Re: [InetBib] Fw: Wie funktioniert das mit Datenschutz in Bibliotheken? Und gibt es einen richtigen und einen falschen Datenschutz?

[via InetBib <inetbib@xxxxxxxxxx>]

Lieber Herr Hinte,

ganz so einfach ist's aber dann doch nicht. Wann genau personenbezogene Daten 
gelöscht werden müssen, hängt vom Zweck ab, zu dem sie erhoben wurden - so 
steht's im zitierten Artikel der DSGVO. Aber zu welchem Zweck erhebt eine 
Bibliothek Ausleihdaten? Nur "zur Prüfung der Einhaltung der Leihfrist"? Oder 
auch zu anderen Zwecken wie Nachprüfbarkeit der ordnungsgemäßen Rückgabe, 
Nachweis offener Forderungen, Überprüfung von Fehlbuchungen, Ausleihhistorien, 
Statistik...? Zu welchem Zweck welche Nutzerdaten (Personen-Stammdaten, 
Ausleihdaten, Daten über Forderungen) erhoben werden dürfen und wann welche 
Daten zu löschen sind, ist Gegenstand des jeweiligen Verfahrensverzeichnisses 
("Verzeichnis von Verarbeitungstätigkeiten"), das in Abstimmung mit dem 
zuständigen Datenschutzbeauftragten erstellt wird - und der hat 
selbstverständlich Ermessensspielräume.

Mit freundlichen Grüßen,
Andreas Odenkirchen
HfMDK Frankfurt - Bibliothek
andreas.odenkirchen@xxxxxxxxxxxxxxxxxx

-----Ursprüngliche Nachricht-----
Von: InetBib [mailto:inetbib-bounces@xxxxxxxxxx] Im Auftrag von Oliver Hinte 
via InetBib
Gesendet: Mittwoch, 16. Oktober 2019 22:06
An: Susanne Drauz <sdrauz@xxxxxxxxxxxxxxx>; via InetBib <inetbib@xxxxxxxxxx>
Betreff: Re: [InetBib] Fw: Wie funktioniert das mit Datenschutz in 
Bibliotheken? Und gibt es einen richtigen und einen falschen Datenschutz?


Sehr geehrte Frau Drauz,

Ihr Urlaub sei Ihnen gegönnt, aber Sie haben die Diskussion gestartet.

Die Pflicht zur Löschung ergibt sich aus Art. 17 Abs. 1 lit a DSGVO - nach 
Abschluss des Ausleihvorgangs werden die Daten zur Prüfung der Einhaltung der 
Leihfrist nicht mehr benötigt. 

Und die Einführung neuer Techniken kehrt die Beweislast nicht um (wer Die 
Bibliothek möchte was Schadensersatz von wem den Entleiher woraus §280 BGB ) 
Vgl. auch die Hinweise zum Stichwort Rückgabe

http://www.buecherei-praxishandbuch.de/index.php?id=92

Ich wünsche Ihnen noch einen schönen Urlaub.

Mit freundlichen Grüßen
Oliver Hinte


> 
> Sehr geehrter Herr Hinte,
>
>
>
> im Hinblick auf die eingeschränkte Haftung des Entleihers verstehe ich die 
> Frage nicht. Die Antwort ergibt sich m.E. - wie so oft - aus dem Gesetz. 
> Beweislast ist doch kein zulässiges Argument für eine Löschfrist.
>
> Woraus Sie die Kontrollpflicht des Verleihers entnehmen, erschließt sich mir 
> nicht. Das liegt vielleicht daran, dass ich gerade im Urlaub bin und mein 
> Hirn im Entspannungsmodus läuft. Ich bitte um Nachsicht und vielleicht einen 
> kleinen Hinweis.
>
> Mir sind sogar Bibliotheken bekannt, da werden die Medien durch Automaten aus 
> dem sogenannten intelligenten Regalen geholt und zurück gebracht. 
>
> Unmittelbar nach meiner Rückkehr tagt ohnehin der ERFA Kreis der 
> Datenschutzbeauftragten in Baden-Württemberg, ich werfe die Frage dort mal in 
> die Diskussionsrunde und dann nehme ich den Ariadne-Faden gerne wieder auf. 
>
> Beste Grüße aus der südspanischen Abendsonne
>
> Susanne Drauz
>
>
>
> > Oliver Hinte via InetBib <inetbib@xxxxxxxxxx> hat am 16. Oktober 2019 um 
> > 18:23 geschrieben:
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > ----- Weitergeleitete Nachricht -----
> >
> >
> >
> > Gesendet: Mittwoch, 16. Oktober 2019, 18:13:51 MESZ
> >
> > Betreff: Re: [InetBib] Wie funktioniert das mit Datenschutz in Bibliotheken? 
> > Und gibt es einen richtigen und einen falschen Datenschutz?
> >
> >
> >
> >
> >
> >
> > Liebe Frau Drauz,
> >
> > wie lange soll denn der vorherige Entleiher gespeichert werden dürfen, wenn 
> > das Werk nur alle 5 Jahre verliehen wird?
> > Und natürlich besteht für den Verleiher auch eine Kontrollpflicht.
> > Ansonsten würde ihm der Schaden doch gar nicht auffallen und er könnte ihn 
> > gar nicht geltend machen. Soll dem nächsten Entleiher 
> > die Pflicht auferlegt werden, im Interesse des Eigentümers (der Bibliothek), 
> > diesen darüber zu informieren, dass das Medium vom Verleiher beschädigt 
> > zurück gegeben wurde.
> > Und steht fest, dass die Beschädigung nicht durch die Bibliothek verursacht 
> > wurde? 
> > Das automatische Rücknahmeverfahren entbindet die Bibliothek auch nicht von 
> > der Kontrollpflicht. Der Einsatz erfolgt alleine auf Veranlassung der 
> > Bibliothek.
> > Die Kontrolle ist zudem doch einfach umsetzbar; mir ist keine Bibliothek 
> > bekannt, in der die Medien ohne jegliches menschliches Zutun 
> > wieder an den Standort zurück wandern.
> >
> > Viele Grüße 
> > Oliver Hinte
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Am Mittwoch, 16. Oktober 2019, 15:57:33 MESZ hat < 
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Sehr geehrter Herr Hinte,
> >
> >
> >
> > wenn die Speicherung des aktuellen und vorherigen Entleihers zulässig ist, 
> > dann wird doch der vorherige Entleiher spätestens dann gelöscht, wenn der 
> > aktuelle Entleiher zurückgibt und damit zum vorherigen Entleiher wird.
> >
> >
> >
> > Damit kommt aber die Überlegung der längstmöglichen Speicherfrist ins Spiel 
> > und um die geht es doch. 
> >
> >
> >
> > Die Kontrollpflicht bei der Übergabe trifft ja gerade den Entleiher und 
> > nicht den Verleiher :-)
> >
> >
> >
> > Beste Grüße
> >
> >
> > Susanne Drauz
> >
> >
> >
> >
> > Mit freundlichen Grüßen
> >
> >
> > Susanne Drauz
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Sehr geehrte Frau Drauz,
> >
> >
> >
> > vielen Dank für Ihren Kommentar.
> >
> >
> >
> >
> > Die Ansprüche können Sie doch immer noch innerhalb der Frist des § 195 BGB 
> > geltend machen. 
> >
> > Aber wenn denn Entleiher die Pflicht trifft, das Medium sofort auf Schäden 
> > zu kontrollieren, kann die Bibliothek mit der Berufung auf einen eventuell 
> > bestehenden Schadensersatzanspruch die Daten doch nicht drei Jahren die 
> > Daten speichern.
> >
> > Mit freundlichen Grüßen 
> >
> > Oliver Hinte
> >
> >
> >
> >
> >
> >
> >
> >
> > Sehr geehrter Herr Hinte,
> >
> >
> >
> > als Richtschnur für Löschverpflichtungen ist mir die Verjährungsfrist von 
> > möglichen Schadenersatzansprüchen doch deutlich einleuchtener als "pi mal 
> > Daumen" Überlegungen.
> >
> >
> >
> > Vorallem in Zeiten von automatisierten Rücknahmeverfahren...
> >
> >
> >
> > Beste Grüße
> >
> >
> >
> > Susanne Drauz
> >
> >
> >
> >
> > Mit freundlichen Grüßen
> >
> >
> > Susanne Drauz
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > On Wed, Oct 16, 2019 at 3:04 PM +0200, "Oliver Hinte via InetBib" 
> > <inetbib@xxxxxxxxxx> wrote:
> >
> >
> >
> > Liebe Kolleginnen und Kollegen,die Diskussion um den Datenschutz in 
> > Hochschulen und Bibliotheken fängt gerade erst an. Mit Anwendbarkeit der 
> > DSGVO im Mai 2018 ist vielen erst einmal die Bedeutung des Datenschutzes 
> > bewusst geworden. In einer Vielzahl von Betrieben, Behörden, Hochschulen und 
> > Bibliotheken wurde die DSGVO zum Anlass genommen, Verfahren und Prozesse neu 
> > zu strukturieren und den "Datenschutz" mit einzubinden. In Bibliotheken und 
> > Hochschulen wurde dann häufig die Frage gestellt:Betrifft uns das überhaupt? 
> > Und wenn ja, wie gehen wir damit um? Ich würde die Frage uneingeschränkt mit 
> > JA! beantworten. In Bibliotheken und Hochschulen wird eine große Anzahl von 
> > personenbezogenen Daten verarbeitet. Und dass dies in ordnungsgemäßer Weise 
> > erfolgt, ist eine der Zielrichtungen des Datenschutzrechts. Was sind denn 
> > nun Beispiele für die Verarbeitung von personenbezogenen Daten in diesen 
> > Bereichen? Dazu muss ich erst einmal wissen, was "personenbezogene Daten" 
> > sind. Die DSGVO definiert den Begriff in Art. 4 Nr. 1 wie folgt:Bei 
> > "personenbezogene Daten“ handelt es sich um alle Informationen, die sich auf 
> > eine identifizierte oder identifizierbare natürliche Person (im Folgenden 
> > „betroffene Person“) beziehen; als identifizierbar wird eine natürliche 
> > Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung 
> > zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu 
> > einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen 
> > identifiziert werden kann, die Ausdruck der physischen, physiologischen, 
> > genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen 
> > Identität dieser natürlichen Person sind.Als einfachstes Beispiel für die 
> > Verarbeitung von personenbezogenen Daten in einer Bibliothek fällt mir da 
> > die Entleihe und Rückgabe von Medien ein. Die Bibliothek erfasst, wie lange 
> > der Benutzer über das Medium verfügt hat und wie sie/er damit umgegangen ist 
> > (in welchem Zustand ist es in Bibliothek zurück gelangt). Die Erhebung 
> > dieser Daten ist datenschutzrechtlich zulässig. Datenschutzrechtlich 
> > interessant wird es bei der Frage, wie lange ich diese Daten aufbewahren 
> > darf. Mache ich mir keine Gedanken über mögliche Löschfristen oder gehe ich 
> > davon aus, dass ich diese Daten unbeschränkt lange speichern darf, habe ich 
> > ein zu wenig differenziertes Verständnis von Datenschutz. Bei allen anderen 
> > Fristüberlegungen kann man heftig streiten. Gehen Sie grob davon aus, dass 
> > 2-4 Wochen Speicherfrist zulässig sind. Als Richtschnur gilt die Zeit, die 
> > eine Bibliothek benötigen sollte, um ein Medium auf seinen Zustand zu 
> > kontrollieren und es an den Standort zurückzustellen.Die nächsten Beispiele 
> > für Datenschutz in Bibliotheken erhalten Sie im nächsten Blogeintrag auf 
> > https://oliverhinte.wordpress.com/ oder wenn gewünscht auch wieder auf der 
> > inetbib.Mit freundlichen GrüßenOliver Hinte