Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Datenschutz in Bibliotheken
Workshop 1.1
Harald Müller
im.baden-wuerttemberg.de/fileadmin/_processed_/csm_140327_DateNdschutz_Fotolia_940x360_54a5f7d632.jpg
Gliederung
1. Datenschutz allgemein
2. Benutzerdaten
3. Datenspeicherung im Ausland
4. Unterschrift auf SignPad
5. Facebook
6. Recht auf Vergessenwerden
Zweck des Datenschutzes
Der Datenschutz soll den Einzelnen vor
Beeinträchtigungen seines Persönlichkeits-
rechts durch den Umgang von öffentlichen
und nicht-öffentlichen Stellen mit seinen
personenbezogenen Daten schützen.
Recht auf informationelle Selbstbestimmung
Art. 2 Abs. 1 GG / Art. 8 Abs. 1 EMRK
1
Rechtsgrundlagen
„Volkszählungsurteil“ Bundesverfassungsgericht
(BVerfGE 65, 1 - Urteil des Ersten Senats vom 15. Dezember 1983 auf
die mündliche Verhandlung vom 18. und 19. Oktober 1983)
Bundesdatenschutzgesetz (Stand: 14.01.2003 BGBl I 66;
zuletzt geändert 25. Februar 2015 (BGBl. I S. 162)
Datenschutzgesetze der Länder >>>
Niedersächsisches Datenschutzgesetz (NDSG), in der Fassung vom
29.01.02 (Nds. GVBl S. 22), zul. geänd.12.12.2012 (Nds. GVBl S. 589)
Personenbezogene (pb) Daten
Angaben über persönliche oder sachliche
Verhältnisse einer natürlichen Person, z.B.:
Name
Anschrift
Geburtsdatum
Religion
Staatsangehörigkeit
Arbeitgeber
Schule
Krankheiten
Hobbies
Grundsatz des Datenschutzes
Verbot von: Erhebung, Verarbeitung,
Nutzung pb Daten in autom. Verfahren / Datei
Erhebung = Beschaffen pb Daten (Prinzip der
Direkterhebung § 4 Abs. 2 BDSG)
Verarbeiten = Speichern, Verändern, Über-
mitteln, Sperren, Löschen pb Daten
Datenverarbeitung zulässig, wenn:
Gesetzliche Erlaubnis („darf“)
Gesetzliche Anordnung („muß“)
Einwilligung des Betroffenen („ok“)
§ 4 Abs. 1 BDSG / § 4 Abs. 1 NDSG
Gesetzliche Erlaubnis
§ 13 Abs. 1 BDSG
Das Erheben personenbezogener Daten ist
zulässig, wenn ihre Kenntnis zur Erfüllung
der Aufgaben der verantwortlichen Stelle
erforderlich ist.
Erforderlich ist die Erhebung, wenn ihre Kenntnis zur
Erreichung des angestrebten Zweckes objektiv geeignet und
im Verhältnis zum angestrebten Zweck auch notwendig ist.
Gesetzliche Erlaubnis
§ 9 Abs. 1 NDSG
Personenbezogene Daten dürfen erhoben
werden, wenn ihre Kenntnis zur Erfüllung der
Aufgaben der erhebenden Stelle erforderlich
ist.
Erforderlich ist die Erhebung, wenn ihre Kenntnis zur
Erreichung des angestrebten Zweckes objektiv geeignet und
im Verhältnis zum angestrebten Zweck auch notwendig ist.
Gesetzliche Erlaubnis
Erforderlich ist die Verarbeitung, wenn sie zur Erreichung des
angestrebten Zweckes objektiv geeignet und im Verhältnis
zum angestrebten Zweck auch notwendig ist.
§ 10 NDSG
Speicherung, Veränderung, Nutzung; Zweckbindung
(1) Das Speichern, Verändern und Nutzen personenbe-
zogener Daten ist zulässig, wenn es zur Erfüllung der Auf-
gaben der öffentlichen Stelle erforderlich ist und die Daten
für diese Zwecke erhoben worden sind. Erlangt die öffent-
liche Stelle Kenntnis von personenbezogenen Daten, ohne
diese erhoben zu haben, so darf sie diese Daten nur für
Zwecke verarbeiten, für die sie diese Daten erstmals
speichert.
Datenvermeidung und
Datensparsamkeit
§ 3a BDSG Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten und die Auswahl und Gestaltungvon Datenverarbeitungssystemen sind an dem Zielauszurichten, so wenig personenbezogene Datenwie möglich zu erheben, zu verarbeiten oder zunutzen. Insbesondere sind personenbezogeneDaten zu anonymisieren oder zu pseudonymi-sieren, soweit dies nach dem Verwendungszweckmöglich ist und keinen im Verhältnis zu dem ange-strebten Schutzzweck unverhältnismäßigen Auf-wand erfordert.
Datenvermeidung und
Datensparsamkeit
Gestaltung und Auswahl von Informationstechnik
haben sich an dem Ziel auszurichten, keine oder so
wenig personenbezogene Daten wie möglich zu er-
heben, zu verarbeiten oder zu nutzen.
Insbesondere ist von den Möglichkeiten der Anonymi-
sierung und Pseudonymisierung (Definition = § 3 Abs.
6 und 6a BDSG) Gebrauch zu machen, soweit dies
möglich ist und der Aufwand in einem angemessenen
Verhältnis zum angestrebten Schutzzweck steht.
§ 3 BDSG
Weitere Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangabenüber persönliche oder sachliche Verhältnisse einerbestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Automatisierte Verarbeitung ist die Erhebung, Ver-arbeitung oder Nutzung personenbezogener Datenunter Einsatz von Datenverarbeitungsanlagen. Einenicht automatisierte Datei ist jede nicht automati-sierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merk-malen zugänglich ist und ausgewertet werden kann…
Autom. Verfahren / Datei
Durch nicht-/automatisiertes Verfahren
ausgewertet
oder gleichartig aufgebaut, zugänglich,
ausgewertet werden kann
Sammlung pb Daten (§ 3 Abs. 1 / § 46 Abs.
1 BDSG)
= Nutzerkonto Bibliothek
= Online-Katalog einer Bibliothek
Benutzerdaten
Erheben = Anmeldung
Speichern = Benutzerkonto anlegen
Verändern = Sperren
Nutzen = Ausleihe, Rückgabe, Mahnung
2
Datenerhebung
§ 9 NDSG Erhebung
(1) Personenbezogene Daten dürfen erhoben
werden, wenn ihre Kenntnis zur Erfüllung der
Aufgaben der erhebenden Stelle erforderlich
ist. Die Daten sind bei den Betroffenen mit
ihrer Kenntnis zu erheben.
Datenerhebung
§ 9 NDSG Erhebung
(2) Werden Daten bei den Betroffenen erhoben,
so sind sie über den Zweck der Erhebung aufzu-
klären. Werden die Daten aufgrund einer Rechts-
vorschrift erhoben, so sind die Betroffenen in ge-
eigneter Weise über diese aufzuklären. Soweit
eine Auskunftspflicht besteht oder die Gewähr-
ung von Rechtsvorteilen die Angabe von Daten
voraussetzt, sind die Betroffenen hierauf, sonst
auf die Freiwilligkeit ihrer Angaben hinzuweisen.
Gesetzliche Erlaubnis
§ 10 NDSG Speicherung, Veränderung, Nutzung;
Zweckbindung
(1) Das Speichern, Verändern und Nutzen person-
enbezogener Daten ist zulässig, wenn es zur Erfüll-
ung der Aufgaben der öffentlichen Stelle erforderlich
ist und die Daten für diese Zwecke erhoben worden
sind. Erlangt die öffentliche Stelle Kenntnis von per-
sonenbezogenen Daten, ohne diese erhoben zu
haben, so darf sie diese Daten nur für Zwecke verar-
beiten, für die sie diese Daten erstmals speichert.
Einwilligung
§ 4 NDSG Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist
nur zulässig, wenn
1. dieses Gesetz oder eine andere Rechtsvor-
schrift dies vorsieht oder
2. die Betroffenen eingewilligt haben.
(2) Die Einwilligung bedarf der Schriftform, es sei
denn, dass wegen besonderer Umstände eine
andere Form angemessen ist.
Bibliothekspraxis
Unterschrift bei Anmeldung = Einwilligung
Ausleihdaten nach Rückgabe löschen
Benutzerkonto nach Rückgabe Ausweis löschen
Datenübernahme in UB aus Univerwaltung möglich
Zugriff auf Benutzerkonto für Dritte sperren
Keine Ausleihdaten an Dritte
Datenübermittlung nur an Gericht
Speicherung von Benutzerdaten im Ausland
https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf3
Speicherung von Benutzerdaten im Ausland
https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf3
Speicherung von Benutzerdaten im Ausland
https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf
Speicherung von Benutzerdaten im Ausland
https://eldorado.tu-dortmund.de/bitstream/2003/34899/1/2016-04-16_H%c3%a4nger-Francken-Welz_Alma%20und%20Datenschutz.pdf
Unterschrift auf SignPad
§ 28 BDSG
…
(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der
Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der
Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung
elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die
Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen
und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
§ 4 NDSG
…
(2) Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen beson-
derer Umstände eine andere Form angemessen ist.
4
§ 126a BGB Elektronische Form
(1) Soll die gesetzlich vorgeschriebene schriftliche Form
durch die elektronische Form ersetzt werden, so muss der
Aussteller der Erklärung dieser seinen Namen hinzufügen
und das elektronische Dokument mit einer qualifizierten
elektronischen Signatur nach dem Signaturgesetz
versehen.
Unterschrift auf SignPad
http://signature.wacom.eu/wp-content/uploads/2014/06/stu-500_DE.jpg
• Motto: „Facebook ermöglicht es dir, mit den Menschen in deinem Leben in
Verbindung zu treten und Inhalte mit diesen zu teilen.“
• Thilo Weichert: Datenschutzverstoß als Geschäftsmodell — der Fall
Facebook. In: Datenschutz und Datensicherheit 2012 H. 10, S. 716 – 721.
• Zitat: Mit dem Börsengang im Mai 2012 hat Facebook einige Milliarden Dollar
eingesammelt. Dies war nur durch eine personenbezogene Datenverarbeitung
möglich, die in Deutschland und Europa gegen Datenschutzrecht verstößt. Der
Beitrag untersucht, weshalb ein datenschutzwidriges Geschäftsmodell
zumindest mittelfristig erfolgreich sein konnte und wie dies in Zukunft verhindert
werden kann.
>>> Social Plugins „Gefällt mir“
Telemediengesetz TMG
§ 13 TMG Pflichten des Diensteanbieters
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezo-gener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parla-ments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automati-sierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unter-richtung muss für den Nutzer jederzeit abrufbar sein.
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Dienstean-
bieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen
kann.
Beispiel Datenschutzhinweis
Verwendung von Facebook Social Plugins
Unser Internetauftritt verwendet Social Plugins ("Plugins") des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird ("Facebook"). Die Plugins sind mit einem Facebook Logo oder dem Zusatz "Facebook Social Plugin" gekennzeichnet.
Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Pluginswird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite einge-bunden.
Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt kann Face-book den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den "Gefällt mir" Button betätigen oder einen Kommentar abgeben, wird die ent-sprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespei-chert.
Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook.
Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen.
Quelle: http://www.thomashelbing.com/de/facebook-social-plugiNds-dateNdschutz-bdsg-dateNdschutzhinweise-privacy-policy-like-button-gefallt-mir
Katalog = Datei (Datenbank)
Personenbezogene Daten
Namen von Autoren, Herausgebern usw.
Katalogisieren = Erheben & Speichern
Katalogrecherche = Übermitteln
Datenschutzbeauftragte haben auch
schon Bibliothekskataloge überprüft
Katalog = Datei (Datenbank)
§ 9 NDSG
Erhebung
(1) Personenbezogene Daten dürfen erhoben werden,
wenn ihre Kenntnis zur Erfüllung der Aufgaben der erheb-
enden Stelle erforderlich ist ... Bei Dritten dürfen person-
enbezogene Daten nur erhoben werden, wenn
…
5. die Daten aus allgemein zugänglichen Quellen ent-
nommen werden können, soweit nicht schutzwürdige Inter-
essen der Betroffenen offensichtlich entgegenstehen…
Katalog = Datei (Datenbank)
§ 14 Abs. 2 BDSG
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist
nur zulässig, wenn
...
5. die Daten allgemein zugänglich sind oder die verant-
wortliche Stelle sie veröffentlichen dürfte, es sei denn,
dass das schutzwürdige Interesse des Betroffenen an
dem Ausschluss der Zweckänderung offensichtlich
überwiegt ...
Recht auf Vergessenwerden
http://www.ifla.org/files/assets/clm/statements/rtbf-full-statement-de.pdf
https://de.wikipedia.org/wiki/Recht_auf_Vergessenwerden
The right to be forgotten & librariesby Harald Müller 2015
Conflicting interests
International treaties guarantee an unrestricted access to information. Libraries and archives are
memory institutions. In some cases the courts doubted whether an archive should be ordered to
“change history” by erasing personal data.
Main findings
The right of erasure as provided for by data protection law has rarely been the only legal ground in
courts.
Oblivion may be achieved by other means than erasure.
The easy access and quick retrieval of personal data via search engines is the main concern of
individuals regarding their online privacy.
Sometimes the right to oblivion can be waived
While oblivion and erasure are complementary legal tools, the right of erasure has the potential to
neglect the thorough balancing of conflicting interests.
The right to be forgotten is a generic term, bringing together the existing rights of oblivion and
erasure.
No right to erasure, oblivion or forgetting can be absolute, but rather that they have to be carefully
weighed against the freedom of speech and information. Since the latter is justifiably a cornerstone
of any democratic society.
Dr. Harald Müller
Aktionsbündnis Urheberrecht für Bildung & Wissenschaft
IFLA Document delivery section
EBLIDA Expert Group Information Law