Die Reaktion von OCLC auf die Datenschutz-Grundverordnung

Stand: 21. Juni 2019

Im Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) für die Europäische Union (EU) in Kraft. OCLC hat es sich zur Aufgabe gemacht, unsere Partner und Kunden zu unterstützen, indem es Praktiken und Produkte proaktiv vor dem Hintergrund der DSGVO überprüft und gegebenenfalls kontinuierliche Maßnahmen ergreift. Darüber hinaus haben wir formelle DSGVO-Projekte und andere Aktivitäten initiiert, die sich speziell auf unsere Produkte konzentrieren, um Bibliotheken bei der Erfüllung von DSGVO-Verpflichtungen zu unterstützen.

Die Einhaltung der DSGVO erfordert verschiedene Aktivitäten seitens Verantwortlichen (in diesem Fall den Kunden von OCLC im Allgemeinen) und Auftragsverarbeitern (OCLC). Die nachstehenden Informationen sollen einen Einblick in die Reaktion von OCLC auf die DSGVO und die Rolle des Kunden im Compliance-Prozess geben.  

Hinweis: Die nachstehenden Informationen stellen keine Rechtsberatung dar. Wenn Sie konkrete Fragen dazu haben, wie sich die DSGVO auf die Beziehung Ihrer Institution zu OCLC auswirkt, wenden Sie sich bitte an den OCLC-Datenschutzbeauftragten unter dpo@oclc.org.

Artikel

Reaktion von OCLC auf die Artikel

Artikel 1: Gegenstand und Ziele

In Artikel 1 werden die Ziele der DSGVO hervorgehoben, zu denen der Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten gehören.

OCLC respektiert die Grundrechte und -freiheiten einzelner Personen und verfügt über Schutzmaßnahmen für die Verarbeitung personenbezogener Daten, einschließlich der personenbezogenen Daten von Bibliotheksmitarbeitern und -benutzern. OCLC analysiert Datenübermittlungen sowohl innerhalb als auch außerhalb der EU.

Artikel 2: Sachlicher Anwendungsbereich

Die vollständige oder teilweise automatisierte Verarbeitung personenbezogener Daten kann in den Anwendungsbereich der DSGVO nach Artikel 2 fallen.

OCLC verarbeitet personenbezogene Daten, die in den in Artikel 2 beschriebenen Umfang der Verarbeitung fallen können. Die Produkte von OCLC werden von Bibliotheken zur Verwaltung ihrer Vorgänge verwendet. OCLC erhält die personenbezogenen Daten von Mitarbeitern und Benutzern der Bibliotheken.

Artikel 3: Räumlicher Anwendungsbereich

In Artikel 3 werden Situationen beschrieben, in denen die DSGVO gilt. Sie gilt für Unternehmen mit Niederlassungen in der EU und außerhalb der EU im Rahmen der Tätigkeiten der EU-Niederlassungen. Darüber hinaus kann die DSGVO für Unternehmen ohne Niederlassung in der EU gelten, wenn sie Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten dieser Personen überwachen.

Die DSGVO ist für OCLC anwendbar. OCLC hat Niederlassungen in der EU, darunter unser EU-Hauptsitz in den Niederlanden. OCLC unterhält Tätigkeiten außerhalb der EU zur Unterstützung von EU-Niederlassungen, die ebenfalls der DSGVO unterliegen.

Artikel 4: Begriffsbestimmungen

In Artikel 4 werden 26 Begriffe definiert, darunter personenbezogene Daten, Verarbeitung, Verantwortlicher und Auftragsverarbeiter.

In der Beziehung zwischen OCLC und einer Bibliothek ist im Allgemeinen die Bibliothek die Verantwortliche und somit für den Umgang mit personenbezogenen Daten ihrer Mitarbeiter und Benutzer verantwortlich. OCLC ist bei der Bereitstellung von Produkten Auftragsverarbeiter für die Bibliothek.

Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten

In Artikel 5 werden die Grundsätze der Datenverarbeitung festgelegt, einschließlich Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Im Allgemeinen ist es Aufgabe der Bibliothek, diese Festlegungen in ihrer Beziehung zu ihren Benutzern und Mitarbeitern vorzunehmen. Zum Beispiel würde die Bibliothek bestimmen, welche Daten von ihren Benutzern gesammelt werden, um Bibliotheksdienste anbieten zu können, sie würde die Rechtsgrundlage der Verarbeitung der Daten festlegen und bestimmen, wie man den Benutzern eine Datenschutzerklärung zur Verfügung stellt, um eine transparente Nutzung der Daten durch die Bibliothek sicherzustellen.

In vielen Fällen können jedoch OCLC-Produkte einer Bibliothek helfen, ihre Verpflichtungen in Bezug auf diese Grundsätze zu erfüllen. Beispielsweise kann es das entsprechende OCLC-Produkt der Bibliothek ermöglichen, eine von der Bibliothek verfasste Datenschutzerklärung anzuzeigen.

Artikel 6: Rechtmäßigkeit der Verarbeitung

Artikel 6 enthält die verschiedenen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, wie die Einwilligung der betroffenen Person oder die Erforderlichkeit für die Wahrung der berechtigten Interessen des Verantwortlichen.

Als Verantwortlicher bestimmt die Bibliothek die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ihrer Benutzer und Mitarbeiter. Die Verarbeitung durch OCLC als Auftragsverarbeiter für die Bibliothek würde auf Anweisung der Bibliothek erfolgen, wie im entsprechenden Vertrag zwischen der Bibliothek und OCLC beschrieben.

Artikel 7 und 8: Bedingungen für die Einwilligung; Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

In Artikel 7 wird beschrieben, was für eine Einwilligung erforderlich ist, wenn dies die Rechtsgrundlage der Verarbeitung ist.

Artikel 8 erweitert die Einwilligungspflichten in Artikel 7 im Hinblick auf Kinder.

Als Verantwortlicher ist die Bibliothek für die Einhaltung der Artikel 7 und 8 verantwortlich, sofern die Einwilligung die Rechtsgrundlage für die Verarbeitung von Benutzer- oder Mitarbeiterdaten ist.

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 9 beschreibt personenbezogene Daten, die bis auf Ausnahmen nicht legal verarbeitet werden dürfen.

Während Bibliotheken entscheiden, ob spezielle Kategorien personenbezogener Daten verarbeitet werden sollen, rät OCLC Kunden davon ab, diese Daten in OCLC-Produkten zu erfassen und zu speichern. Die Erfassung und Speicherung dieser Daten ist für die Verwendung von OCLC-Produkten nicht erforderlich.

Artikel 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Artikel 10 betrifft die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.

Wie die in Artikel 9 beschriebenen besonderen Kategorien personenbezogener Daten sind diese personenbezogenen Daten für die Verwendung der Produkte von OCLC nicht erforderlich. OCLC rät davon ab, diese Daten in OCLC-Produkten zu erfassen und zu speichern.

Artikel 11 und 12: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist; Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Artikel 11 enthält Gesetze zur Identifizierung der betroffenen Personen durch den Verantwortlichen, auch in Bezug auf betroffene Personen, die im Rahmen der DSGVO gewährte Rechte ausüben.

Artikel 12 enthält Gesetze über die Unterrichtung der betroffenen Personen durch den Verantwortlichen, einschließlich der Fristen für die Beantwortung von Anfragen von betroffenen Personen.

Als Verantwortliche liegt es in der Verantwortung der Bibliothek, die Artikel 11 und 12 in ihren Beziehungen zu ihren Benutzern und Mitarbeitern einzuhalten.

OCLC erhält Anfragen von betroffenen Personen, fordert bei Bedarf Informationen zur Identitätsüberprüfung an und bewertet die Rolle von OCLC in Bezug auf die betroffene Person.

In seiner Rolle als Verantwortlicher verfügt OCLC über Verfahren zur Bearbeitung von Anfragen gemäß Artikel 12.

Stellt OCLC fest, dass es Auftragsverarbeiter ist, weist es die betroffene Person an, die Anfrage bei dem Verantwortlichen zu stellen.

Artikel 13 und 14: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person; Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Die Artikel 13 und 14 enthalten spezifische Anforderungen gegenüber den betroffenen Personen.

Wenn OCLC gegenüber den betroffenen Personen als Verantwortlicher tätig ist, gibt OCLC einen entsprechenden Hinweis. Beispielsweise veröffentlicht OCLC eine Datenschutzerklärung auf OCLC.org.

In Bezug auf Bibliotheksbenutzer und -mitarbeiter ist die Bibliothek die Verantwortliche und muss Datenschutzerklärungen vorlegen, die den Anforderungen der Artikel 13 bzw. 14 entsprechen. Zusätzlich zu der Verarbeitung, die von OCLC als Auftragsverarbeiter für eine Bibliothek durchgeführt wird, würden sich die Erklärungen einer Bibliothek wahrscheinlich auch auf anderweitige Verarbeitung beziehen, die von der Bibliothek und von anderen Auftragsverarbeitern für die Bibliothek durchgeführt werden.

Artikel 15 – 23: Auskunftsrecht der betroffenen Person; Recht auf Berichtigung; Recht auf Löschung („Recht auf Vergessenwerden“); Recht auf Einschränkung der Verarbeitung; Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung; Recht auf Datenübertragbarkeit; Widerspruchsrecht; Automatisierte Entscheidungen im Einzelfall einschließlich Profiling; Beschränkungen

Die Artikel 15 bis 23 sind Gesetze, die mit verschiedenen Rechten der betroffenen Personen in Verbindung stehen.

Als Verantwortliche liegt es in der Verantwortung der Bibliothek, die Artikel 15 bis 23 in ihrer Beziehung zu ihren Benutzern und Mitarbeitern einzuhalten.

OCLC erhält Anfragen von betroffenen Personen, fordert bei Bedarf Informationen zur Identitätsüberprüfung an und bewertet die Rolle von OCLC in Bezug auf die betroffene Person.

In seiner Rolle als Auftragsverarbeiter verfügt OCLC über Verfahren für die Bearbeitung von Anfragen.

Stellt OCLC fest, dass es Auftragsverarbeiter ist, weist es die betroffene Person an, die Anfrage bei dem Verantwortlichen zu stellen.

Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen

In Artikel 24 sind die Verantwortlichkeiten des für die Verarbeitung Verantwortlichen aufgeführt, einschließlich der Festlegung geeigneter technischer und organisatorischer Maßnahmen und Datenschutzrichtlinien.

Als Verantwortliche der Daten ihrer Benutzer und Mitarbeiter ist die Bibliothek für die Einhaltung von Artikel 24 verantwortlich.

Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 25 verpflichtet die Verantwortlichen, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen vorzusehen.

Als Verantwortliche der Daten ihrer Benutzer und Mitarbeiter wäre die Bibliothek für die Einhaltung von Artikel 25 verantwortlich. OCLC hat formelle DSGVO-Projekte und andere Aktivitäten eingerichtet, die sich auf unsere Produkte konzentrieren, um Bibliotheken bei der Erfüllung dieser Verpflichtungen zu unterstützen. Beispielsweise hat OCLC ein Projekt durchgeführt, das sich darauf konzentriert, Bibliotheken die Anzeige von Datenschutzhinweisen für bestimmte Produkte zu ermöglichen. OCLC verpflichtet sich, unsere Produkte weiter zu evaluieren und zu entscheiden, ob und wie sie unter Berücksichtigung der Überlegungen zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verbessert werden können.

Artikel 26: Gemeinsame Verantwortliche

Artikel 26 betrifft Vereinbarungen zwischen gemeinsam Verantwortlichen.

OCLC ist in der Regel nicht gemeinsam mit Bibliotheken verantwortlich. Bibliotheken sind die Verantwortlichen und OCLC ist ein Auftragsverarbeiter.

Artikel 27: Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

Artikel 27 bezieht sich auf den räumlichen Anwendungsbereich der DSGVO, wenn der Verantwortliche oder Auftragsverarbeiter nicht in der EU niedergelassen ist. Wenn der Verantwortliche oder der Auftragsverarbeiter nicht in der EU niedergelassen ist, muss er einen Vertreter mit Sitz in der EU ernennen.

OCLC hat mehrere Niederlassungen in der EU und unser europäischer Hauptsitz befindet sich in den Niederlanden.

Artikel 28: Auftragsverarbeiter

Artikel 28 legt die Pflichten sowohl der Verantwortlichen als auch der Auftragsverarbeiter fest. Artikel 28 konzentriert sich stark auf die Erstellung von Verträgen über die Verarbeitung durch den Auftragsverarbeiter und die Erstellung von Verträgen durch diesen Auftragsverarbeiter bei der Einbeziehung anderer Auftragsverarbeiter.

Als Auftragsverarbeiter für Bibliotheken hat OCLC Datenverarbeitungsvereinbarungen für Bibliotheken entwickelt, die zur Erfüllung der Anforderungen von Artikel 28 auszuführen sind. Diese Verträge sind in mehreren Sprachen verfügbar. Darüber hinaus hat OCLC Vereinbarungen für Unterauftragsverarbeiter entwickelt, die zu unterzeichnen sind, wenn Unterauftragsverarbeiter von OCLC beauftragt werden.

OCLC hat Anstrengungen unternommen und setzt sich weiterhin dafür ein, Bibliotheken zu identifizieren, die nach Ansicht von OCLC der DSGVO unterliegen, und diese Bibliotheken aufzufordern, Datenverarbeitungsvereinbarungen abzuschließen. Beachten Sie jedoch, dass die Verpflichtung zum Abschluss eines solchen Vertrags direkt für Bibliotheken gilt, die der DSGVO unterliegen. Wenn eine Bibliothek der DSGVO unterliegt und keinen Vertrag mit OCLC abgeschlossen hat, sollte sich der Vertreter der Bibliothek unverzüglich mit uns in Verbindung setzen, um eine Kopie der zu unterzeichnenden Datenverarbeitungsvereinbarung zu erhalten.

Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Artikel 29 betrifft die Verarbeitung durch Auftragsverarbeiter. Die Auftragsverarbeiter dürfen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten.

Die oben beschriebenen Verträge nach Artikel 28 enthalten die Anweisungen der Bibliothek als Verantwortliche, die OCLC bei der Verarbeitung personenbezogener Daten zu berücksichtigen hat.

Artikel 30: Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 legt die Verpflichtung zur Aufzeichnung in Bezug auf die Verarbeitung personenbezogener Daten fest. Sowohl die Verantwortlichen als auch die Auftragsverarbeiter müssen Verzeichnisse führen und auf Anfrage den Aufsichtsbehörden vorlegen.

OCLC hat Verzeichnisse der Verarbeitungstätigkeiten erstellt und verwaltet diese.

Artikel 31: Zusammenarbeit mit der Aufsichtsbehörde

Artikel 31 verpflichtet die Verantwortlichen und Auftragsverarbeiter, auf Anfrage bei der Wahrnehmung ihrer Aufgaben mit den Aufsichtsbehörden zusammenzuarbeiten.

OCLC wird auf Anfrage mit den Aufsichtsbehörden zusammenarbeiten.

Artikel 32: Sicherheit der Verarbeitung

Artikel 32 enthält Verpflichtungen für die Verantwortlichen und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten.

OCLC hat technische und organisatorische Maßnahmen umgesetzt. Diese sind in den in Artikel 28 vorgeschriebenen Verträgen beschrieben. Weitere Informationen zur Sicherheit von OCLC finden Sie auch auf unserer Website.

Artikel 33 und 34: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Die Artikel 33 und 34 enthalten die Pflichten der Verantwortlichen und Auftragsverarbeiter in Bezug auf die Meldung von Verletzungen des Schutzes personenbezogener Daten.

Als Auftragsverarbeiter würde OCLC eine Bibliothek über eine entsprechende Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 informieren. Dies würde ohne unangemessene Verzögerung geschehen, nachdem OCLC von einer Verletzung personenbezogener Daten Kenntnis erlangt hat. OCLC prüft Vorfälle schnell und pflegt eine Datenbank mit Kontaktinformationen von Bibliotheken, um sicherzustellen, dass erforderliche Benachrichtigungen ohne unangemessene Verzögerung erfolgen. In Bezug auf die Nichtverfügbarkeit ermutigt OCLC Bibliotheken auch, unser Systemstatus-Dashboard auf unserer Website zu überprüfen.

Bibliotheken als Verantwortliche müssen entscheiden, ob sie Aufsichtsbehörden und betroffene Personen benachrichtigen.

Artikel 35 und 36: Datenschutz-Folgenabschätzung; Vorherige Konsultation

Die Artikel 35 und 36 sehen unter bestimmten Umständen die Verpflichtung für Verantwortliche vor, Datenschutz-Folgenabschätzungen durchzuführen und sich mit den Aufsichtsbehörden zu konsultieren.

Dies sind Verpflichtungen der Verantwortlichen. Daher gelten die Verpflichtungen für Bibliotheken. OCLC ist in der Regel Auftragsverarbeiter für die Bibliotheken.

In Fällen, in denen OCLC zur Durchführung von Datenschutz-Folgenabschätzungen im Rahmen der DSGVO verpflichtet ist, verfügt OCLC über entsprechende Verfahren für die Durchführung.

Artikel 37: Benennung eines Datenschutzbeauftragten

In Artikel 37 werden die Fälle beschrieben, in denen Verantwortliche und Auftragsverarbeiter Datenschutzbeauftragte ernennen müssen, einschließlich der Möglichkeit für eine Unternehmensgruppe, einen einzigen Datenschutzbeauftragten zu ernennen. Der/Die Datenschutzbeauftragte muss auf der Grundlage seiner/ihrer beruflichen Qualifikation ernannt werden, einschließlich des Fachwissens, das er/sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

OCLC hat einen Datenschutzbeauftragten für seine verschiedenen verbundenen Unternehmen als Unternehmensgruppe ernannt. Der derzeitige Beauftragte besitzt drei Zertifizierungen der International Association of Privacy Professionals, darunter beide „GDPR Ready“-Zertifizierungen (CIPP/E und CIPM).

Artikel 38 und 39: Stellung des Datenschutzbeauftragten; Aufgaben des Datenschutzbeauftragten

In den Artikeln 38 und 39 wird beschrieben, wann der/die Datenschutzbeauftragte zu involvieren ist, sowie die Unabhängigkeit des/der Datenschutzbeauftragten und die Aufgaben des/der Datenschutzbeauftragten.

Der/Die Datenschutzbeauftragte von OCLC ist mit der Erfüllung der Aufgaben des Artikels 39 betraut. Darüber hinaus hat OCLC ein Datenschutz-Support-Team eingerichtet, das den/die Datenschutzbeauftragten bei der Erfüllung dieser Aufgaben unterstützt und bei Bedarf bei der Lösung lokaler Probleme hilft. OCLC ist bemüht, die Unabhängigkeit seines/seiner Datenschutzbeauftragten sicherzustellen. Wird ein möglicher Konflikt festgestellt, erörtern der General Counsel von OCLC und der/die Datenschutzbeauftragte den möglichen Konflikt und stellen gemeinsam sicher, dass die Unabhängigkeit gewahrt bleibt.

Artikel 40 – 43: Verhaltensregeln; Überwachung der genehmigten Verhaltensregeln; Zertifizierung; Zertifizierungsstellen

Diese Artikel betreffen die Unterstützung von Verbänden und anderen Einrichtungen im Hinblick auf die Schaffung und Annahme von Verhaltensregeln in Bezug auf die DSGVO.

OCLC beschäftigt sich derzeit nicht mit der Erstellung von Verhaltensregeln.

Artikel 44 – 49: Allgemeine Grundsätze der Datenübermittlung; Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses; Datenübermittlung vorbehaltlich geeigneter Garantien; Verbindliche interne Datenschutzvorschriften; Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung; Ausnahmen für bestimmte Fälle

Die Artikel 44 bis 49 betreffen verschiedene Anforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten.

Der Hauptsitz von OCLC befindet sich in den USA. OCLC verfügt über Niederlassungen an vielen Standorten, darunter Rechenzentren in den Niederlanden, den USA, Australien und Kanada. Es kann zur Übermittlung personenbezogener Daten aus der EU kommen.

Übermittlungen, die geeignete Garantien erfordern, unterliegen den entsprechend Artikel 46 zulässigen Standarddatenschutzklauseln. OCLC vereinbart Standarddatenschutzklauseln mit Bibliotheken, wenn Verträge gemäß Artikel 28 unterzeichnet werden.

Artikel 50 – 78: Internationale Zusammenarbeit zum Schutz personenbezogener Daten; Aufsichtsbehörde; Unabhängigkeit; Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde; Errichtung der Aufsichtsbehörde; Zuständigkeit; Zuständigkeit der federführenden Aufsichtsbehörde; Aufgaben; Befugnisse; Tätigkeitsbericht; Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden; Gegenseitige Amtshilfe; Gemeinsame Maßnahmen der Aufsichtsbehörden; Kohärenzverfahren; Stellungnahme des Ausschusses; Streitbeilegung durch den Ausschuss; Dringlichkeitsverfahren; Informationsaustausch; Europäischer Datenschutzausschuss; Unabhängigkeit; Aufgaben des Ausschusses; Berichterstattung; Verfahrensweise; Vorsitz; Aufgaben des Vorsitzes; Sekretariat; Vertraulichkeit; Recht auf Beschwerde bei einer Aufsichtsbehörde; Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Die Artikel 50 bis 78 enthalten Vorschriften im Hinblick auf Mitgliedstaaten, ihre Aufsichtsbehörden und den Europäischen Datenschutzausschuss.

Artikel 79: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

In Artikel 79 wird das Recht der betroffenen Personen auf einen Rechtsbehelf beschrieben. Dies kann Gerichtsverfahren gegen Verantwortliche oder Auftragsverarbeiter am Ort der Niederlassung umfassen.

OCLC ist Auftragsverarbeiter für Bibliotheken und könnte in Bezug auf die Mitarbeiter und Benutzer einer Bibliothek Artikel 79 unterliegen. OCLC hat Niederlassungen innerhalb der EU, in denen Gerichtsverfahren stattfinden könnten.

Artikel 80 und 81: Vertretung der betroffenen Personen; Aussetzung des Verfahrens

Diese Artikel der DSGVO beziehen sich darauf, wie Beschwerden von betroffenen Personen eingereicht werden können und wie Gerichte Verfahren aussetzen können.

Artikel 82: Haftung und Recht auf Schadenersatz

In Artikel 82 wird beschrieben, wie betroffene Personen Schadenersatz von Verantwortlichen und Auftragsverarbeitern verlangen können.

Gemäß Artikel 82 könnten Bibliotheksmitarbeiter und -benutzer direkt gegenüber OCLC als Auftragsverarbeiter der Bibliothek Schadenersatz geltend machen. Artikel 82 und die Verträge zwischen OCLC und einer Bibliothek verteilen auch die Zuständigkeiten zwischen OCLC und den einzelnen Bibliotheken.

Artikel 83 und 84: Allgemeine Bedingungen für die Verhängung von Geldbußen; Sanktionen

Die Artikel 83 und 84 enthalten Bestimmungen, die es den Aufsichtsbehörden und den Mitgliedstaaten ermöglichen, Geldbußen und andere Sanktionen festzusetzen.

Sollte OCLC als Auftragsverarbeiter für Bibliotheken gegen die für Auftragsverarbeiter geltenden Bestimmungen der DSGVO verstoßen, könnte OCLC mit Geldbußen oder anderen Strafen geahndet werden.

Artikel 85 – 90: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit; Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten; Verarbeitung der nationalen Kennziffer; Datenverarbeitung im Beschäftigungskontext; Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken; Geheimhaltungspflichten

Die Artikel 85 bis 90 enthalten verschiedene Anforderungen an Mitgliedstaaten sowie Rechte der Mitgliedstaaten, wie die Vereinbarkeit der DSGVO mit dem Recht auf freie Meinungsäußerung und die Möglichkeit, dass die Mitgliedstaaten im Rahmen der Verarbeitung von Beschäftigungsdaten spezifischere Vorschriften festlegen können.

Artikel 91: Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

Artikel 91 enthält Gesetze, die für Kirchen und religiöse Vereinigungen oder Gemeinschaften gelten.

Artikel 91 gilt nicht für OCLC, da es sich nicht um eine kirchliche oder religiöse Vereinigung handelt.

Artikel 92 – 99: Ausübung der Befugnisübertragung; Ausschussverfahren; Aufhebung der Richtlinie 95/46/EG; Verhältnis zur Richtlinie 2002/58/EG; Verhältnis zu bereits geschlossenen Übereinkünften; Berichte der Kommission; Überprüfung anderer Rechtsakte der Union zum Datenschutz; Inkrafttreten und Anwendung

Diese Artikel befassen sich mit der Funktionsweise und Wirksamkeit der DSGVO.

Die DSGVO trat am 25. Mai 2018 in Kraft.