FAQs zur Datenschutz-Grundverordnung

Das Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dazu bedarf es einer transparenten Datenhaltung: Die Nutzer:innen dürfen wissen, was, wann, wie lange mit ihren Daten passiert. Die DSGVO betrifft alle personenbezogenen Daten, egal in welcher Form sie verarbeitet werden (elektronisch oder in Papierform).

Unter personenbezogenen Daten versteht man alle Angaben über eine natürliche Person, deren Identität bestimmt oder bestimmbar ist, also Daten die einer Einzelperson eindeutig zugeordnet werden können. Dazu zählen auch Bild-, Video- und Stimmaufnahmen sowie biometrische Daten, wie etwa Fingerabdrücke.
Personendaten werden in nicht sensible Daten (Name, Adresse, Kontaktdaten) und in sensible (besonders schutzwürdige) Daten (Gesundheitsdaten, Interessen, politische oder religiöse Überzeugung) unterteilt.

Die Datenschutz-Grundverordnung trat am 24.5.2016 in Kraft und muss seit 25.5.2018 umgesetzt werden.

Für die Verwendung der Daten im bibliothekarischen Kontext ist eine Datenschutzbeauftragte/ein Datenschutzbeauftrager für eine öffentliche Bibliothek vermutlich nicht notwendig. In jedem Fall ist es aber sinnvoll sich mit dem Bibliotheksträger abzustimmen. Empfehlenswert ist, dass sich in jedem Bibliotheksteam eine Person intensiv mit dem Thema beschäftigt und als Ansprechperson fungiert.

Datenverarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten. So ist schon das Erheben oder Ordnen der Daten eine Datenverarbeitung und fällt bereits unter die DSGVO. Weitere Verarbeitungen sind zum Beispiel das Speichern oder das Abrufen der Daten.

Unter bestimmten Voraussetzungen dürfen personenbezogene Daten verarbeitet werden:

• Einwilligung durch Unterschrift (zum Beispiel Newsletterversand)
• Vertragserfüllung (zum Beispiel Verträge mit Lieferant:innen oder ähnlichen Dienstleistungsbetrieben)
• Erfüllung gesetzlicher Bestimmungen (7-jährige Aufbewahrungsfrist von Rechnungen)

Besondere Vorsicht ist bei (möglicherweise) besonderen Kategorien von Daten gegeben. Diese dürfen erst nach einer Einwilligungserklärung verarbeitet werden. Da die Lesehistorie möglicherweise einen Rückschluss auf die Person zulässt, könnte es sich dabei um besondere Kategorien von Daten handeln. Diese Funktion ist nur nach Aufforderung durch die Nutzer:innen zu aktivieren.

Eine Weitergabe an einen Auftragsverarbeiter muss vertraglich geregelt sein und die betroffenen Personen müssen darüber informiert werden. Ein Verkauf der Daten oder eine Weitergabe zum Beispiel an Bibliotheksnutzer:innen ist nicht erlaubt.

Für den Verleih aber auch für den Versand von Newslettern und die Organisation von Veranstaltungen werden Daten von Nutzer:innen verarbeitet. Für die bibliotheksinterne Kommunikation werden Daten von Mitarbeiter:innen des Trägers verarbeitet. Für den Einkauf werden die Daten von Lieferant:innen gespeichert. Weitere Datenverarbeitungen können Autor:innen, Künstler:innen und andere Dienstleister:innen betreffen.

Ja, es müssen Datensicherheitsmaßnahmen eingerichtet werden. Beispiele hierfür sind versperrbare Schränke, Passwortschutz bei Computer, unterschiedliche Benutzeraccounts für alle Teammitglieder (Hierarchie mit unterschiedlichen Rechten für Leitung/Teammitglieder).

Sollten die Daten nicht für buchhalterische Zwecke genutzt werden, wird eine Behaltedauer von drei Jahren wohl angemessen sein (Geltendmachung von Schadenersatzansprüchen aufgrund von „zerstörten“ Büchern). Gerechnet wird ab der Rückgabe des letzten Buches.

Nein, das ist nicht empfehlenswert. Es darf nur auf Daten zugegriffen werden, die für die eigene Arbeit nötig sind.

Ja, es ist notwendig, dass alle Teammitglieder über die Pflichten zur Einhaltung des Datenschutzes im Rahmen ihrer Tätigkeit aufgeklärt werden. Der Verantwortliche hat sämtliche Mitarbeiter:innen hinsichtlich des Datengeheimnisses zu schulen (§ 6 DSG (Stand ab 25.5.2018)).

Es drohen Strafen von bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes (je nachdem was höher ist). Wie der Strafrahmen bei Bibliotheken beziehungsweise deren Trägern aussieht, lässt sich aufgrund fehlender Erfahrungsberichte nicht sagen. Trotzdem oder gerade deswegen sollten die Vorgaben eingehalten werden – schließlich geht es darum, die Interessen der Nutzer:innen zu wahren.

Als Bibliothek sind folgende Dokumentations- und Informationspflichten zu beachten:

• Beschreibung der Datenanwendungen und Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis
• Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten
• Auskunftspflicht über alle gespeicherten Daten, wenn die betroffene Person anfragt
• Leseerklärung anpassen

Details und Vorlagen zur Umsetzung finden Sie hier. 

Es wird empfohlen, in der Benutzungsordnung festzuhalten, auf welchem Weg die Bibliothek Nutzer:innen bei Änderungen der Benutzungsordnung informiert (zum Beispiel per E-Mail). Dadurch ist geregelt, wie die Bibliothek Nutzer:innen etwa auf geänderte Öffnungszeiten oder Gebühren aufmerksam machen kann. Werbung für Veranstaltungen oder Ähnliches darf nur nach vorheriger Einwilligung zugesendet werden.

Aufgrund der Vielfalt an Lesererklärungen lässt sich das nicht pauschal sagen. Grundsätzlich gilt Folgendes: Eine Lesererklärung stellt einen Vertrag dar, das heißt Bibliotheken dürfen für die Vertragserfüllung (= Medienverleih) notwendige personenbezogene Daten erheben. Dazu ist keine gesonderte Einwilligung notwendig, was bedeutet, dass die Lesererklärung nicht erneut unterschrieben werden muss.

Weitere Services wie Newsletter oder Zustimmung zur Aufzeichnung der Lesehistorie benötigen eine gesonderte Einwilligung. Wurden diese zusammen mit der Lesererklärung eingeholt, muss die Bibliothek nun diese Einwilligungen erneut einholen, sofern die Einwilligungen nicht bereits DSGVO-konform waren. Um der DSGVO zu entsprechen, müssen die Betroffenen nämlich über Datenschutzhinweise und Hinweise auf ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch) aufgeklärt werden und diese Hinweise mitunterzeichnen. Ist der Fall eingetreten, dass Sie Einwilligungen erneut einholen müssen, ist es ausreichend, nur die Zustimmung zu den betroffenen Services mittels eines Formulars einzuholen. Die Mitgliedschaft in der Bibliothek besteht unabhängig davon weiterhin. (Sie können aus der BVÖ-Vorlage für Lesererklärungen die Textteile „Einverständniserklärung“ und „Datenschutzerklärung" als Grundlage für ein solches Formular verwenden). Vorlagen für DSGVO-konforme Lesererklärungen finden Sie hier.

Nach derzeitigen Wissensstand, nein (die Frage ist aber strittig).

Es muss sichergestellt sein, dass derartige Dokumente von Außenstehenden nicht eingesehen werden können. Eine versperrte Aufbewahrung ist nach derzeitigem Wissensstand nicht nötig. Aufgrund fehlender praktischer Erfahrungswerte lässt sich diese Frage aber nicht abschließend beantworten.

Wenn die Gemeinde der Bibliothek Informationen im Rahmen der Aktion Buchstart sendet, wird diese wohl lediglich als Auftragsverarbeiter gelten, da sie nicht über die Zwecke und Mittel der Verarbeitung entscheidet (dies tut die Gemeinde alleine). Ob die Gemeinde diese Daten nutzen darf, wurde nicht geprüft. Die Gemeinde ist dafür zuständig, zu prüfen, ob sie diese Daten nutzen darf.

Die Ausnahmeregelung des § 8 Abs 3 Z 2 DSG gilt lediglich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke. Es ist davon auszugehen, dass die Bibliothek nicht unter diese Ausnahme fällt.

Ja, das ist möglich. Ein Wechsel zwischen den Gebührenmodellen stellt keine Änderung des Vertrags beziehungsweise der Art der Verwendung der personenbezogenen Daten dar. Bei Nichtnutzung der Bibliothek müssen die Daten jedoch gelöscht werden. Siehe dazu auch „Inaktive Nutzer:innen“.