Neues Datenschutzrecht – was heisst das für unsere Bibliothek?

Ja, denn auch Sie bearbeiten personenbezogene Daten in Ihrer Bibliothek. Geben Sie die Datenschutzerklärung zusammen mit der Benutzerordnung ab oder integrieren Sie diese in die Benutzerordnung. Empfehlung: zwei Dokumente. Falls die Gemeinde eine Datenschutzerklärung auf ihrer Webseite veröffentlicht, muss diese für die Bibliothek ergänzt werden. Bitte bei der Gemeinde anfragen, wie sich das (technisch) machen lässt. So lange dies nicht passiert ist: Die Datenschutzerklärung physisch auflegen/ anschlagen und/oder zusammen mit der Benutzerordnung dem Kunden überreichen.

Sie müssen Ihre bisherige Datenschutzerklärung genau unter die Lupe nehmen und sie dem neuen Schweizerischen Datenschutzrecht anpassen. Das bedeutet u. a. die zum Teil zwar nicht unbedingt falschen, aber nicht passenden Verweise auf die EU-DSGVO zu eliminieren und auf unsere Rechtsgrundlagen (z. B. des Kantons) anzupassen. Diese gelten insbesondere für Unternehmen, welche personenbezogene Daten von Privaten in der EU verarbeiten oder Privaten Dienstleistungen in der EU anbieten. Dies dürfte für die wenigsten Bibliotheken zutreffen.

Ja, Sie können diese verwenden, müssen sich aber vergewissern, dass das, was dort steht, tatsächlich auch so zutrifft, z. B. bezüglich Verwendung von Social Media-Kanälen, von Datenanalysen etc. Und Sie müssen die Erklärungen anpassen, wo Sie nicht zutreffen.

Es kursieren sehr viele Musterdatenschutzerklärungen auch von angesehenen Anwaltskanzleien wie Rentsch & Partner oder Vischer. Diese werden der Öffentlichkeit zum Anpassen zur Verfügung gestellt. Solche Mustererklärungen dürfen Sie grundsätzlich verwenden, wenn sie entsprechend deklariert sind. Verwenden Sie Erklärungen von anderen Bibliotheken mit nur geringen Anpassungen (Austausch von Adressen etc.), empfehle ich, diese anzufragen und die Einwilligung einzuholen.

Wie die Open Library datenschutzrechtlich funktioniert, müssen Sie den Benutzenden bekannt geben in der Datenschutzerklärung. Das betrifft z. B. den Eintritt/Austritt, die Reservationstheke, aber insbesondere die Videoüberwachung. Dazu müssen Sie unbedingt auch den für Sie zuständigen Datenschutzbeauftragten einbeziehen, da Videoüberwachungen zum Teil an besondere Auflagen, allenfalls Bewilligungen gebunden sind und unterschiedliche gesetzliche Vorgaben bestehen. Bei Reservationen von Medien sollten die Angaben der Reservierenden soweit verschlüsselt sein (z. B. durch den Code des Bibliotheksausweises), dass Rückschlüsse auf konkrete Personen nicht möglich sind.

Wenn Einwilligungen nicht vorhanden sind, z. B. für den Versand von Newsletters, dann empfiehlt es sich, diese (mündlich oder schriftlich) einzuholen. Grundsätzlich genügt eine mündliche Einwilligung. Die einfachste Form ist diese: Fragen Sie beim nächsten Besuch in der Bibliothek nach, ob die Daten noch stimmen und holen Sie die Einwilligung gleichzeitig ab. Und vergewissern Sie sich, dass es in jedem Fall eine Möglichkeit gibt, den Newsletter abzubestellen, wenn ein solcher nicht mehr gewollt ist.

Grundsätzlich wäre bereits bisher eine Information notwendig gewesen über die Daten, mit der Sie über die Nutzung und vor allem die Speicherung von personenbezogenen Daten bei einer öffentlich zugänglichen Computerstation informiert haben sollten. Mit dem neuen Gesetz braucht es nun eine solche Information, vorzugsweise in der Datenschutzerklärung integriert, allenfalls separat noch beim Gerät. Diese informiert auch darüber, wie lange gespeicherte personenbezogene Daten – sofern solche überhaupt nötig sind für den Zugriff – aufbewahrt werden: Gemäss dem Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs nämlich 6 Monate.

Wie bisher sollten die öffentlich zugänglichen Computerstationen so eingerichtet sein, dass der Zugriff auf Seiten mit Gewaltdarstellungen, Pornografie und ähnliches nicht möglich ist, mindestens aber, dass der Verlauf und Cookies beim Herunterfahren jeweils gelöscht werden.

Generell unzulässig ist es, Benutzenden Einblick in den bibliothekseigenen Computer zu geben. Idealerweise sollte dieser auch für die Mitarbeitenden jeweils eigene Zugänge (Logins) vorweisen. Dies vor allem, wenn Mitarbeitenden noch in anderen Institutionen arbeiten.

Personenbezogene Daten von Kindern und Jugendlichen im schulischen Umfeld: Leitfaden Datenschutz und Datensicherheit an der Volksschule

Für den Austausch von Daten zwischen Schule und Bibliothek muss m. E. eine besondere Vereinbarung mit der Schule vorliegen, welche die Handhabung weitergegebener Daten und die Dauer der Datenaufbewahrung festhält sowie besagt, wie das Vorgehen bei Mahnungen etc. ist. Diese Vereinbarung muss von der Schule aus den Kindern bzw. den Erziehungsberechtigten bekannt gegeben werden. Suchen Sie das Gespräch mit der Schule, falls diese nicht auf Sie zukommt, was grundsätzlich ihre Aufgabe wäre. Bei separaten Konti von Kindern und Jugendlichen ist empfehlenswert, die Kontaktdaten der Erziehungsberechtigten aufzunehmen für allfällige erfolglose Kontaktnahmen mit den Kindern und Jugendlichen oder falls eine Einwilligung z. B. für Fotos notwendig ist. Dieses Vorgehen kann in der Datenschutzerklärung erläutert werden.

Für Datenschutzfragen muss eine Person konkret ernannt werden. Das kann, muss aber nicht, die bibliotheksleitende Person sein. Sie ist verantwortlich für alle datenschutzrechtlichen Themen wie Datensicherheitsthemen, Einhalten der Datenschutzrichtlinien, Information und Auskunft. Auf der Homepage genügt es grundsätzlich, die verantwortliche Stelle (ohne konkreten Namen) bekannt zu geben.

Grundsätzlich muss das Datenschutzrecht bei der Datenbearbeitung sämtlicher Personen, die mit der Bibliothek zu tun haben, z. B. Mitarbeitende, Lieferanten etc., beachtet werden. Alle Personen haben die gleichen Rechte betreffend Information und Auskunft. Hierzu empfehle ich die entsprechende Stelle (z. B. Personaldienst) zu kontaktieren.

Newsletter-Versand

Für den Versand von Newsletters als "Werbemailing" für neue Dienstleistungen oder Medien braucht es

• entweder eine ausdrückliche Einwilligung des Empfängers, falls die Daten getrackt und dementsprechend analysiert werden können (können, nicht ob Sie’s wirklich tun). In diesem Fall muss in der Datenschutzerklärung auf das Tracking hingewiesen werden
• oder – weil es um Werbung für Dienstleistungen und Medien gegenüber einem bestehenden Benutzer geht, der bereits als Kunde solche in der Bibliothek bezogen hat – auch ohne Einwilligung, aber mit einer Möglichkeit, den Newsletter jederzeit abzubestellen (gemäss EDOEB zulässiges Vorgehen).
• Empfehlung betr. Einwilligung: Von neuen Benutzenden eine Einwilligung ("Möchten Sie unsere Newsletter per Mail erhalten ja/nein" oder ähnlich) verlangen, so oder so eine "opt out-Möglichkeit" technisch einrichten (lassen), bisherige Kunden mündlich fragen, ob es i. O. sei, wenn sie die Newsletter erhalten – und dies so im System vermerken.
• Ungenügend: Information lediglich in der Benutzerordnung – siehe ausführlicher Hinweis betr. Newsletter bei der Stadtbibliothek Zug.
• Zielgruppenspezifische Newsletters sind m. E. nur zulässig, wenn eine entsprechende Einwilligung besteht, z. B. in dem die Einwilligung eine Auswahl enthält, die die Benutzenden ankreuzen können (Beispiel-Formulierung: "Möchten Sie unsere Newsletter zum Thema X/Y/Z erhalten? Bitte Zutreffendes ankreuzen"). Zielgruppenbildung ist eine Form des Profilings, wenn die Daten automatisiert ausgewertet werden, weshalb eine Information über diese Form der "Auswahl" von Personendaten aus meiner Sicht notwendig ist.
• Serienbrief (Massenmail) zur Info – ein solcher ist grundsätzlich von einem regelmässig erscheinenden Newsletter zu unterscheiden: Letzterer ist ein Werbemailing, Ersterer ein Infomail. Massenmails, auch wenn sie keine Werbung für Medien oder Dienstleistungen enthalten, sind m. E. mit Vorsicht zu versenden: Oft landen solche Mails im Spamordner, weil die Empfängerserver solche Mails ablehnen. M. E. müsste auch bei solchen Mailings die Möglichkeit bestehen, sie abzulehnen. Meine Empfehlung: Andere technische oder organisatorische Möglichkeiten nutzen anstelle von Massenmails, z. B. Banner auf der Website oder Information im offiziellen amtlichen Organ usw.

Das Gesetz gibt keine Daten bis zur Löschung vor. Dementsprechend müssen die Bibliotheken – übrigens wie bisher – eine sinnvolle Lösung finden. Eine solche könnte z. B. sein, dass die Daten von Nutzenden bei 2 Jahren Inaktivität gelöscht oder bei Inaktivität nach 1 Jahr archiviert und nach 2 Jahren gelöscht werden (falls die Informatik diese Lösung umsetzen kann). Die Fristen müssen aber in der Datenschutzerklärung publiziert werden.

Die Bibliothek kann (und muss) zum Zweck der Abwicklung des Rechtsverhältnisses die Stammdaten erheben (Vorname, Name, Geburtsdatum, Adresse, E-Mail, Telefon.) Damit ist es klar, dass diese Stammdaten dazu dienen, z. B. Mahnungen oder Erinnerungen zu senden. Dafür braucht es keine Einwilligung.

• Das Geschlecht sollte nur freiwillig erhoben werden.
• Alle weiteren Daten sollen nur auf freiwilliger Basis bekannt gegeben werden.
• Besonders schützenswerte Daten (z. B. Religionszugehörigkeit, Gesundheit, Ethnie etc.) sollten auf keinen Fall erhoben werden. Auch die Erhebung z. B. der Staatsangehörigkeit oder des Aufenthaltsstatus erscheinen in diesem Zusammenhang als unzulässig, da sie für die Abwicklung des Rechtsverhältnisses nicht notwendig sind.

Im Sinne der Datenminimierung auf das Erheben von Daten ausserhalb der Stammdaten verzichten.

• Die Datenschutzerklärung muss auf der Webseite so platziert sein, dass sie von jeder Seite aus rasch und ohne Sucharbeit gefunden und gelesen werden kann – so der EDOEB. Sie muss also nicht gelesen werden, sondern ist eine Information, die gelesen werden kann und eben: aufrufbar sein muss.
• Die Publikation der Datenverwendung ins Neukunden-Formular zu integrieren ist grundsätzlich zwar möglich, genügt aber den Anforderungen an eine Information über die Datenbearbeitung höchstwahrscheinlich nicht oder wird viel zu lang und wirkt dadurch abschreckend. Das Fazit: Dies über eine separate Datenschutzerklärung (auf dem Netz oder analog vorhanden) lösen.