Büchereiverband Österreichs
Museumstraße 3/B/12
A-1070 Wien

Tel.: +43/1/406 97 22
Fax: +43/1/406 35 94-22
E-Mail: bvoe@bvoe.at

Fenster schließenX
© Black Salmon
/ Shutterstock.com

Jahresmeldung

Reichen Sie hier Ihre Jahresmeldung online ein.

Einreichen

FAQs zur Datenschutz-Grundverordnung

Was regelt die DSGVO?

Was sind personenbezogene Daten?

Wann tritt die DSGVO in Kraft?

Benötigt die Bibliothek einen Datenschutzbeauftragten?

Was bedeutet Verarbeitung?

Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden? 

Welche Personengruppen sind im bibliothekarischen Umfeld betroffen?

Müssen spezielle Datensicherheitsmaßnahmen für die Leserdaten eingerichtet werden? Wenn ja, welche?

Wie lange dürfen Leserdaten inaktiver NutzerInnen aufgehoben werden, bevor sie gelöscht werden müssen?

Darf in einem Bibliotheksteam automatisch jeder und jede alle Daten einsehen?

Gibt es eine Belehrungspflicht innerhalb Bibliotheksteams?

Wie hoch ist der Strafrahmen bei Verstößen?

Welche Pflichten kommen als Bibliothek auf mich zu?

In welchen Fällen darf bzw. muss die Bibliothek NutzerInnen kontaktieren? In welchen Fällen ist eine gesonderte Zustimmung nötig?

Müssen die bereits unterzeichneten Lesererklärungen erneuert werden oder behalten diese ihre Gültigkeit?

Muss eine neue Lesererklärung ausgefüllt werden, wenn ein Kind, für das ein Elternteil unterschrieben hat, das 14. Lebensjahr überschreitet?

Ist es ausreichend Lesererklärungen o. Ä. für BenutzerInnen unzugänglich aufzubewahren oder müssen diese versperrt werden?

Darf eine Gemeinde mit den Daten aus dem Melderegister gezielt Personen anschreiben, um sie auf Angebote einer Bibliothek aufmerksam zu machen (z. B. im Zusammenhang mit Buchstart)?

Ist Bildung/Bibliothek ein wichtiges öffentliches Interesse lt. § 8 Abs 3 Z 2 DSG?

In der Bibliothek gibt es zwei Entlehnsysteme Jahreskarte und Einzelverrechnung. Ist es erlaubt, die Daten ohne weitere Einwilligung in das Einzelverrechungssystem zu überführen?

Was regelt die DSGVO?
Das Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dazu bedarf es einer transparenten Datenhaltung: Die NutzerInnen dürfen wissen, was, wann, wie lange mit ihren Daten passiert. Die DSGVO betrifft alle personenbezogenen Daten, egal in welcher Form sie verarbeitet werden (elektronisch oder in Papierform).
 

Was sind personenbezogene Daten?
Unter personenbezogenen Daten versteht man alle Angaben über eine natürliche Person, deren Identität bestimmt oder bestimmbar ist, also Daten die einer Einzelperson eindeutig zugeordnet werden können. Dazu zählen auch Bild-, Video- und Stimmaufnahmen sowie biometrische Daten, wie etwa Fingerabdrücke.
Personendaten werden in nicht sensible Daten (Name, Adresse, Kontaktdaten) und in sensible („besonders schutzwürdige“) Daten (Gesundheitsdaten, Interessen, politische oder religiöse Überzeugung) unterteilt.
 

Wann tritt die DSGVO in Kraft?
Die Datenschutz-Grundverordnung ist am 24.5.2016 in Kraft getreten, muss jedoch erst ab 25.5.2018 beachtet werden.
 

Brauchen wir einen Datenschutzbeauftragten?
Für die Verwendung der Daten im bibliothekarischen Kontext ist ein Datenschutzbeauftragter für eine öffentliche Bibliothek vermutlich nicht notwendig. In jedem Fall ist es aber sinnvoll sich mit dem Bibliotheksträger abzustimmen. Empfehlenswert ist, dass sich in jedem Bibliotheksteam eine Person intensiv mit dem Thema beschäftigt und als Ansprechperson fungiert.
 

Was bedeutet Verarbeitung?
Datenverarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten. So ist schon das Erheben oder Ordnen der Daten eine Datenverarbeitung und fällt bereits unter die DSGVO. Weitere Verarbeitungen sind z. B. das Speichern oder das Abrufen der Daten.
 

Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden? 
Unter bestimmten Voraussetzungen dürfen personenbezogene Daten verarbeitet werden:

  • Einwilligung durch Unterschrift (z. B. Lesererklärung)
  • Vertragserfüllung (z. B. mit Lieferanten oder ähnlichen Dienstleistungsbetrieben)
  • Erfüllung gesetzlicher Bestimmungen (7-jährige Aufbewahrungsfrist von Rechnungen)

Besondere Vorsicht ist bei (möglicherweise) besonderen Kategorien von Daten gegeben. Diese dürfen erst nach einer Einwilligungserklärung verarbeitet werden. Da die Lesehistorie möglicherweise einen Rückschluss auf die Person zulässt, könnte es sich dabei um besondere Kategorien von Daten handeln. Diese Funktion ist nur nach Aufforderung durch die NutzerInnen zu aktivieren.

Eine Weitergabe an einen Auftragsverarbeiter muss vertraglich geregelt sein und die betroffenen Personen müssen darüber informiert werden. Ein Verkauf der Daten oder eine Weitergabe z. B. an BibliotheksbenutzerInnen ist nicht erlaubt.
 

Welche Personengruppen sind im bibliothekarischen Umfeld betroffen?
Für den Verleih aber auch für den Versand von Newslettern und die Organisation von Veranstaltungen werden Daten von NutzerInnen verarbeitet. Für die bibliotheksinterne Kommunikation werden Daten von MitarbeiterInnen des Trägers verarbeitet. Für den Einkauf werden die Daten von Lieferanten gespeichert. Weitere Datenverarbeitungen können AutorInnen, KünstlerInnen und andere DienstleisterInnen betreffen.

Müssen spezielle Datensicherheitsmaßnahmen für die Leserdaten eingerichtet werden? Wenn ja, welche?
Ja, es müssen Datensicherheitsmaßnahmen eingerichtet werden. Beispiele hierfür sind versperrbare Schränke, Passwortschutz bei Computer, unterschiedliche Benutzeraccounts für alle Teammitglieder (Hierarchie mit unterschiedlichen Rechten für Leitung/Teammitglieder).
 

Wie lange dürfen Leserdaten inaktiver NutzerInnen aufgehoben werden, bevor sie gelöscht werden müssen?
Sollten die Daten nicht für buchhalterische Zwecke genutzt werden, wird eine Behaltedauer von drei Jahren wohl angemessen sein (Geltendmachung von Schadenersatzansprüchen aufgrund von „zerstörten“ Büchern). Gerechnet wird ab der Rückgabe des letzten Buches.
 

Darf in einem Bibliotheksteam automatisch jeder und jede alle Daten einsehen?
Nein, das ist nicht empfehlenswert. Es darf nur auf Daten zugegriffen werden, die für die eigene Arbeit nötig sind.
 

Gibt es eine Belehrungspflicht innerhalb Bibliotheksteams?
Ja, es ist notwendig, dass alle Teammitglieder über die Pflichten zur Einhaltung des Datenschutzes im Rahmen ihrer Tätigkeit aufgeklärt werden. Der Verantwortliche hat sämtliche MitarbeiterInnen hinsichtlich des Datengeheimnisses zu schulen (§ 6 DSG (Stand ab 25.5.2018)).
 

Wie hoch ist der Strafrahmen bei Verstößen?
Es drohen Strafen von bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes (je nachdem was höher ist). Wie der Strafrahmen bei Bibliotheken bzw. deren Trägern aussieht, lässt sich aufgrund fehlender Erfahrungsberichte nicht sagen. Trotzdem oder gerade deswegen sollten die Vorgaben eingehalten werden – schließlich geht es darum, die Interessen der NutzerInnen zu wahren.
 

Welche Pflichten kommen als Bibliothek auf mich zu?
Als Bibliothek sind folgende Dokumentations- und Informationspflichten zu beachten:

  • Beschreibung der Datenanwendungen und Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis
  • Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten
  • Auskunftspflicht über alle gespeicherten Daten, wenn die betroffene Person anfragt
  • Leseerklärung anpassen

Details und Vorlagen zur Umsetzung finden Sie hier
 

In welchen Fällen darf bzw. muss die Bibliothek NutzerInnen kontaktieren? In welchen Fällen ist eine gesonderte Zustimmung nötig?
Es wird empfohlen, in der Benutzungsordnung festzuhalten, auf welchem Weg die Bibliothek NutzerInnen bei Änderungen der Benutzungsordnung informiert (z. B. per E-Mail). Dadurch ist geregelt, wie die Bibliothek NutzerInnen auf z. B. geänderte Öffnungszeiten oder Gebühren aufmerksam machen kann. Werbung für Veranstaltungen o. Ä. darf nur nach vorheriger Einwilligung zugesendet werden.
 

Müssen die bereits unterzeichneten Lesererklärungen erneuert werden oder behalten diese ihre Gültigkeit?
Aufgrund der Vielfalt an Lesererklärungen lässt sich das nicht pauschal sagen. Grundsätzlich gilt Folgendes: Eine Lesererklärung stellt einen Vertrag dar, das heißt Bibliotheken dürfen für die Vertragserfüllung (= Medienverleih) notwendige personenbezogene Daten erheben. Dazu ist keine gesonderte Einwilligung notwendig, was bedeutet, dass die Lesererklärung nicht erneut unterschrieben werden muss.

Weitere Services wie Newsletter oder Zustimmung zur Aufzeichnung der Lesehistorie benötigen eine gesonderte Einwilligung. Wurden diese zusammen mit der Lesererklärung eingeholt, muss die Bibliothek nun diese Einwilligungen erneut einholen, sofern die Einwilligungen nicht bereits DSGVO-konform waren. Um der DSGVO zu entsprechen, müssen die Betroffenen nämlich über Datenschutzhinweise und Hinweise auf ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, und Widerspruch) aufgeklärt werden und diese Hinweise mitunterzeichnen. Ist der Fall eingetreten, dass Sie Einwilligungen erneut einholen müssen, ist es ausreichend, nur die Zustimmung zu den betroffenen Services mittels eines Formulars einzuholen. Die Mitgliedschaft in der Bibliothek besteht unabhängig davon weiterhin. (Sie können aus der BVÖ-Vorlage für Lesererklärungen die Textteile „Einverständniserklärung“ und „Datenschutzerklärung" als Grundlage für ein solches Formular verwenden). Vorlagen für DSGVO-konforme Lesererklärungen finden Sie hier.

Muss eine neue Lesererklärung ausgefüllt werden, wenn ein Kind, für das ein Elternteil unterschrieben hat, das 14. Lebensjahr überschreitet?
Nach derzeitigen Wissensstand, nein (die Frage ist aber strittig).
 

Ist es ausreichend Lesererklärungen o. Ä. für Außenstehende unzugänglich aufzubewahren oder müssen diese versperrt werden?
Es muss sichergestellt sein, dass derartige Dokumente von Außenstehenden nicht eingesehen werden können. Eine versperrte Aufbewahrung ist nach derzeitigem Wissensstand nicht nötig. Aufgrund fehlender praktischer Erfahrungswerte lässt sich diese Frage aber nicht abschließend beantworten.

Darf eine Gemeinde mit den Daten aus dem Melderegister gezielt Personen anschreiben, um sie auf Angebote einer Bibliothek aufmerksam zu machen (z. B. im Zusammenhang mit Buchstart)?
Wenn die Gemeinde der Bibliothek Informationen im Rahmen der Aktion Buchstart sendet, wird diese wohl lediglich als Auftragsverarbeiter gelten, da sie nicht über die Zwecke und Mittel der Verarbeitung entscheidet (dies tut die Gemeinde alleine). Ob die Gemeinde diese Daten nutzen darf, wurde nicht geprüft. Die Gemeinde ist dafür zuständig, zu prüfen, ob sie diese Daten nutzen darf.

Ist Bildung/Bibliothek ein wichtiges öffentliches Interesse lt. § 8 Abs 3 Z 2 DSG?
Die Ausnahmeregelung des § 8 Abs 3 Z 2 DSG gilt lediglich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke. Es ist davon auszugehen, dass die Bibliothek nicht unter diese Ausnahme fällt.

In manchen Bibliotheken gibt es zwei Entlehnsysteme – Jahreskarte und Einzelverrechnung. Ist es erlaubt, die Daten der NutzerInnen, die ihre Jahreskarte nicht verlängert haben ohne weitere Einwilligung in das Einzelverrechungssystem zu überführen?
Ja, das ist möglich. Ein Wechsel zwischen den Gebührenmodellen stellt keine Änderung des Vertrags bzw. der Art der Verwendung der personenbezogenen Daten dar. Bei Nichtnutzung der Bibliothek müssen die Daten jedoch gelöscht werden. Siehe dazu auch „Inaktive NutzerInnen“.

Stand: Mai 2018. Diese Information ersetzt keine Rechtsberatung. Der BVÖ übernimmt keine Haftung in diesem Zusammenhang.

Anwaltliche Beratung durch: Mag. Markus Dörfler, Rechtsanwalt und Partner der Kanzlei Höhne, In der Maur & Partner Rechtsanwälte, www.h-i-p.at und datenschutz-recht.at

Zur Übersichtsseite Datenschutz-Grundverordnung (DSGVO)

Jahresmeldung

Reichen Sie hier Ihre Jahresmeldung online ein.

Einreichen