegt, dass die Arbeit 

in der Bibliothek zugänglich und im Katalog nachgewiesen sein darf. 

‣ Sofern diese Einwilligung fehlt und auch keine Rechtsgrundlage für die Veröffentlichung 

vorliegt (s. Folien 19 ff.) – z.B. eine Prüfungs- oder Promotionsordnung – mit 

entsprechender Legitimation, darf die entsprechende Arbeit nicht veröffentlicht werden. 

Dies gilt auch für die bloße Erfassung von Name und Titel der Arbeit. 

‣ Wie gehen wir aber mit Altlasten um? (z.B. Fälle in denen nicht bzw. nur sehr arbeitsintensiv 

nachprüfbar ist, ob eine Einwilligung vorliegt) 

‣ Sofern sich eine solche Überprüfung einfach gestaltet, sollten Arbeiten ohne Legitimation 

für die Veröffentlichung aus Bibliothek und Katalogen (Campus-Katalog, WorldCat) 

entfernt werden. Bei zeitintensiven Recherche-Aufwänden sollte ggf. eine Reaktion der 

Betroffenen abgewartet werden. 


Frage VIII : 

• Welche Voraussetzungen sind zu erfüllen, um Bachelor- und 

Masterarbeiten als Pdf-Dokument zur Verfügung zu stellen? 

Reicht hier die übliche Einverständniserklärung? 

‣ Diese Frage erscheint zunächst trivial, wirft aber bei näherer Betrachtung verschiedenste 

Folgefragen auf. Zudem sind neben Fragen des Datenschutzes, besser der „data privacy“, 

auch Urheberrechtsfragen zu betrachten. Für eine umfassende Beantwortung fehlt an 

dieser Stelle die Zeit – oder die Antwort könnte nur lauten: NEIN! 

‣ Bachelor- und Masterarbeiten stellen persönliche Werke ihrer Autoren dar. Diese sind 

gegen Missbräuche (Fremdnutzung, Veränderung, etc.) zu schützen. Es sind also zunächst 

einmal technische Maßnahmen zu ergreifen, die sicherstellen, dass die Integrität und 

Authentizität des Werkes gewährleistet ist. Technisch ausgedrückt ist das jeweilige 

Dokument mit einer qualifizierten digitalen Signatur zu versehen. Eine normale pdf-Datei 

reicht hier bei weitem nicht aus. Wir empfehlen die Einbindung Ihrer IT-Abteilung und Ihrer 

Rechtsabteilung bzgl. der urheberrechtlichen Fragestellungen. 


Frage IX : 

• Nach welchen Vorgaben darf eine Videoüberwachungsanlage 

betrieben werden? 

‣ Eine einfache Antwort zum Abschluss: § 30 HmbDSG stellt für die öffentlichen 

Hamburger Hochschulen und die Staats- und Universitätsbibliothek Hamburg 

die abschließende und einzige Rechtsgrundlage für den Einsatz von Videoüberwachungsanlagen 

im öffentlichen Raum der Freien und Hansestadt Hamburg 

dar (s. Folien 50 ff.). 

‣ Mit Blick auf „die internationalen Teilnehmer“ ;-) an unserem Workshop sei 

folgender Hinweis erlaubt: Für nicht-öffentliche Institutionen, Bibliotheken und 

Vereine, Unternehmen gilt das Bundesdatenschutzgesetz (BDSG). Einschlägige 

Rechtsnorm ist dort der § 6b BDSG mit deutlich anderer inhaltlicher 

Ausrichtung. 


• Bild Lichthof

Personenbezogene Daten - Staats- und UniversitÃ¤tsbibliothek ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?