Das müssen Sie wissen

Die Datenschutz-Grundverordnung (DSGVO) der EU ist am 25. Mai 2018 in Kraft getreten. Mit ihr kommt die rechtliche Verpflichtung für Ihre Institution, Ihre Regelung mit OCLC für die Verarbeitung personenbezogener Daten zu formalisieren. OCLC unterstützt die durch die DSGVO zum Ausdruck gebrachten starken Datenschutz- und Sicherheitsrichtlinien und setzt sich dafür ein, dass es unsere jeweiligen Serviceangebote unseren Kunden ermöglichen, ihre Pflichten als Datenverantwortliche im Rahmen der DSGVO zu erfüllen.

Die DSGVO verlangt, dass OCLC und Kunden über ein Datenverarbeitungsabkommen verfügen, das beides abdeckt: 1) Services, die in Rechenzentren gehostet werden und personenbezogene Daten verarbeiten, sowie 2) Services, die zu Support- und Wartungszwecken eine ausgelagerte Verarbeitung personenbezogener Daten erlauben.

Das Datenverarbeitungsabkommen von OCLC beinhaltet durch die DSGVO auferlegte Bestimmungen zur Datenverarbeitung, sichert den Schutz der personenbezogenen Daten Ihrer Benutzer, Mitarbeiter und anderer zu und verdeutlicht die jeweiligen Rollen und Verantwortlichkeiten beider Seiten in Zusammenhang mit den verarbeiteten personenbezogenen Daten.

Warum die Vorlage von OCLC?

Um die Anforderungen der DSGVO zu erfüllen, hat OCLC ein vorunterzeichnetes, speziell auf die DSGVO und die Art der aus der Nutzung von OCLC-Produkten und -Services resultierenden Verarbeitung zugeschnittenes Abkommen erstellt. Wenn die personenbezogenen Daten Ihrer Institution der DSGVO unterliegen, benötigen Sie ein Datenverarbeitungsabkommen.

Übermittelt OCLC Daten außerhalb der Europäischen Union?

• Ja. Werden personenbezogene Daten aus der EU an OCLC in den USA übertragen, erfolgt diese Übertragung gemäß der im Datenverarbeitungsabkommen enthaltenen Standardvertragsklauseln. Die Standardvertragsklauseln sind ein Formular-Dokument, das von der Europäischen Kommission entworfen und genehmigt wurde. Es enthält detaillierte Verpflichtungen in Bezug auf den Schutz von personenbezogenen Daten, die außerhalb der EU übertragen werden.
• Im Rahmen der DSGVO ist es zulässig, personenbezogene Daten außerhalb der EU zu übertragen, vorausgesetzt die Auftragsverarbeiter halten die notwendigen Datenschutzbestimmungen ein. Wenn personenbezogene Daten von der EU an OCLC in den USA übermittelt werden, erfolgt die Übermittlung in Übereinstimmung mit den Standardvertragsklauseln, womit diese Bestimmungen erfüllt werden.
• OCLC ist nicht beim EU-US Privacy Shield registriert. Das Unternehmen ist nicht qualifiziert, da es eine gemeinnützige Organisation ist. Stattdessen greift OCLC bei der Übermittlung personenbezogener Daten aus der EU in die USA auf die Standardvertragsklauseln zurück.

Für welche Produkte gilt das Datenverarbeitungsabkommen?

Das Datenverarbeitungsabkommen gilt für alle von OCLC in der EU bereitgestellten gehosteten und nicht gehosteten Produkte und Services.

Wer ist der Kunde im Datenverarbeitungsabkommen?

Die Institution ist sowohl der Kunde als auch der Verantwortliche für die verarbeiteten personenbezogenen Daten. OCLC ist der Auftragsverarbeiter. Der Kunde kann personenbezogene Daten an/durch Produkte von OCLC (im Datenverarbeitungsabkommen "abgedeckte Services" genannt) übermitteln und verlangen, dass einzelne Benutzer der abgedeckten Services ("betroffene Personen" genannt) personenbezogene Daten an die abgedeckten Services übermitteln, deren Umfang vom Kunden festgelegt und kontrolliert wird.

Warum benötigen wir ein Datenverarbeitungsabkommen, wenn der Service von der Institution gehostet wird?

Aufgrund ihrer Fachkenntnis oder Verfügbarkeit müssen Mitarbeiter von OCLC unter Umständen vom Kunden angeforderten Remote-Service oder -Wartung bereitstellen. Der Umfang dieser Remote-Services hängt vom System und dem vom Kunden angeforderten Support ab. Diese Services sind von den Standardvertragsklauseln von OCLC abgedeckt.

Welche Art von personenbezogenen Daten wird verarbeitet?

• Die von OCLC verarbeiteten personenbezogenen Daten können sich auf folgende Kategorien von betroffenen Personen beziehen:
  • Befugte Benutzer der Bibliotheksdienste des Kunden
  • Mitarbeiter des Kunden, die zur Nutzung der abgedeckten Services befugt sind
  • Anbieter von Bibliotheksressourcen des Kunden
  • Für Kunden, die Semesterapparate verwenden, und Dozenten, deren Kurse in den Semesterapparaten enthalten sind.
• Die Art vom Kunden übermittelter personenbezogener Daten kann Folgendes beinhalten:
  • Namen
  • Stellenbezeichnungen (für Angestellte)
  • Kontaktdaten (einschließlich Anschriften, Telefonnummern, Faxnummern und E-Mail-Adressen)
  • Entweder vom Kunden oder vom Auftragsverarbeiter zugewiesene eindeutige Kennungen (z. B. Benutzer-IDs, Strichcodes, Mitarbeiternummern)
  • Benutzernamen und Kennwörter
  • Benutzerattribute (z. B. Geburtsdatum, Geschlecht, Abteilung, Benutzertyp)
  • Fotos (via URL)

Wie lauten die Vorfallsreaktionsrichtlinien von OCLC?

• Im Rahmen der DSGVO sind Verarbeiter verpflichtet, einen Verantwortlichen "unverzüglich" zu benachrichtigen, nachdem sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt haben. Deshalb ist dies im Datenverarbeitungsabkommen von OCLC enthalten.
  • Diese Bestimmung wird in der DSGVO häufig missverstanden. Jede näher bestimmte Frist für den Auftragsverarbeiter zur Meldung einer Verletzung an den Verantwortlichen birgt für den Verantwortlichen in Wirklichkeit ein Risiko, da er im Rahmen der DSGVO nur 72 Stunden Zeit hat, nachdem er von der Verletzung Kenntnis erlangt hat, diese den zuständigen Behörden zu melden.

Wie lauten die Prüfungsrichtlinien von OCLC?

• Im Rahmen der DSGVO haben Verantwortliche das Recht, Auftragsverarbeiter zu prüfen, um die Einhaltung geltender Bestimmungen sicherzustellen. Deshalb besagt das Datenverarbeitungsabkommen von OCLC, dass der Kunde auf eigene Kosten einen unabhängigen Prüfer beauftragen darf, die Richtlinien und Aufzeichnungen von OCLC zu prüfen, um die Einhaltung geltender Bestimmungen sicherzustellen. OCLC bittet um eine schriftliche Ankündigung einen Monat vor einer Prüfung. Zudem muss der ausgewählte Prüfer eine Geheimhaltungsvereinbarung unterzeichnen. Des Weiteren stellt OCLC auf Anfrage relevante Zertifizierungen Dritter wie Zertifizierungen nach ISO bereit, um die Einhaltung geltender Bestimmungen zu belegen.

Einwilligung in die Datenverarbeitung