DSGVO: Partnerschaften mit Kunden

Im Mai 2018 löste die Datenschutz-Grundverordnung der EU (EU-DSGVO) die bestehende EU-Datenschutzrichtlinie von 1995 (Europäische Richtlinie 95/46/EG) ab. Die DSGVO hat erhebliche Auswirkungen auf die Art und Weise, in der Unternehmen personenbezogene Daten in der EU verarbeiten. Dies betrifft auch OCLC und dessen Kunden.

OCLC verpflichtet sich sicherzustellen, dass seine Produkte und Services weiterhin von Kunden und Partnern unter Einhaltung der DSGVO genutzt werden können. Uns ist bewusst, dass die Einhaltung der DSGVO eine Partnerschaft zwischen OCLC und unseren Partnern und Kunden bei deren Nutzung der entsprechenden OCLC-Dienste erfordert. In Zusammenarbeit mit unseren Kunden haben wir uns mit den Möglichkeiten innerhalb unserer relevanten Serviceangebote beschäftigt und werden diese weiter ausloten, um unsere Kunden bei der Erfüllung ihrer DSGVO-Verpflichtungen als Datenverantwortliche in der Zukunft zu unterstützen. OCLC empfiehlt seinen Kunden, sich eigenständig mit der DSGVO vertraut zu machen und Schritte zu deren Einhaltung einzuleiten, falls sie dies nicht bereits getan haben.

Im Folgenden haben wir einige der dringendsten Fragen beantwortet, die sich unsere Partner und Kunden bezüglich der Auswirkungen der DSGVO auf sie selbst stellen.

Was sieht die DSGVO vor?

Die DSGVO legt u. a. Vorschriften fest, nach denen Unternehmen die personenbezogenen Daten von betroffenen Personen in der EU verarbeiten dürfen. Viele dieser Vorschriften sind zwar bereits im bisherigen EU-Recht vorhanden, werden in der DSGVO aber weiter verschärft. Die Vorschriften reichen über die Grenzen der EU hinaus und können für alle Unternehmen gelten, unabhängig davon, ob diese in der EU ansässig sind, Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten dieser Personen nachverfolgen.

Welche Maßnahmen hat OCLC als Vorbereitung auf die DSGVO ergriffen?

OCLC vertritt den Standpunkt, dass die DSGVO ein wichtiger Meilenstein für den Datenschutz ist. Wir freuen uns über die Datenschutz- und Datensicherheitsgrundsätze der DSGVO,

von denen OCLC viele bereits lange vor dem 25. Mai 2018 eingeführt hat. Während ein Großteil unserer Vorbereitung hinter den Kulissen stattfand, gibt es eine Reihe von Initiativen, die für unsere Mitglieder und andere Nutzer unserer Produkte und Dienstleistungen sichtbar sind. Im Folgenden sind einige der Maßnahmen aufgeführt, die wir getroffen haben:

  • Bewertung: OCLC hat sorgfältig überprüft, wo und wie unsere relevanten Dienste personenbezogene Daten sammeln, verwenden, speichern und löschen. Wir aktualisieren unsere Verfahren, Richtlinien, Standards und Dokumentationen nach Bedarf.
  • Produkte: Wir haben mögliche Änderungen evaluiert, die unsere verschiedenen Produkte ergänzen sollen, um unsere Kunden bei der Erfüllung einiger ihrer DSGVO-Verpflichtungen zu unterstützen, z. B. in Bezug auf die Veröffentlichung von Datenschutzhinweisen. Freigabemitteilungen von Produkten, sofern verfügbar, beschreiben Produktänderungen, die in Bezug auf die DSGVO hilfreich sein können.
  • Vertragliche Verpflichtungen:
    In Zusammenarbeit mit unseren Kunden und Lieferanten hat OCLC die Vertragsbedingungen aktualisiert, indem das Unternehmen bei Bedarf Datenverarbeitungsverträge abgeschlossen hat, um den DSGVO-Anforderungen direkt gerecht zu werden.
  • Grenzüberschreitende Übertragungen von personenbezogenen Daten in der EU: In Bezug auf die Produkte und Dienstleistungen von OCLC weichen grenzüberschreitende Übertragungen von personenbezogenen Daten je nach OCLC-Produkt voneinander ab. Bei einigen Produkten werden personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums lokalisiert. Bei anderen Produkten erfolgen Übermittlungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums. OCLC verfügt über Standardvertragsklauseln zur Abrechnung von Datenübertragungen aus dem EWR, und OCLC legt Standardvertragsklauseln direkt mit unseren Kunden fest, wenn sie die Datenexporteure an OCLC außerhalb des EWR sind.
  • Mitarbeiterschulung und -sensibilisierung: Alle OCLC-Mitarbeiter müssen Datensicherheitsschulungen absolvieren. Zusätzlich zu diesen Schulungsmaßnahmen führt OCLC laufend Sensibilisierungsinitiativen zu einer Vielzahl von Themen durch, einschließlich Datenschutz, Sicherheit und Privatsphäre.

Welche Sicherheitsmaßnahmen ergreift OCLC, um die durch OCLC verarbeiteten personenbezogenen Daten zu schützen?

OCLC hat verlässliche technische und organisatorische Maßnahmen eingeführt, um für personenbezogene Daten einen angemessenen Grad an Sicherheit zu gewährleisten. Außerdem wird die Wirksamkeit unserer technischen und organisatorischen Maßnahmen regelmäßig getestet, beurteilt und bewertet. OCLC verfügt über administrative und technische Kontrollen, die seine Nutzung von personenbezogenen Daten auf die Zwecke beschränkt, für die sie ursprünglich erfasst wurden. Darüber hinaus wurden Verfahren zur Erkennung und Reaktion auf Sicherheitsverletzungen eingeführt.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

In Bezug auf die verschiedenen Produkte und Dienstleistungen, die OCLC für unsere Kunden hostet, fungieren unsere Kunden als Datenverantwortliche und OCLC als Datenverarbeiter. Im Kontext der Verarbeitung personenbezogener Daten ist ein Datenverantwortlicher die Organisation, welche die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. Ein Datenverarbeiter ist die Organisation, welche die Daten im Auftrag der Datenverantwortlichen verarbeitet.

Die DSGVO hat die grundlegenden Definitionen von Datenverantwortlichem und Datenverarbeiter nicht verändert, aber die Zuständigkeiten der einzelnen Beteiligten erweitert. Die Datenverantwortlichen tragen weiterhin Hauptverantwortung für den Datenschutz, aber die DSGVO überträgt auch an den Datenverarbeiter einige direkte Verantwortlichkeiten.

Welche personenbezogenen Daten verarbeitet OCLC?

Viele OCLC-Produkte sind Bibliotheks-Management-Systeme, mit denen unsere Kunden die Ausleih- und Discovery-Anfragen ihrer Benutzer verarbeiten. Diese Produkte erfassen auch einige wenige personenbezogene Daten über Bibliotheksmitarbeiter. Während einige personenbezogene Daten, wie z. B. die Namen der Besucher, von allen Bibliotheken erhoben und verwendet werden, unterscheiden sich unsere Kunden darin, welche Daten sie verwenden. Unsere Kunden bestimmen als Datenverantwortliche auch die konkreten personenbezogenen Daten, die sie von den betroffenen Personen erheben und zwecks Verarbeitung OCLC bereitstellen. OCLC ermutigt seine Kunden, zu prüfen, welche personenbezogenen Daten sie verarbeiten, um festzustellen, welche Verpflichtungen sie aus der DSGVO eingehen können.

Unterstützt OCLC Kunden bei der Beantwortung von Anfragen von betroffenen Personen im Zusammenhang mit ihren erweiterten individuellen Rechten im Rahmen der DSGVO?

Die DSGVO gibt dem Einzelnen mehr Kontrolle über die Verarbeitung seiner personenbezogenen Daten. OCLC hat Verfahren zur Prüfung von Anfragen von Betroffenen eingerichtet. Die Datenschutzerklärung von OCLC beschreibt die Rechte der betroffenen Personen und die Möglichkeiten, Anträge zu stellen. In vielen Fällen sollten Anfragen von Betroffenen direkt von unseren Kunden als Datenverantwortliche geprüft und erfüllt werden, und nicht von OCLC, das auf Anweisung des Kunden handelt. Kunden, die glauben, dass sie Anfragen durch die Verwendung unserer Produkte nicht selbst erfüllen können, können sich an OCLC wenden, um Unterstützung zu erhalten.

Hindert die DSGVO Unternehmen daran, Daten von außerhalb der EU zu speichern?

Keine Bestimmung der DSGVO hindert Unternehmen daran, personenbezogene Daten außerhalb der EU zu speichern, vorausgesetzt, ihre Datenverarbeiter halten die notwendigen Datenschutzbestimmungen ein. Die Datenausfuhr aus der EU kann es erforderlich machen, geeignete Garantien für die Übermittlung festzulegen.

Welche Schritte ergreift OCLC, um sicherzustellen, dass seine Kunden personenbezogene Daten außerhalb der EU rechtmäßig übertragen können?

Wenn personenbezogene Daten von der EU an OCLC, Inc. in den Vereinigten Staaten, übermittelt werden, erfolgen sie gemäß den Standardvertragsklauseln der Europäischen Kommission. Die Europäische Kommission hat zwei Vertragsklauseln für den Transfer von Datenverantwortlichem zu Datenverantwortlichem und eine Vertragsklausel für den Transfer von Datenverantwortlichem zu Datenverarbeiter herausgegeben.