Dies ist ein Artikel über Datenschutz in der Bücherei. Die Datenschutzerklärung des Borromäusvereins finden Sie hier.

Neuerungen beim Datenschutz: Was KÖBs tun müssen

Die neue Datenschutzverordnung

Am 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Sie wurde bereits 2016 von den EU-Mitgliedern beschlossen und dient dazu, EU-weit einheitliche Standards beim Datenschutz einzuführen. Auf diese Weise sollen die persönlichen Daten der EU-Bürger besser gegen Missbrauch geschützt werden.

Viele der Maßnahmen, die die DSGVO vorschreibt, sind bereits jetzt geltendes Recht. Neu sind vor allem die erweiterten empfindlichen Sanktionen bei Datenschutzverstößen, die mit bis zu 20 Millionen Euro bestraft werden können, ja sogar mit bis zu 4 Prozent des weltweiten Umsatzes im vergangenen Geschäftsjahr. Damit zielt die EU auf Großkonzerne, die sich nicht an europäisches Recht halten wollen.

Die Kirchen haben im Rahmen ihrer verfassungsmäßigen Rechte eigene Gesetze erlassen. Für den Bereich der katholischen Kirche gilt das Gesetz über den kirchlichen Datenschutz (KDG), das inhaltlich die Bestimmungen der DSGVO weitgehend übernimmt.

22.05.2018: Gerade das Thema Geldbußen hat in Blogbeiträgen und in den Medien zu Panik geführt. Sowohl das KDG als auch die DSGVO kennen den Grundsatz der Verhältnismäßigkeit. D.h. in vielen Fällen wird die Datenschutzaufsicht zunächst ermahnend und beratend tätig. Im KDG ist darüber hinaus geregelt, dass für Seelsorgeeinheiten, Pfarreien und andere kirchliche Rechtsträger keine Geldbußen verhängt werden (§ 51 Absatz 6).

Was ist zu tun?

Wir beschreiben in zwei Teilen, was Sie in Ihrer KÖB für den Datenschutz überprüfen, anpassen und dokumentieren müssen. Leider können wir Ihnen nicht ersparen, sich mit einer recht trockenen Materie zu befassen. Vielleicht machen Sie sich einen Kaffee oder Tee dazu?

Der erste Teil beschreibt die von Außen sichtbaren Maßnahmen, damit Sie den (teils neuen teils schon länger bestehenden) Informationspflichten nachkommen:

Im zweiten Teil beschreiben wir die Maßnahmen, die sich auf die Dokumentationspflichten beziehen. Diese Punkte sind zwar intern, aber auf Verlangen dem Datenschutzbeauftragten oder der Aufsichtsbehörde vorzulegen:

 

Wichtiger Hinweis: Sie müssen jetzt zwar Formulare austauschen und Datenschutzerklärungen veröffentlichen. Diese Formulare sind für neue Leser/innen, die sich ab dem 25. Mai anmelden. Sie sind nicht verpflichtet, die neuen Formulare auch Ihren bisherigen Leser/innen vorzulegen oder ihnen gar nachzulaufen. Es genügt, die Datenschutzerklärung auszuhängen und an der Ausleihe bereitzuhalten, um sie auf Nachfrage aushändigen zu können.

Stand: 7.5.2018 (letzte Aktualisierung am 22.5.2018)

DSGVO ist am 25. Mai in Kraft getreten

Wir beschreiben in zwei Teilen, was Sie in Ihrer KÖB für den Datenschutz überprüfen, anpassen und dokumentieren müssen. Inkl. Muster zum Download

1. Teil: So kommen Sie Ihren Informationspflichten nach

2. Teil: Dokumentationspflichten

Hilfreiche Informationen:

Interview mit Jan Philipp Albrecht, einem der "maßgeblichen Entwickler" der DSGVO

 

Downloads

Musterdokumente (Word-Dateien) zum Anpassen (aktualisiert 13.06.2018)

Datenschutzerklärung

Anlage für Benutzungsordnung

Verzeichnis von Verarbeitungstätigkeiten

Vorlage TOM

Muster Verschwiegenheitserklärung (neu 13.06.2018)

Erläuterungen zu diesen Mustern finden Sie im ausführlichen Text auf dieser Seite.

 


I. Die Maßnahmen zur Informationspflicht

 

Die DSGVO schreibt vor, dass überall da, wo Daten verarbeitet werden, auch erklärt werden muss, zu welchem Zweck dies geschieht und auf welcher Rechtsgrundlage. Da in KÖBs ständig Daten verarbeitet werden, müssen Sie an geeigneter Stelle über den Datenschutz informieren. Jeder Ausleihvorgang ist eine Datenverarbeitung, jeder Neu-Anmeldung eines Benutzers, jede Mahnung. Der Aufruf einer Webseite ebenfalls (siehe Kasten rechts). Das heißt, dass eine KÖB, die eine Internetseite betreibt, eine aktuelle Datenschutzerklärung braucht. Außerdem müssen Sie die Benutzungsordnung um eine Anlage zum Datenschutz erweitern.

Wir beschreiben im Folgenden, worauf Sie in Ihrer Bücherei achten müssen. Allerdings kann das nur in sehr allgemeiner Form geschehen und stellt keine rechtsverbindliche Beratung dar. Deshalb sollten KÖBs sich umgehend an den Datenschutzbeauftragten ihrer Kirchengemeinde oder der Seelsorgeeinheit (oder wie immer das Gebilde bei Ihnen heißt) wenden und mit ihm alle Maßnahmen abstimmen. Nehmen Sie den Datenschutzbeauftragten bzw. Ihren Kirchenvorstand in die Pflicht, hier geht es nicht um Nebensächlichkeiten, sondern um die Anwendung einer Verordnung, die die ganze Pfarrei/Kirchengemeinde/Seelsorgeeinheit betrifft!
 

Die Rechtsgrundlage

Die Rechtsgrundlage für KÖBs in Trägerschaft einer Einrichtung der katholischen Kirche (das kann auch ein katholisches Krankenhaus sein!) ist das „Gesetz über den kirchlichen Datenschutz“ (KDG), das in den vergangenen Wochen in den einzelnen Diözesen Deutschlands in Kraft getreten ist, nachzulesen im jeweiligen Amtsblatt. Im Einklang mit unserer Verfassung sieht die DSGVO eine eigenständige, innerkirchliche Regelung des Datenschutzes ausdrücklich vor (Art. 91 Abs. 1). Deshalb müssen sich in KÖBs alle Passagen zum Datenschutz auf das KDG beziehen.

In § 36 Absatz 1 (sorry, wir müssen hier wirklich mit ein paar Paragrafen um uns schmeißen) ist vorgeschrieben, dass bestimmte kirchliche Einrichtungen, darunter eben Kirchengemeinden und Kirchengemeindeverbände, einen Datenschutzbeauftragten bestellen müssen. Zu dessen Aufgaben gehört es, zu kontrollieren, ob die Datenschutzbestimmungen eingehalten werden und bei ihrer Durchführung zu beraten (§ 38).

Die Kontaktdaten des betrieblichen Datenschutzbeauftragten müssen veröffentlicht werden. Für KÖBs heißt das: diese Angabe gehören in die Datenschutzerklärung der Webseite und in den Datenschutz-Abschnitt der Benutzungsordnung. Wer Ihr Datenschutzbeauftragter ist, weiß entweder Ihr Pfarrer oder der Kirchenvorstand.

Datenübertragung bei Aufruf einer Webseite

Bei jedem Aufruf einer Webseite übermitteln die Browser eine ganze Reihe von Daten an den Server, auf dem die Webseite gespeichert ist. Dazu gehört u.a. die IP-Adresse. Das ist die numerische Kennung eines Geräts im Internet, vergleichbar mit Ihrer Telefon- oder Mobil-Nummer. Wenn Sie in Ihrem Browser borromaeusverein.de aufrufen, fragt der Browser zunächst beim nächsten Server mit einem Adressverzeichnis (ein sog. DNS-Server) nach der numerischen Adresse der Webseite. Über diese Zahlenfolge nimmt der Browser dann Kontakt mit dem Server auf, auf dem sich die Webseite befindet und ruft die Daten ab. Damit das funktioniert, muss Ihr Gerät die eigene IP-Adresse übermitteln – für den Rückweg, damit der Server die gewünschten Daten an Ihr Gerät schicken kann.

Datenschutzrechtlich ist das deshalb ein Thema, weil die IP-Adresse einem Gerichtsurteil nach zu den personenbezogenen Daten gehört. So gehört es z.B. zum Geschäftsmodell von Google, u.a. über diese IP-Adresse Ihr Nutzungsverhalten im Internet zu untersuchen. Da es technisch notwendig ist, diese Adresse zu übermitteln, ist das rechtlich auch in Ordnung (mit Verweis auf § 6 Abs. 1 Buchstabe b, c, g). Aber die Transparenzpflicht verlangt von Webseitenbetreiber eben, ausdrücklich auf diesen Umstand hinzuweisen.

 

Datenschutzerklärung und Impressum der Webseite

Dieser Abschnitt betrifft Sie, wenn Ihre KÖB eine eigene Webseite hat, entweder bei einem der zahlreichen Provider (1&1, Hetzner ...) oder im Rahmen von Bistumsseiten (z.B. gemeinden.erzbistum-koeln.de oder 123456.bistummainz.de). Wenn die Seite Ihrer Bücherei zur Webseite Ihrer Kirchen- oder der Zivilgemeinde gehört, ist die Datenschutzerklärung Aufgabe des Webseitenbetreibers.

Auf jede Webseite gehören eine Datenschutzerklärung und ein Impressum. Dazu gibt es Muster und Generatoren (für Beispiele siehe Kasten rechts). Sie berücksichtigen jedoch nicht die eigenständige Rechtsgrundlage der Kirche und müssen deshalb angepasst werden.

Weil es jede Menge datenschutzrelevante Funktionen von Webseiten gibt (u.a. Cookies, Tools zur Nutzungsanalyse, Facebook- und Twitter-Buttons) empfiehlt es sich, trotzdem einen entsprechenden Generator zu benutzen und den Text dann auf das KDG anzupassen. Sprechen Sie dazu mit Ihrem Datenschutzbeauftragten!

Grundsätzlich gilt: „Betroffene sind künftig in transparenter Weise, das heißt in einer einfachen und klaren Sprache über die Verarbeitung ihrer Daten präzise, verständlich und in leicht zugänglicher Form zu informieren (§ 14 Abs. 1 bis 6 KDG).“ (Katholische Datenschutzbeauftragte: KDG Praxishilfe 1 (PDF))

Grundsätzlich müssen Sie nach § 15 KDG über folgende Punkte informieren:

  • Wer ist der/die Verantwortliche/r? - Kontaktdaten
  • Wer ist der/die Betriebliche/r Datenschutzbeauftragte/r? - Kontaktdaten
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage
  • Werden persönliche Daten weitergegeben?
  • Wie lange werden diese Daten gespeichert?
  • Betroffenenrechte (Auskunftsrecht, Recht auf Berichtigung und Löschung)
  • Widerrufsrecht (sofern z.B. eine Einwilligung für einen Newsletter gegeben wurde oder zur Benachrichtigung über Vormerkungen per E-Mail)
  • Beschwerderecht
  • Ist die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich? Was passiert, wenn Betroffene diese Daten nicht angeben?

Der letzte Punkt lässt sich in den meisten Fällen mit § 6 Abs. 1, Buchstaben b), c) oder g) KDG begründen – gleichzeitig setzen diese Vorschriften dem Datenhunger auch Grenzen.

§ 6 KDG: Rechtmäßigkeit der Verarbeitung personenbezogener Daten
(1)   Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
...
b) die betroffene Person [also der- oder diejenige, die personenbezogene Daten angeben muss] hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
c) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
...
g) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt. ...
 
Zitiert nach: Gesetz über den kirchlichen Datenschutz (KDG), in: Amtsblatt des Erzbistums Köln 158 (2018), 13 – 35

Wer ist "Verantwortlicher" für den Datenschutz?

(ergänzt 13. Juni 2018)

Anders, als wir das in unseren Muster-Vorlagen bisher angegeben haben, ist der Verantwortliche für die Datenverarbeitung im Sinne des KDG bei KÖBs in katholischer Trägerschaft in der Regel der Pfarrer bzw. der mit der Geschäftsführung beauftragte Vertreter des Trägers (im Krankenhaus z.B. der Geschäftsführer). Das hat eine Auskunft des Katholischen Datenschutzzentrum vor einigen Tagen ergeben. Die entsprechenden Vorlagen haben wir aktualisiert.

Wir hatten uns bei den Vorlagen an der Definition in § 4 Abs. 9 KDG orientiert („die natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“). Doch da die Bücherei keine eigene „Rechtspersönlichkeit“ ist, trifft diese Definition nicht zu – auch wenn Ihr Pfarrer sicher nie mit Ihnen über die persönlichen Daten beraten hat, die Sie in der Bücherei verarbeiten.

Dass hier nicht der meistens ehrenamtlichen Büchereileitung die Verantwortung aufgebürdet wird, ist eine Entlastung, allerdings bedeutet das auch, dass Sie Ihre Unterlagen noch einmal ändern müssen. Sollten Sie die Anlage Datenschutz schon mehrfach ausgedruckt haben, bietet es sich an, die entsprechende Stelle mit einem Etikett zu überkleben ...

Download für KÖBs

Mustertext (Word-Datei) für einige Elemente einer Datenschutzerklärung samt Verweis auf die Rechtsgrundlage im KDG für die Webseite Ihrer Bücherei, angelehnt an die Datenschutzerklärung des Borromäusvereins.

 

Kleine Konkordanz DSGVO – Gesetz über den kirchlichen Datenschutz (KDG)

Wenn Sie einen Generator für eine Datenschutzerklärung nutzen (z. B. kostenlos bei Dr. Schwenke), finden sich im fertigen Text Verweise auf die DSGVO als Rechtsgrundlage. Für alle kirchlichen Institutionen ist es wichtig, statt auf die DSGVO auf das Gesetz über den kirchlichen Datenschutz (KDG) zu verweisen, sonst begeht man mit dem Verweis auf die falsche Rechtsgrundlage schon einen Fehler, wegen dem abgemahnt werden kann... Am besten fügen Sie am Anfang der Datenschutzerklärung Ihrer Bücherei noch einen erklärenden Absatz zur Rechtsgrundlage ein (Text in [ ] bitte ersetzen):

Gesetzliche Grundlage
Die [Name/Bezeichnung Ihrer Bücherei, z.B.: KÖB St. Nimmerlein] ist eine Einrichtung der Katholischen Kirche und unterliegt daher deren Datenschutzbestimmungen, insbesondere dem Gesetz über den kirchlichen Datenschutz (KDG), das die EU-DSGVO für den Bereich der Katholischen Kirche in Deutschland anwendet (s. Art. 91 EU DSGVO). Die [Name/Bezeichnung Ihrer Bücherei] verpflichtet sich, die Privatsphäre der Besucher und Nutzer der Webseite [URL Ihrer Webseite, z.B. www.koeb-sankt-nimmerlein.de] zu schützen und persönliche Daten nach Maßgabe des KDG zu behandeln und zu verwenden.

In den Datenschutzerklärungen wird in der Regel auf folgende Stellen aus der DSGVO verwiesen, daneben haben wir die entsprechende Stelle im KDG notiert. „lit.“ steht in den Verweisen für „Buchstabe“. Ersetzen Sie in der Datenschutzerklärung:

  • Art. 6 Abs. 1 lit. a DSGVO durch § 6 Abs. 1 Buchstabe b KDG („die betroffene Person hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt“),
  • Art. 6 Abs. 1 lit. b DSGVO durch § 6 Abs. 1 Buchstabe c KDG („die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen“),
  • Art. 6 Abs. 1 lit. f DSGVO durch § 6 Abs. 1 Buchstabe g KDG („die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ...“).

Sollten Ihnen weitere Verweise auf die DSGVO auffallen, freue ich mich über eine Nachricht an holzapfel@borromaeusverein.de.

Muster und Generatoren

 

Datenschutzgenerator von Dr. Schwenke (kostenfrei)

Vorlage von datenschutz.org

Muster der Kanzlei Sieling

e-recht24.de, sonst eine gute Adresse, bietet eine DSGVO-konforme Datenschutzerklärung derzeit nur im Premium-Bereich, hat aber einen sehr guten freien Impressums-Generator.

 

Wichtig!

Wenn Sie einen Generator nutzen, beachten Sie unbedingt unseren Hinweis zur "kleinen Konkordanz", da kirchliche Institutionen die Verweise zur Rechtsgrundlage auf das Gesetz über den kirchlichen Datenschutz anpassen müssen (statt auf die DSGVO).

 

Verschlossen: Sichern Sie Ihre Webseite mit SSL!

(ergänzt am 8.5.2018)

Zu den Maßnahmen, die Sie für Ihre eigene Büchereiwebseite vor dem 25. Mai 2018 ergreifen sollten, gehört auch die Verschlüsselung der Webseite. Die EU-DSGVO und dementsprechend auch das Gesetz über den kirchlichen Datenschutz (KDG) schreiben vor, dass personenbezogene Daten

„in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ...“ (§ 7 Abs. 1 Buchstabe f KDG).

Für eine Webseite bedeutet das, dass sie mit SSL (genauer: TLS 1.2) verschlüsselt werden muss. Auf diese Weise verschlüsselte Webseiten haben in den Browsern oben vor der Adresse ein grünes geschlossenes Schloss. Diese Verschlüsselung sorgt dafür, dass personenbezogene Daten (z. B. die E-Mail-Adresse eines Nutzers, der per Kontaktformular eine Anfrage schickt) nicht von Dritten mitgelesen werden kann. Wenn Sie ausführlichere Informationen wünschen, lesen Sie z. B. hier weiter.

Die Verschlüsselung können Sie über Ihren Hosting-Dienstleister (1&1, all-inkl.com, Hetzner, Domainfactory usw.) einrichten. Das kostet nicht die Welt. Ihr Dienstleister wird Sie dabei unterstützen.

Übrigens hat Google vor einiger Zeit angekündigt, Webseiten mit oder ohne Kontaktformular/Logins, die nicht verschlüsselt sind, im Suchergebnis herunterzustufen, also weiter hinten in den Ergebnissen anzuzeigen. Chrome (der Browser von Google) und Firefox warnen in der Adresszeile schon jetzt, wenn Webseiten nicht geschützt sind.

Auftragsverarbeitung

(aktualisiert 04.05.2018)

Bei dieser Gelegenheit sei darauf hingewiesen, dass Sie mit Ihrem Hosting-Anbieter (Provider) – also der Firma, die den Server betreibt, auf dem Ihre Webseite liegt, einen Vertrag zur Auftragsverarbeitung schließen müssen. Die (meisten) Provider haben bereits entsprechende Formulare zum Download vorbereitet oder schicken sie auf Anfrage zu.

Das gilt unserer Ansicht nach auch für Webseiten, die an eine Bistums-Webseite angegliedert sind (wie z.B. gemeinden.erzbistum-koeln.de oder 123456.bistummainz.de). Wenden Sie sich dazu an Ihren Ansprechpartner im Bistum.

Bei dieser Gelegenheit können Sie auch gleich erfragen, wie lange diese Daten aufbewahrt werden, denn auch darüber müssen Sie Auskunft geben.

Sollten Sie einen Newsletter über ein Newslettersystem (MailChimp, Newletter-to-go ...) betreiben, müssen Sie auch mit diesem Anbieter einen solchen Vertrag schließen.

Das gilt möglicherweise auch für den WebOPAC bzw. OPEN von OCLC/Bibliotheca. OCLC hat in einem Newsletter über die erforderlichen Maßnahmen informiert, den gleichen Text finden Sie auch im Bibliotheca-Kundencenter unter „Anpassungen für die DSGVO ...“.

IBTC (BVS) stellt Informationen zum Thema Datenschutz in bibhelp.de zusammen und erklärt:

Falls Sie einen BVS eOPAC der Firma IBTC einsetzen, erhalten Sie den Vertrag zur Auftragsverarbeitung im Kundenbereich unter kundenbereich.ibtc.de. IBTC wird ferner im Mai in einem Newsletter alle Nutzer über Maßnahmen bzgl. der DSGVO informieren. Aktuelle Informationen werden bereits unter www.bibhelp.de/documentation/bvs/praxis/dsgvo (Link für Kunden zugänglich) gesammelt.

Benutzungsordnung ergänzen und an der Ausleihtheke auslegen

Da das KDG vorschreibt, dass der Betroffene zum Zeitpunkt der Erhebung von Daten über deren Verwendung und die Rechtsgrundlage informiert werden muss (§ 15 KDG), müssen Sie Ihre Benutzungsordnung entsprechend anpassen oder ergänzen. Stimmen Sie sich dazu unbedingt mit dem Kirchenvorstand oder dem Verwaltungsausschuss ab, denn möglicherweise muss dieses Gremium die Ergänzung der Benutzungsordnung formell beschließen!

Da die Datenschutzerklärung recht umfangreich gerät, ergänzen Sie im § 1 Allgemeines (das bezieht sich auf unsere Muster-Benutzungsordnung) einen Punkt und verweisen auf die Anlage Datenschutz. In der Zählung der Vorlage auf unserer Webseite wäre das Punkt 4:

4. Informationen zum Datenschutz in unserer Bücherei entnehmen Sie bitte der Anlage Datenschutz.

Außerdem müssen Sie auf den Formularen, die Sie zur Anmeldung in der Bücherei oder zur Anmeldung zu Veranstaltungen verwenden, - immer dann, wenn Sie personenbezogene Daten erheben - auf den Datenschutz-Abschnitt Ihrer Benutzungsordnung hinweisen. Dieser Satz könnte lauten:

Wir erheben diese Daten im Einklang mit der Benutzungsordnung unserer Bücherei und den gesetzlichen Bestimmungen, insbesondere dem Gesetz für den Kirchlichen Datenschutz (KDG), damit Sie unsere Bücherei nutzen können. Einzelheiten zum Datenschutz entnehmen Sie bitte der Anlage Datenschutz zur Benutzungsordnung, die Ihnen unsere Mitarbeiter/innen gerne aushändigen.

Hier können Sie einen Mustertext für die Anlage Datenschutz herunterladen. Bitte denken Sie daran, außer der gedruckten Fassung auch die Fassung auf der Webseite zu ändern, wenn Sie dort eine Benutzungsordnung zur Einsicht bereitstellen. Es gelten die gleichen Informationspflichten wie in der Datenschutzerklärung für Ihre Webseite.

Diese Anlage Datenschutz zur Benutzungsordnung sollten Sie griffbereit an der Ausleihtheke haben, um der unmittelbaren Informationspflicht (§ 15 KDG) nachkommen zu können.

Außerdem sollten Sie alle Nutzer Ihrer Bücherei auf die Datenschutzerklärung hinweisen und sie ihnen bei Bedarf aushändigen. (22.5.2018:) Sie sind aber nicht verpflichtet, allen bisherigen Leser/innen die Datenschutzerklärung auszuhändigen oder eine neue Einverständniserklärung einzuholen!


Mit diesen – zugegeben recht umfangreichen – Maßnahmen sind Sie gut gewappnet, wenn am 25. Mai die DSGVO in Kraft tritt.

Im nächsten Teil geht es um die internen Maßnahmen, die der Umgang mit personenbezogenen Daten in der Bücherei notwendig macht.


II. Die Dokumentationspflichten

Teil 2 des Info-Paketes zur neuen Datenschutzverordnung beschäftigt sich mit den internen Dokumentationspflichten.

Um die trockene Materie etwas aufzulockern, sollten Sie sich noch etwas zu trinken holen. Dann kann’s losgehen. Die internen Dokumentationspflichten umfassen das „Verzeichnis von Verarbeitungstätigkeiten“ und das TOM-Verzeichnis.

Das „Verzeichnis von Verarbeitungstätigkeiten“

Das Kirchliche Datenschutzgesetz (KDG) schreibt in § 31 (ganz ohne Paragrafen geht es auch im 2. Teil nicht) wie auch die EU-DSGVO ein Verzeichnis vor, in dem alle Vorgänge aufgelistet werden, bei denen personenbezogene Daten verarbeitet werden. In einer Bücherei können das u. a. sein:

  • Büchereiverwaltung (ob nun per EDV oder Kartei),
  • der Betrieb eines eOPAC/WebOPAC,
  • die Beteiligung an einer Onleihe,
  • der Betrieb einer Internetseite, 
  • ein Newsletter
  • ...

Bitte prüfen Sie, ob die Auflistung vollständig ist. Im Verzeichnis (das ein Textdokument sein kann, siehe Muster unten) nennen Sie natürlich nur die Vorgänge, die auf Ihre Bücherei zutreffen. In vielen Büchereien, insbesondere denen, die ohne EDV-Unterstützung arbeiten, dürfte das nur die Büchereiverwaltung sein.

Die Beschreibung der einzelnen Vorgänge folgt der immer gleichen Struktur:

  1. Bezeichnung der Verarbeitungstätigkeit,
  2. Beschreibung,
  3. Rechtliche Grundlage,
  4. Betroffener Personenkreis,
  5. Kategorien personenbezogener Daten,
  6. Datenquelle,
  7. Informations- und Transparenzpflicht,
  8. Weitergabe an Dritte (Auftragsverarbeitung),
  9. Löschung

Am besten schauen Sie sich die Beispiele in unserem Muster-Verzeichnis (Word-Dokument zum Download) an.

Technische und organisatorische Maßnahmen (TOM)

Bei TOM erinnere ich mich lieber an Tom & Jerry oder Tom Sawyer als an das Datenschutzrecht, aber in diesem Fall steht TOM für das Verzeichnis der „Technisch-organisatorischen Maßnahmen“ zum Datenschutz (Achtung, letzter Paragraf vor der Autobahn: § 26 KDG). Darin werden alle Maßnahmen dokumentiert, die Sie in Ihrer Bücherei zum Thema Datenschutz getroffen haben. Das betrifft auch Büchereien, die zur Büchereiverwaltung Karteikarten nutzen! Denn auch hier müssen personenbezogene Daten geschützt werden, indem z.B. festgelegt wird, wo die Benutzerkartei außerhalb der Öffnungszeiten verschlossen aufbewahrt wird, wer einen Schlüssel zur Bücherei hat und dass Mitarbeiter/innen regelmäßig zum Thema Datenschutz geschult werden. Dazu gehört auch, dass nicht publikumswirksam über Nutzer/innen geredet wird („Die Franziska hat schon wieder 10 Bücher eine Woche zu spät zurückgegeben!“). So etwas dürfen Sie wirklich nur intern besprechen!

Noch wichtiger sind die TOMs in Büchereien, die eine Bibliothekssoftware (BVS, Bibliotheca ...) nutzen. Hier müssen Dinge geregelt werden, wie die Vergabe von individuellen Benutzerkennungen und Passwörtern für jede/n Mitarbeiter/in, am besten mit unterschiedlichen Rechten, Datensicherungen, Programmaktualisierungen usw. Schauen Sie sich das Muster (Word-Dokument zum Download) an.

TOM und das Verzeichnis von Verarbeitungstätigkeiten legen Sie nicht aus Jux an. Sie sind verpflichtet, Ihrem Datenschutzbeauftragten bzw. der Aufsichtsbehörde diese Verzeichnisse auf Nachfrage vorzulegen.

Verschwiegenheitserklärung

(ergänzt 13.06.2018)

Das Gesetz über den kirchlichen Datenschutz schreibt in § 5 eine schriftliche Verpflichtung der Mitarbeitenden (haupt- und ehrenamtlich) auf das Datengeheimnis und die Einhaltung der Datenschutzregeln vor. Diese Erklärung sollten Sie – soweit das nicht in der Vergangenheit schon geschehen ist – von allen Mitarbeitern/innen einholen. Ein Muster finden Sie über diesen Link zum Download.

Zur Erinnerung

Teil 1 befasste sich mit den auch von Außen sichtbaren Maßnahmen: der Datenschutzerklärung für die Internetseite und der Datenschutzerklärung für die Benutzungsordnung Ihrer Bücherei. Letztere benötigen alle Büchereien. Die Datenschutzerklärung für die Internetseite ist dagegen nur dann nötig, wenn die Bücherei eine eigenständige Internetseite betreibt (z.B. www.koeb-sankt-nimmerlein.de) bzw. eine Internetseite auf einem Bistumsserver betreibt (z. B. 123456.bistummainz.de) und schon jetzt ein Impressum pflegen muss.

Neu hinzugekommen sind noch ein Hinweis auf die SSL-Verschlüsselung der Webseite und eine kleine Konkordanz (DSGVO/KDG) bei Verwendung von Generatoren.

 


Für alle, die mit diesen Themen nicht vertraut sind, ist das neue Datenschutzgesetz (das in Teilen gar nicht so neu ist) eine Zumutung, keine Frage. Niemand hat dazu Lust. Sie müssen Aufwand für etwas betreiben (wie das Verzeichnis der Verarbeitungstätigkeiten oder das TOM-Verzeichnis), das nun wirklich nichts mit der Büchereiarbeit zu tun hat und nur Zeit kostet. Scheinbar. Doch geht es dabei um den Schutz des Grundrechts auf Privatsphäre und auf den sorgsamen Umgang mit personenbezogenen Daten. Letztlich auch um Ihre Daten, z.B. um die Daten, die Google, Amazon & Co. von Ihnen erheben und speichern.

Wenn Sie’s bis hierher geschafft haben: Glückwunsch! Belohnen Sie sich, mit einem Eis vielleicht, und dann: Legen Sie Ihr Verzeichnis an – und Ihr TOM. Am besten machen Sie das im Team, das können Sie dann gleich als Datenschutzschulung verbuchen.