Seit dem 25. Mai 2018 ist die aktuelle europäische Datenschutzgrundverordnung (DSGVO) in Kraft gesetzt. Sie dient dazu, EU-weit einheitliche Standards beim Datenschutz einzuführen. Auf diese Weise sollen die persönlichen Daten der EU-Bürger besser gegen Missbrauch geschützt werden. Damit erhält auch der kirchliche Datenschutz eine neue Rechtsgrundlage (KDG).
Der Borromäusverein (bv.) hat für die Katholischen öffentlichen Büchereien auf seiner Internetseite unter dem Stichwort »Büchereiarbeit | Datenschutz« die wichtigsten Hintergrundinformationen gut nachvollziehbar zusammengestellt und erläutert, was Büchereien tun müssen und diese Informationen mit entsprechenden Mustertexten ergänzt: https://www.borromaeusverein.de/buechereiarbeit/datenschutz
Um Ihnen den Zugang zu dem eher »sperrigen Thema« zusätzlich zu erleichtern, haben wir hier noch einmal die wichtigsten Punkte im Überblick zusammengetragen und die vom Borromäusverein erstellten Mustervorlagen für Sie soweit bearbeitet, dass Sie diese auf unserer Internetseite direkt herunterladen und mit Ihren KÖB-Daten ausfüllen können.
Wir müssen Sie darauf hinweisen, dass jede Bücherei aufgrund der neuen Richtlinie dazu verpflichtet ist, diese Änderungen zu übernehmen.
Die neue Datenschutzverordnung:
Die Rechtsgrundlage für Katholische öffentliche Büchereien (KÖB) in Trägerschaft einer Einrichtung der katholischen Kirche (das kann auch ein katholisches Krankenhaus sein!) ist das „Gesetz über den kirchlichen Datenschutz“ (KDG), das im vergangenen Jahr in den einzelnen Diözesen Deutschlands in Kraft gesetzt worden ist, nachzulesen für unser Bistum im: »Kirchlichen Amtsblatt für das Bistum Trier, 1. April 2018, Nr. 65«.
Diese neuen Regelungen haben zur Folge, dass für alle Büchereien Anpassungen nötig geworden sind.
Büchereien sind in der Verwaltung ihrer Benutzerdaten von den neuen Datenschutzrichtlinien betroffen: die DSGVO schreibt vor, dass überall da, wo Daten verarbeitet werden, auch erklärt werden muss, zu welchem Zweck dies geschieht und auf welcher Rechtsgrundlage. Da in KÖBs ständig Daten verarbeitet werden, müssen Sie an geeigneter Stelle über den Datenschutz informieren. Jeder Ausleihvorgang ist eine Datenverarbeitung, jede Neu-Anmeldung eines Benutzers, jede Mahnung. Der Aufruf einer Internetseite ebenfalls. Das betrifft also neben den Büchereien mit EDV-Einsatz auch alle KÖBs, die noch konventionell (mit Karten) arbeiten.
Informationspflicht nach außen
1.Benutzungsordnung: Alle Katholischen öffentlichen Büchereien müssen nach dem Gesetz über den kirchlichen Datenschutz ihre Benutzungsordnung um eine Anlage mit einer Datenschutzerklärung ergänzen. Da diese recht umfangreich ist, ergänzen Sie Ihre bisherige Benutzungsordnung um einen Hinweis, z. Bsp.: »Informationen zum Datenschutz in unserer Bücherei entnehmen Sie bitte der Anlage Datenschutz« und verweisen Sie auf den entsprechenden Anhang. Legen Sie die Benutzungsordnung und den Anhang gut sichtbar an der Ausleihtheke aus und weisen Sie Ihre Benutzer darauf hin.
Dabei spielt es keine Rolle, ob die Büchereiverwaltung konventionell (mit Buch- und Leserkarten) oder EDV-gestützt erfolgt. Bitte denken Sie daran, außer der gedruckten Fassung auch die Fassung auf Ihrer Internetseite zu ändern, wenn Sie dort eine Benutzungsordnung zur Einsicht bereitstellen. Dies gilt auch für die Büchereien, die ihre Benutzungsordnung im BVS eOPAC veröffentlicht haben (siehe Mustervorlagen).
2.Büchereien mit einem BVS eOPAC müssen darüber hinaus mit dem Anbieter IBTC einen „Vertrag über Auftragsverarbeitung“ abschließen. Das können Sie ganz einfach in Ihrem Kundenkonto auf der Internetseite (www.ibtc.de) unter der Rubrik „BVS eOPAC Vertrag“ (https://kundenbereich.ibtc.de/vertrag/bvseopac) erledigen.
3. Internetseite: Wichtig ist: Auf jede Internetseite gehören eine Datenschutzerklärung und ein Impressum. Die Datenschutzerklärung muss online einsehbar sein. Zuständig hierfür ist der Betreiber der Webseite:
Wenn die Homepage Ihrer Bücherei zur Webseite Ihrer Kirchen- oder der Zivilgemeinde gehört, ist die Datenschutzerklärung deren Aufgabe.
Haben Sie die Homepage selbst, quasi privat erstellt, sind Sie als Bücherei selbst dafür verantwortlich, die aktuelle Datenschutzerklärung und das Impressum anzupassen und zu veröffentlichen (Mustertexte siehe: https://www.borromaeusverein.de/buechereiarbeit/datenschutz). Zusätzlich muss die Bücherei mit dem Provider, auf dessen Server die Seite liegt, einen »Vertrag zur Auftragsverarbeitung« abschließen. Dieser Vertrag ist in der Regel bei dem Provider direkt abrufbar.
Dokumentationspflicht
Die internen Dokumentationspflichten umfassen das »Verzeichnis von Verarbeitungstätigkeiten« und das »TOM-Verzeichnis« (Technisch-organisatorische Maßnahmen). Darin werden alle Maßnahmen dokumentiert, die Sie in Ihrer Bücherei zum Thema Datenschutz getroffen haben. Das betrifft auch Büchereien, die zur Büchereiverwaltung Karteikarten nutzen! Denn auch hier müssen personenbezogene Daten geschützt werden, indem z. Bsp. festgelegt wird, wo die Benutzerkartei außerhalb der Öffnungszeiten verschlossen aufbewahrt wird oder wer beispielsweise einen Schlüssel zur Bücherei hat.
Für beide Verzeichnisse haben wir für Sie zwei entsprechende Mustervorlagen zum Ausfüllen vorbereitet.
»TOM« und das »Verzeichnis von Verarbeitungstätigkeiten« müssen von Ihnen angelegt werden. Sie sind verpflichtet, Ihrem Datenschutzbeauftragten bzw. der Aufsichtsbehörde diese Verzeichnisse auf Nachfrage vorzulegen.
Zu guter Letzt:
Legen Sie die von Ihnen ergänzten und ausgefüllten Mustertexte für die Benutzungsordnung, die Homepage und die beiden Texte zur Dokumentationspflicht den Verantwortlichen in Ihrer Pfarrei vor. Die Aktualisierungen sollten von der Pfarrei (Verwaltungsrat) offiziell abgesegnet werden.
Unabhängig davon empfehlen wir Ihnen außerdem, keine private E-Mail-Adresse oder private Telefonnummern als »offiziellen Kontakt« der Bücherei im Büchereialltag zu nutzen (z. Bsp. auf der Homepage der KÖB, auf Flyern, Lesezeichen oder ähnlichen Veröffentlichungen). Legen Sie sich eine neutrale KÖB-Adresse an, z. Bsp.: »Koeb-Musterhausen@xxx.de« auf die mehrere Teammitglieder zugreifen können.