Dies ist ein Artikel über Datenschutz in der Bücherei. Die Datenschutzerklärung des Borromäusvereins finden Sie hier.

Neuerungen beim Datenschutz: Was KÖBs tun müssen

Die neue Datenschutzverordnung

 

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie wurde bereits 2016 von den EU-Mitgliedern beschlossen und dient dazu, EU-weit einheitliche Standards beim Datenschutz einzuführen. Auf diese Weise sollen die persönlichen Daten der EU-Bürger besser gegen Missbrauch geschützt werden.

Viele der Maßnahmen, die die DSGVO vorschreibt, sind bereits jetzt geltendes Recht. Neu sind vor allem die erweiterten empfindlichen Sanktionen bei Datenschutzverstößen, die mit bis zu 20 Millionen Euro bestraft werden können, ja sogar mit bis zu 4 Prozent des weltweiten Umsatzes im vergangenen Geschäftsjahr. Damit zielt die EU auf Großkonzerne, die sich nicht an europäisches Recht halten wollen.

Das kann den Bürgern nur recht sein. Doch befürchtet die IT-Branche eine Abmahnwelle, bei der sich halbseidene Anwälte bereichern, die gezielt Vereine und kleine Unternehmen bzw. deren Webseiten auf die Einhaltung der Datenschutzvorschriften prüfen und bei Verstößen teure Abmahnungen fordern. Deshalb müssen KÖBs und ihre Träger jetzt handeln.
 

Was ist zu tun?

Wir beschreiben in zwei Folgen, was Sie in Ihrer KÖB für den Datenschutz überprüfen, anpassen und dokumentieren müssen. Leider können wir Ihnen nicht ersparen, sich mit einer recht trockenen Materie zu befassen. Vielleicht machen Sie sich einen Kaffee oder Tee dazu?

Die erste Folge beschreibt die von Außen sichtbaren Maßnahmen, damit Sie den (teils neuen teils schon länger bestehenden) Informationspflichten nachkommen:

In der zweiten Folge (Ende April/Anfang Mai) beschreiben wir die Maßnahmen, die sich auf die Dokumentationspflichten beziehen. Diese Punkte sind zwar intern, aber auf Verlangen dem Datenschutzbeauftragten oder der Aufsichtsbehörde vorzulegen:

  • Verfahrensverzeichnis
  • Technische und organisatorische Maßnahmen
  • Folgeabschätzung

DSGVO tritt am 25. Mai in Kraft

 

 

 

Wir beschreiben in zwei Teilen, was Sie in Ihrer KÖB für den Datenschutz überprüfen, anpassen und dokumentieren müssen. Inkl. Muster zum Download

 

1. Folge: So kommen Sie Ihren Informationspflichten nach

 

2. Folge (Ende April/Anfang Mai): Ihre Dokumentationspflichten

 

 

 

 

Downloads

 

Musterdokumente zum Anpassen

 

Datenschutzerklärung

 

Anlage für Benutzungsordnung

 

 

 

 

 

 

 


I. Die Maßnahmen zur Informationspflicht

 

Die DSGVO schreibt vor, dass überall da, wo Daten verarbeitet werden, auch erklärt werden muss, zu welchem Zweck dies geschieht und auf welcher Rechtsgrundlage. Da in KÖBs ständig Daten verarbeitet werden, müssen Sie an geeigneter Stelle über den Datenschutz informieren. Jeder Ausleihvorgang ist eine Datenverarbeitung, jeder Neu-Anmeldung eines Benutzers, jede Mahnung. Der Aufruf einer Webseite ebenfalls (siehe Kasten rechts). Das heißt, dass eine KÖB, die eine Internetseite betreibt, eine aktuelle Datenschutzerklärung braucht. Außerdem müssen Sie die Benutzungsordnung um eine Anlage zum Datenschutz erweitern.

Wir beschreiben im Folgenden, worauf Sie in Ihrer Bücherei achten müssen. Allerdings kann das nur in sehr allgemeiner Form geschehen und stellt keine rechtsverbindliche Beratung dar. Deshalb sollten KÖBs sich umgehend an den Datenschutzbeauftragten ihrer Kirchengemeinde oder der Seelsorgeeinheit (oder wie immer das Gebilde bei Ihnen heißt) wenden und mit ihm alle Maßnahmen abstimmen. Nehmen Sie den Datenschutzbeauftragten bzw. Ihren Kirchenvorstand in die Pflicht, hier geht es nicht um Nebensächlichkeiten, sondern um die Anwendung einer Verordnung, die die ganze Pfarrei/Kirchengemeinde/Seelsorgeeinheit betrifft!
 

Die Rechtsgrundlage

Die Rechtsgrundlage für KÖBs in Trägerschaft einer Einrichtung der katholischen Kirche (das kann auch ein katholisches Krankenhaus sein!) ist das „Gesetz über den kirchlichen Datenschutz“ (KDG), das in den vergangenen Wochen in den einzelnen Diözesen Deutschlands in Kraft getreten ist, nachzulesen im jeweiligen Amtsblatt. Im Einklang mit unserer Verfassung sieht die DSGVO eine eigenständige, innerkirchliche Regelung des Datenschutzes ausdrücklich vor (Art. 91 Abs. 1). Deshalb müssen sich in KÖBs alle Passagen zum Datenschutz auf das KDG beziehen.

In § 36 Absatz 1 (sorry, wir müssen hier wirklich mit ein paar Paragrafen um uns schmeißen) ist vorgeschrieben, dass bestimmte kirchliche Einrichtungen, darunter eben Kirchengemeinden und Kirchengemeindeverbände, einen Datenschutzbeauftragten bestellen müssen. Zu dessen Aufgaben gehört es, zu kontrollieren, ob die Datenschutzbestimmungen eingehalten werden und bei ihrer Durchführung zu beraten (§ 38).

Die Kontaktdaten des betrieblichen Datenschutzbeauftragten müssen veröffentlicht werden. Für KÖBs heißt das: diese Angabe gehören in die Datenschutzerklärung der Webseite und in den Datenschutz-Abschnitt der Benutzungsordnung. Wer Ihr Datenschutzbeauftragter ist, weiß entweder Ihr Pfarrer oder der Kirchenvorstand.

Datenübertragung bei Aufruf einer Webseite

Bei jedem Aufruf einer Webseite übermitteln die Browser eine ganze Reihe von Daten an den Server, auf dem die Webseite gespeichert ist. Dazu gehört u.a. die IP-Adresse. Das ist die numerische Kennung eines Geräts im Internet, vergleichbar mit Ihrer Telefon- oder Mobil-Nummer. Wenn Sie in Ihrem Browser borromaeusverein.de aufrufen, fragt der Browser zunächst beim nächsten Server mit einem Adressverzeichnis (ein sog. DNS-Server) nach der numerischen Adresse der Webseite. Über diese Zahlenfolge nimmt der Browser dann Kontakt mit dem Server auf, auf dem sich die Webseite befindet und ruft die Daten ab. Damit das funktioniert, muss Ihr Gerät die eigene IP-Adresse übermitteln – für den Rückweg, damit der Server die gewünschten Daten an Ihr Gerät schicken kann.

Datenschutzrechtlich ist das deshalb ein Thema, weil die IP-Adresse einem Gerichtsurteil nach zu den personenbezogenen Daten gehört. So gehört es z.B. zum Geschäftsmodell von Google, u.a. über diese IP-Adresse Ihr Nutzungsverhalten im Internet zu untersuchen. Da es technisch notwendig ist, diese Adresse zu übermitteln, ist das rechtlich auch in Ordnung (mit Verweis auf § 6 Abs. 1 Buchstabe b, c, g). Aber die Transparenzpflicht verlangt von Webseitenbetreiber eben, ausdrücklich auf diesen Umstand hinzuweisen.

 

Datenschutzerklärung und Impressum der Webseite

Dieser Abschnitt betrifft Sie, wenn Ihre KÖB eine eigene Webseite hat, entweder bei einem der zahlreichen Provider (1&1, Hetzner ...) oder im Rahmen von Bistumsseiten (z.B. gemeinden.erzbistum-koeln.de oder 123456.bistummainz.de). Wenn die Seite Ihrer Bücherei zur Webseite Ihrer Kirchen- oder der Zivilgemeinde gehört, ist die Datenschutzerklärung Aufgabe des Webseitenbetreibers.

Auf jede Webseite gehören eine Datenschutzerklärung und ein Impressum. Dazu gibt es Muster und Generatoren (für Beispiele siehe Kasten rechts). Sie berücksichtigen jedoch nicht die eigenständige Rechtsgrundlage der Kirche und müssen deshalb angepasst werden.

Weil es jede Menge datenschutzrelevante Funktionen von Webseiten gibt (u.a. Cookies, Tools zur Nutzungsanalyse, Facebook- und Twitter-Buttons) empfiehlt es sich, trotzdem einen entsprechenden Generator zu benutzen und den Text dann auf das KDG anzupassen. Sprechen Sie dazu mit Ihrem Datenschutzbeauftragten!

Grundsätzlich gilt: „Betroffene sind künftig in transparenter Weise, das heißt in einer einfachen und klaren Sprache über die Verarbeitung ihrer Daten präzise, verständlich und in leicht zugänglicher Form zu informieren (§ 14 Abs. 1 bis 6 KDG).“ (Katholische Datenschutzbeauftragte: KDG Praxishilfe 1 (PDF))

Grundsätzlich müssen Sie nach § 15 KDG über folgende Punkte informieren:

  • Wer ist der/die Verantwortliche/r? - Kontaktdaten
  • Wer ist der/die Betriebliche/r Datenschutzbeauftragte/r? - Kontaktdaten
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage
  • Werden persönliche Daten weitergegeben?
  • Wie lange werden diese Daten gespeichert?
  • Betroffenenrechte (Auskunftsrecht, Recht auf Berichtigung und Löschung)
  • Widerrufsrecht (sofern z.B. eine Einwilligung für einen Newsletter gegeben wurde oder zur Benachrichtigung über Vormerkungen per E-Mail)
  • Beschwerderecht
  • Ist die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich? Was passiert, wenn Betroffene diese Daten nicht angeben?

Der letzte Punkt lässt sich in den meisten Fällen mit § 6 Abs. 1, Buchstaben b), c) oder g) KDG begründen – gleichzeitig setzen diese Vorschriften dem Datenhunger auch Grenzen.

§ 6 KDG: Rechtmäßigkeit der Verarbeitung personenbezogener Daten
(1)   Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
...
b) die betroffene Person [also der- oder diejenige, die personenbezogene Daten angeben muss] hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
c) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
...
g) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt. ...
 
Zitiert nach: Gesetz über den kirchlichen Datenschutz (KDG), in: Amtsblatt des Erzbistums Köln 158 (2018), 13 – 35

Download für KÖBs


Mustertext (Word-Datei) für einige Elemente einer Datenschutzerklärung samt Verweis auf die Rechtsgrundlage im KDG für die Webseite Ihrer Bücherei, angelehnt an die Datenschutzerklärung des Borromäusvereins.

 

Muster und Generatoren

Vorlage von datenschutz.org

Muster der Kanzlei Sieling

e-recht24.de, sonst eine gute Adresse, bietet eine DSGVO-konforme Datenschutzerklärung derzeit nur im Premium-Bereich, hat aber einen sehr guten freien Impressums-Generator.

 

Auftragsverarbeitung

Bei dieser Gelegenheit sei darauf hingewiesen, dass Sie mit Ihrem Hosting-Anbieter (Provider) – also der Firma, die den Server betreibt, auf dem Ihre Webseite liegt, einen Vertrag zur Auftragsverarbeitung schließen müssen. Die (meisten) Provider haben bereits entsprechende Formulare zum Download vorbereitet oder schicken sie auf Anfrage zu.

Das gilt unserer Ansicht nach auch für Webseiten, die an eine Bistums-Webseite angegliedert sind (wie z.B. gemeinden.erzbistum-koeln.de oder 123456.bistummainz.de). Wenden Sie sich dazu an Ihren Ansprechpartner im Bistum.

Bei dieser Gelegenheit können Sie auch gleich erfragen, wie lange diese Daten aufbewahrt werden, denn auch darüber müssen Sie Auskunft geben.

Sollten Sie einen Newsletter über ein Newslettersystem (MailChimp, Newletter-to-go ...) betreiben, müssen Sie auch mit diesem Anbieter einen solchen Vertrag schließen.

Das gilt möglicherweise auch für den BVS-eOPAC und den WebOPAC bzw. OPEN von OCLC/Bibliotheca. OCLC wird in den nächsten Tagen in einem Newsletter über die erforderlichen Maßnahmen informieren. Mit IBTC (BVS) sind wir im Gespräch, Informationen folgen.

Benutzungsordnung ergänzen und an der Ausleihtheke auslegen

Da das KDG vorschreibt, dass der Betroffene zum Zeitpunkt der Erhebung von Daten über deren Verwendung und die Rechtsgrundlage informiert werden muss (§ 15 KDG), müssen Sie Ihre Benutzungsordnung entsprechend anpassen oder ergänzen. Stimmen Sie sich dazu unbedingt mit dem Kirchenvorstand oder dem Verwaltungsausschuss ab, denn möglicherweise muss dieses Gremium die Ergänzung der Benutzungsordnung formell beschließen!

Da die Datenschutzerklärung recht umfangreich gerät, ergänzen Sie im § 1 Allgemeines (das bezieht sich auf unsere Muster-Benutzungsordnung) einen Punkt und verweisen auf die Anlage Datenschutz. In der Zählung der Vorlage auf unserer Webseite wäre das Punkt 4:

4. Informationen zum Datenschutz in unserer Bücherei entnehmen Sie bitte der Anlage Datenschutz.

Außerdem müssen Sie auf den Formularen, die Sie zur Anmeldung in der Bücherei oder zur Anmeldung zu Veranstaltungen verwenden, - immer dann, wenn Sie personenbezogene Daten erheben - auf den Datenschutz-Abschnitt Ihrer Benutzungsordnung hinweisen. Dieser Satz könnte lauten:

Wir erheben diese Daten im Einklang mit der Benutzungsordnung unserer Bücherei und den gesetzlichen Bestimmungen, insbesondere dem Gesetz für den Kirchlichen Datenschutz (KDG), damit Sie unsere Bücherei nutzen können. Einzelheiten zum Datenschutz entnehmen Sie bitte der Anlage Datenschutz zur Benutzungsordnung, die Ihnen unsere Mitarbeiter/innen gerne aushändigen.

Hier können Sie einen Mustertext für die Anlage Datenschutz herunterladen. Bitte denken Sie daran, außer der gedruckten Fassung auch die Fassung auf der Webseite zu ändern, wenn Sie dort eine Benutzungsordnung zur Einsicht bereitstellen. Es gelten die gleichen Informationspflichten wie in der Datenschutzerklärung für Ihre Webseite.

Diese Anlage Datenschutz zur Benutzungsordnung sollten Sie griffbereit an der Ausleihtheke haben, um der unmittelbaren Informationspflicht (§ 15 KDG) nachkommen zu können.

Außerdem sollten Sie alle Nutzer Ihrer Bücherei auf die Datenschutzerklärung hinweisen und Sie ihnen bei Bedarf aushändigen.


Mit diesen – zugegeben recht umfangreichen – Maßnahmen sind Sie gut gewappnet, wenn am 25. Mai die DSGVO in Kraft tritt. In der nächsten Folge geht es um die internen Maßnahmen, die der Umgang mit personenbezogenen Daten in der Bücherei notwendig macht.