[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [InetBib] Fw: Wie funktioniert das mit Datenschutz in Bibliotheken? Und gibt es einen richtigen und einen falschen Datenschutz?



 Lieber Herr Odenkirchen,

ganz so schwierig und kompliziert ist's aber auch nicht:
- Zu Statistikzwecken sollte ich Daten ohnehin anonymisieren, denn es tut 
nichts zur Sache ob Nutzerin C oder Nutzer A das Medium für welchen Zeitraum in 
Gebrauch hatte.
- Offene Forderungen stehen mit der einzelnen Ausleihe in keinem Zusammenhang; 
diese kann ich unabhängig von den Ausleihvorgängen abspeichern.
- Zweckänderungen sind grundsätzlich unzulässig und im Einzelfall gut zu 
begründen.

Ich möchte einfach erreichen, dass sich Verantwortliche dessen bewusst sind, 
dass nicht über eine Hintertür eine unzulässige "Vorratsdatenspeicherung" 
eingeführt wird.
Und wie heißt es u. a.. so schön in Erwägungsgrund 65 zur DSGVO 

"...Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre 
personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die 
personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. 
anderweitig verarbeitet wurden, nicht mehr benötigt werden,...

Mit freundlichen Grüßen
Oliver Hinte




     Am Donnerstag, 17. Oktober 2019, 11:45:57 MESZ hat via InetBib 
<inetbib@xxxxxxxxxx> Folgendes geschrieben:  
 
 Lieber Herr Hinte,

ganz so einfach ist's aber dann doch nicht. Wann genau personenbezogene Daten 
gelöscht werden müssen, hängt vom Zweck ab, zu dem sie erhoben wurden - so 
steht's im zitierten Artikel der DSGVO. Aber zu welchem Zweck erhebt eine 
Bibliothek Ausleihdaten? Nur "zur Prüfung der Einhaltung der Leihfrist"? Oder 
auch zu anderen Zwecken wie Nachprüfbarkeit der ordnungsgemäßen Rückgabe, 
Nachweis offener Forderungen, Überprüfung von Fehlbuchungen, Ausleihhistorien, 
Statistik...? Zu welchem Zweck welche Nutzerdaten (Personen-Stammdaten, 
Ausleihdaten, Daten über Forderungen) erhoben werden dürfen und wann welche 
Daten zu löschen sind, ist Gegenstand des jeweiligen Verfahrensverzeichnisses 
("Verzeichnis von Verarbeitungstätigkeiten"), das in Abstimmung mit dem 
zuständigen Datenschutzbeauftragten erstellt wird - und der hat 
selbstverständlich Ermessensspielräume.

Mit freundlichen Grüßen,
Andreas Odenkirchen
HfMDK Frankfurt - Bibliothek
andreas.odenkirchen@xxxxxxxxxxxxxxxxxx

-----Ursprüngliche Nachricht-----
Von: InetBib [mailto:inetbib-bounces@xxxxxxxxxx] Im Auftrag von Oliver Hinte 
via InetBib
Gesendet: Mittwoch, 16. Oktober 2019 22:06
An: Susanne Drauz <sdrauz@xxxxxxxxxxxxxxx>; via InetBib <inetbib@xxxxxxxxxx>
Betreff: Re: [InetBib] Fw: Wie funktioniert das mit Datenschutz in 
Bibliotheken? Und gibt es einen richtigen und einen falschen Datenschutz?


Sehr geehrte Frau Drauz,

Ihr Urlaub sei Ihnen gegönnt, aber Sie haben die Diskussion gestartet.

Die Pflicht zur Löschung ergibt sich aus Art. 17 Abs. 1 lit a DSGVO - nach 
Abschluss des Ausleihvorgangs werden die Daten zur Prüfung der Einhaltung der 
Leihfrist nicht mehr benötigt. 

Und die Einführung neuer Techniken kehrt die Beweislast nicht um (wer Die 
Bibliothek möchte was Schadensersatz von wem den Entleiher woraus §280 BGB ) 
Vgl. auch die Hinweise zum Stichwort Rückgabe

http://www.buecherei-praxishandbuch.de/index.php?id=92

Ich wünsche Ihnen noch einen schönen Urlaub.

Mit freundlichen Grüßen
Oliver Hinte




Sehr geehrter Herr Hinte,



im Hinblick auf die eingeschränkte Haftung des Entleihers verstehe ich die 
Frage nicht. Die Antwort ergibt sich m.E. - wie so oft - aus dem Gesetz. 
Beweislast ist doch kein zulässiges Argument für eine Löschfrist.

Woraus Sie die Kontrollpflicht des Verleihers entnehmen, erschließt sich mir 
nicht. Das liegt vielleicht daran, dass ich gerade im Urlaub bin und mein 
Hirn im Entspannungsmodus läuft. Ich bitte um Nachsicht und vielleicht einen 
kleinen Hinweis.

Mir sind sogar Bibliotheken bekannt, da werden die Medien durch Automaten aus 
dem sogenannten intelligenten Regalen geholt und zurück gebracht. 

Unmittelbar nach meiner Rückkehr tagt ohnehin der ERFA Kreis der 
Datenschutzbeauftragten in Baden-Württemberg, ich werfe die Frage dort mal in 
die Diskussionsrunde und dann nehme ich den Ariadne-Faden gerne wieder auf. 

Beste Grüße aus der südspanischen Abendsonne

Susanne Drauz



Oliver Hinte via InetBib <inetbib@xxxxxxxxxx> hat am 16. Oktober 2019 um 
18:23 geschrieben:












----- Weitergeleitete Nachricht -----



Gesendet: Mittwoch, 16. Oktober 2019, 18:13:51 MESZ

Betreff: Re: [InetBib] Wie funktioniert das mit Datenschutz in Bibliotheken? 
Und gibt es einen richtigen und einen falschen Datenschutz?






Liebe Frau Drauz,

wie lange soll denn der vorherige Entleiher gespeichert werden dürfen, wenn 
das Werk nur alle 5 Jahre verliehen wird?
Und natürlich besteht für den Verleiher auch eine Kontrollpflicht.
Ansonsten würde ihm der Schaden doch gar nicht auffallen und er könnte ihn 
gar nicht geltend machen. Soll dem nächsten Entleiher 
die Pflicht auferlegt werden, im Interesse des Eigentümers (der Bibliothek), 
diesen darüber zu informieren, dass das Medium vom Verleiher beschädigt 
zurück gegeben wurde.
Und steht fest, dass die Beschädigung nicht durch die Bibliothek verursacht 
wurde? 
Das automatische Rücknahmeverfahren entbindet die Bibliothek auch nicht von 
der Kontrollpflicht. Der Einsatz erfolgt alleine auf Veranlassung der 
Bibliothek.
Die Kontrolle ist zudem doch einfach umsetzbar; mir ist keine Bibliothek 
bekannt, in der die Medien ohne jegliches menschliches Zutun 
wieder an den Standort zurück wandern.

Viele Grüße 
Oliver Hinte













Am Mittwoch, 16. Oktober 2019, 15:57:33 MESZ hat < 










Sehr geehrter Herr Hinte,



wenn die Speicherung des aktuellen und vorherigen Entleihers zulässig ist, 
dann wird doch der vorherige Entleiher spätestens dann gelöscht, wenn der 
aktuelle Entleiher zurückgibt und damit zum vorherigen Entleiher wird.



Damit kommt aber die Überlegung der längstmöglichen Speicherfrist ins Spiel 
und um die geht es doch. 



Die Kontrollpflicht bei der Übergabe trifft ja gerade den Entleiher und 
nicht den Verleiher :-)



Beste Grüße


Susanne Drauz




Mit freundlichen Grüßen


Susanne Drauz















Sehr geehrte Frau Drauz,



vielen Dank für Ihren Kommentar.




Die Ansprüche können Sie doch immer noch innerhalb der Frist des § 195 BGB 
geltend machen. 

Aber wenn denn Entleiher die Pflicht trifft, das Medium sofort auf Schäden 
zu kontrollieren, kann die Bibliothek mit der Berufung auf einen eventuell 
bestehenden Schadensersatzanspruch die Daten doch nicht drei Jahren die 
Daten speichern.

Mit freundlichen Grüßen 

Oliver Hinte








Sehr geehrter Herr Hinte,



als Richtschnur für Löschverpflichtungen ist mir die Verjährungsfrist von 
möglichen Schadenersatzansprüchen doch deutlich einleuchtener als "pi mal 
Daumen" Überlegungen.



Vorallem in Zeiten von automatisierten Rücknahmeverfahren...



Beste Grüße



Susanne Drauz




Mit freundlichen Grüßen


Susanne Drauz









On Wed, Oct 16, 2019 at 3:04 PM +0200, "Oliver Hinte via InetBib" 
<inetbib@xxxxxxxxxx> wrote:



Liebe Kolleginnen und Kollegen,die Diskussion um den Datenschutz in 
Hochschulen und Bibliotheken fängt gerade erst an. Mit Anwendbarkeit der 
DSGVO im Mai 2018 ist vielen erst einmal die Bedeutung des Datenschutzes 
bewusst geworden. In einer Vielzahl von Betrieben, Behörden, Hochschulen und 
Bibliotheken wurde die DSGVO zum Anlass genommen, Verfahren und Prozesse neu 
zu strukturieren und den "Datenschutz" mit einzubinden. In Bibliotheken und 
Hochschulen wurde dann häufig die Frage gestellt:Betrifft uns das überhaupt? 
Und wenn ja, wie gehen wir damit um? Ich würde die Frage uneingeschränkt mit 
JA! beantworten. In Bibliotheken und Hochschulen wird eine große Anzahl von 
personenbezogenen Daten verarbeitet. Und dass dies in ordnungsgemäßer Weise 
erfolgt, ist eine der Zielrichtungen des Datenschutzrechts. Was sind denn 
nun Beispiele für die Verarbeitung von personenbezogenen Daten in diesen 
Bereichen? Dazu muss ich erst einmal wissen, was "personenbezogene Daten" 
sind. Die DSGVO definiert den Begriff in Art. 4 Nr. 1 wie folgt:Bei 
"personenbezogene Daten“ handelt es sich um alle Informationen, die sich auf 
eine identifizierte oder identifizierbare natürliche Person (im Folgenden 
„betroffene Person“) beziehen; als identifizierbar wird eine natürliche 
Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung 
zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu 
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen 
identifiziert werden kann, die Ausdruck der physischen, physiologischen, 
genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen 
Identität dieser natürlichen Person sind.Als einfachstes Beispiel für die 
Verarbeitung von personenbezogenen Daten in einer Bibliothek fällt mir da 
die Entleihe und Rückgabe von Medien ein. Die Bibliothek erfasst, wie lange 
der Benutzer über das Medium verfügt hat und wie sie/er damit umgegangen ist 
(in welchem Zustand ist es in Bibliothek zurück gelangt). Die Erhebung 
dieser Daten ist datenschutzrechtlich zulässig. Datenschutzrechtlich 
interessant wird es bei der Frage, wie lange ich diese Daten aufbewahren 
darf. Mache ich mir keine Gedanken über mögliche Löschfristen oder gehe ich 
davon aus, dass ich diese Daten unbeschränkt lange speichern darf, habe ich 
ein zu wenig differenziertes Verständnis von Datenschutz. Bei allen anderen 
Fristüberlegungen kann man heftig streiten. Gehen Sie grob davon aus, dass 
2-4 Wochen Speicherfrist zulässig sind. Als Richtschnur gilt die Zeit, die 
eine Bibliothek benötigen sollte, um ein Medium auf seinen Zustand zu 
kontrollieren und es an den Standort zurückzustellen.Die nächsten Beispiele 
für Datenschutz in Bibliotheken erhalten Sie im nächsten Blogeintrag auf 
https://oliverhinte.wordpress.com/ oder wenn gewünscht auch wieder auf der 
inetbib.Mit freundlichen GrüßenOliver Hinte
  

Listeninformationen unter http://www.inetbib.de.