www.buecherhallen.de

Zertifikatsnummer DSC.148.10.2012

1. Allgemeines zur Zertifizierung nach ips

Die Stiftung Hamburger Öffentliche Bücherhallen hat ihr Web-Angebot unter www.buecherhallen.de nach den internet privacy standards (ips) wiederholt zertifizieren, d.h. prüfen lassen.

Damit hat sich das Unternehmen höchsten Anforderungen unterworfen, die zum einen die Einhaltung datenschutz- und verbraucherschutzrechtlicher Vorschriften sicherstellen, als auch die Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik beinhalten. Der ips-Kriterienkatalog ist abrufbar unter www.datenschutz-cert.de.

Die internet privacy standards werden als bundesweit gültiges Gütesiegel für Webportale von der Initiative D21 der Bundesregierung empfohlen und sind mit zahlreichen Datenschutzbeauftragten der Länder und des Bundes abgestimmt. Eine Zertifizierung nach ips entspricht einem hohen Prüfungsmaßstab. Sie sehen also: Bei dem zertifizierten Anbieter sind Sie datenschutzrechtlich "gut aufgehoben".

2. Anbieter und URL des zertifizierten Webportals:

Stiftung Hamburger Öffentliche Bücherhallen
Hühnerposten 1
20097 Hamburg
www.buecherhallen.de

3. Auditor

Oliver Stutz
datenschutz nord GmbH
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69663254
Fax.: 0421 – 69663251
ostutz@remove-this.datenschutz-cert.de
http://www.datenschutz-cert.de

4. Zertifizierungsstelle

datenschutz cert
Dr. Irene Karper
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69663253
Fax.: 0421 – 69663251
ikarper@remove-this.datenschutz-cert.de
http://www.datenschutz-cert.de

Dieses Zertifikat wurde erteilt unter der Nummer
DSC.148.10.2012

5. Umfang der Zertifizierung nach ips

Das Webangebot wurde erstmals im August 2006 auf der Grundlage des ips-Kriterienkatalogs in der Version 1.0 geprüft. Mittlerweile erfolgte die 3. Re-Zertifzierung, nunmehr auf Grundlage des ips-Kriterienkatalogs in der Version 2.6 (August 2010)

Die Begutachtung nach ips umfasst nicht nur die Überprüfung der für jeden Nutzer sichtbaren Bereiche wie Datenschutzerklärung, Cookies u.ä. anhand der einschlägigen gesetzlichen Vorgaben (Telemediengesetz,Bundesdatenschutzgesetz), sondern durchleuchtet auch die Netzwerksicherheit des Anbieters und die interne Organisation der Datenverarbeitung (sog. Datenschutzmanagement). So können Sie als Nutzer sicher sein, dass Technik und Mitarbeiter des zertifizierten Anbieters Datenschutz und Datensicherheit wirklich ernst nehmen - und damit Ihr Persönlichkeitsrecht schützen.

Über das Online-Portal der Stiftung Hamburger Öffentliche Bücherhallen werden in unterschiedlicher Intensität personenbezogene Daten erfasst. Neben den auf jedem Web-Angebot erhobenen Nutzerdaten, die bei den Bücherhallen sofort mittels eines Skripts anonymisiert werden, liegt der Schwerpunkt der Datenverarbeitung im Bereich "Kundenkonto". Hinzugekommen sind in der vergangenen Re-Zertifizierungsperiode weitere eMedien, die von Dienstleistern der HÖB bereitgestellt werden.

6. Datenschutzrechtliche Schwerpunkte

a) Kundenkonto
Über das Kundenkonto, dessen Nutzung über eine Verschlüsselung vor dem Zugriff Unberechtigter geschützt ist, kann der HÖB-Kunde Medien vorbestellen und verlängern, im Angebot blättern und weitere Dienstleistungen in Anspruch nehmen. Der über den Jugendbereich "HÖB4U" erreichbare Online-Shop, über den Merchandising-Produkte erworben werden können, ist nicht Bestandteil des HÖB-Internet-Portals, weil dieser Shop vom Anbieter "spreadshirt" (entgegen der im dortigen Impressum irreführenden Darstellung)in eigener Verantwortung betrieben wird. Die HÖB hat auf die datenschutz- und telemedienrechtlich) Gestaltung dieses Shops keinen Einfluss.

b) eMedien
Datenschutzrechtlich ebenfalls relevant ist der Bereich der eMedien: Zur Nutzung dieser von Drittanbietern realisierten Dienstleistungen ist die Überprüfung der HÖB-Kennung erforderlich. Hierbei wurde im Rahmen der ips-Re-Zertifizierung geprüft und sichergestellt, dass keine personenbezogenen Daten oder Nutzungsdaten an Drittanbieter übermittelt werden – die Prüfung der Nutzberechtigung erfolgt hier durch Rückfrage bei der HÖB selbst.

c) Verzicht von SocialPlugins
Die HÖB nutzt die Möglichkeit sozialer Netze (facebook, Twitter etc.), dies jedoch datenschutzfreundlich, nämlich unter Verzicht der von diesen bereitgestellten Plugins; stattdessen werden einfache Verlinkungen genutzt, die grafisch entsprechend dargestellt werden. Dies hat den datenschutzrechtlichen Vorteil, dass Nutzerdaten nicht bereits automatisch mit Aufruf der HÖB-Webseiten an die jeweiligen sozialen Netzwerke übertragen werden, sondern erst nach aktiver Entscheidung durch den Nutzer.

d) Nutzung eigener Statistiktools
Schließlich nutzt die HÖB keine externen Dienstleister zur Erfassung und Auswertung ihrer Webzugriffe, sondern erstellt Web-Zugriffs-Statistiken selbst mit Hilfe von Open-Source-Lösungen.

Aufgrund der unterschiedlichen Schutzbedürftigkeit der verschiedenen Nutzerbereiche wurde für die Ermittlung des Prüfergebnisses folgende Gewichtung zugrunde gelegt:

  • Informationsangebot: 10 %
  • Individualdienstleistung (Kundenkonto + eMedien): 50 %
  • Datenschutzmanagement (Datensicherheit): 40%

7. Zusammenfassung der Prüfergebnisse

Das Angebot zeichnet sich durch folgende Rahmenbedingungen besonders aus:

  • hohe Transparenz der Datenverarbeitung für den Nutzer
  • datensparsamer Umgang mit Nutzerdaten
  • Verzicht auf SocialPlugins
  • Verzicht auf Dienstleister zur Erstellung von Zugriffsstatistiken
  • Verwendung hoher Sicherheitsstandards bei der Übermittlung personenbezogener Daten

Die Bücherhallen setzen in allen Bereichen die datenschutzrechtlichen Anforderungen um, in vielen Bereichen gehen die Umsetzungen darüber hinaus und sind datenschutzrechtlich vorbildlich. Die getroffenen technisch-organisatorischen Sicherheitsmaßnahmen gewähren die Sicherheit der Daten nach dem aktuellen Stand der Technik, z.B. durch Verwendung aktueller ssl-Verschlüsselung. Der Benutzer wird verständlich über die verschiedenen Funktionen sowie über Datenerhebung und -nutzung aufgeklärt; er erhält im Online-Treffpunkt jederzeit einen Überblick über vertragsrelevante Daten und die Datenverarbeitung.

Das Angebot ist im Hinblick auf die Erfassung von personenbeziehbaren Nutzerdaten (z.B. IP-Adresse, die anonymisiert wird), ganz im Sinne des Datensparsamkeitsgrundsatzes eingerichtet. Der Anbieter setzt in den geprüften Onlinebereichen die Anforderungen des Kriterienkatalogs ips um und erhält daher das Online-Gütesiegel.   

Auditor
Oliver Stutz
datenschutz nord GmbH 
Konsul-Smidt-Str. 88 
28217 Bremen
Tel.: 0421 – 6966 32-14 
Fax.: 0421 – 6966 32-11 
ostutz@remove-this.datenschutz-nord.de
http://www.datenschutz-nord.de

http://www.datenschutz-nord.de/Zertifizierungsstelle 
Dr. Irene Karper 
datenschutz cert GmbH 
Konsul-Smidt-Str. 88a 
28217 Bremen 
Tel.: 0421 - 69 66 32-54 
Fax.: 0421 - 69 66 32-51 
ikarper@remove-this.datenschutz-cert.de 
http://www.datenschutz-cert.de