Wir sind nett zueinander. Ich hoffe, niemand versteht die Diskussion als persönlichen Angriff. Ein Diskurs kann durchaus mal hitzig werden, aber das ist nichts Persönliches.
Der historische Vergleich mit Papierdatenbanken ist spannend (ja, wirklich ), aber für die aktuelle Diskussion unpassend. Wir reden von Computern, die andere Vorgehensweisen erlauben. Weiterentwickelte Gesetze erzwingen sogar teilweise andere Vorgehensweisen. Der Vergleich hilft uns, die historische Entwicklung einer Software zu verstehen, aber er rechtfertigt keinen Stillstand.
Es ist richtig, daß Bibliothekare ein hohes Vertrauen genießen müssen. Die meisten sind sich sicherlich dessen bewußt und ähnlich verschwiegen wie Priester es sein sollten. Es geht hier aber gar nicht um Bibliothekare, sondern um Datenbanken. Und Datenbanken genießen per se kein Vertrauen.
Genau diese persönlichen Profile können nicht nur aus der Interaktion mit dem Bibliotheksnutzer gewonnen werden, sondern auch direkt aus dem Datenbestand. Also muß dieser Datenbestand maximal gesichert werden. Nicht gegen die Bibliothekare, sondern gegen die Schweine, die unweigerlich zu jedem Datentrog kommen. Und manchmal ist das Datenschwein "nur" die Nachbarin, die auf den Bildschirm spitzt. Deswegen versucht man in ordentlichem Interface-Design darauf zu achten, daß man nur die Daten sieht, die für die jeweilige Aufgabe nötig sind.
Die Abläufe, die Du beschreibst, brauchen nicht zwingend Zugriff auf alle Daten. Das Geburtsdatum zB ist vielleicht (kann ich nicht beurteilen) bei der Neuanlage eines Kunden nötig, aber der Mitarbeiter muß es nicht sehen. Schon gar nicht, wenn es auch noch das Default-Paßwort für irgendetwas ist.
Andere Daten können datenschutzverträglicher verarbeitet werden. Ein Mitarbeiter muß nicht feststellen können, welche Bücher ein Kunde ausgeliehen hat. Nehmen wir den Fall, den Du beschreibst; der Kunde möchte wissen, ob er ein Buch schon ausgeliehen hat. In dem Fall genügt es, wenn der Mitarbeiter beim Buch nachschaut, er muß nicht im Kundenkonto nachsehen (können).
In Lesehuhns Fall war es offenbar möglich, daß der Mitarbeiter nicht nur alle Daten sehen konnte, sondern sogar das Paßwort. august bestätigt das, in seinem Fall war es sogar ein frei gesetztes Paßwort. Spätestens da hört der Spaß auf. Das hat nichts mehr mit Bequemlichkeit zu tun und ist durch keinen Ablauf zu rechtfertigen.
Ich hoffe nur, daß die Bibliotheken nicht auch noch so unvorsichtig sind, die Kundendaten an Rechnern mit Internetzugang zu verarbeiten.
Die oben genannte Profilbildung ist übrigens der Grund, warum ich unglücklich bin, daß die Onleihe nur das Login per HTTPS überträgt. Dadurch, daß der Rest (zB die urllink.acsm) im Klartext übertragen wird, kann jeder ... sagen wir "Interessierte" ein Profil bilden. Mit den Meta-Daten der Übertragung lassen sich Menschen oft eindeutig identifizieren, mindestens aber der Anschlußinhaber.