Gehostete Produkte von OCLC: Vorbereitung auf die DSGVO und Zusammenarbeit mit Kunden

Im Mai 2018 wird die bestehende EU-Datenschutzrichtlinie (Europäische Richtlinie 95/46/EG) durch die Datenschutz-Grundverordnung der EU (DSGVO) ersetzt. Die DSGVO wird erhebliche Auswirkungen auf die Art und Weise haben, in der Unternehmen personenbezogene Daten in der EU verarbeiten. Dies betrifft auch OCLC und dessen Kunden.

OCLC verpflichtet sich, die notwendigen Schritte zur Einhaltung der DSGVO zu ergreifen. Im vergangenen Jahr haben interne OCLC-Expertenteams aus funktionsübergreifenden Mitarbeiterinnen und Mitarbeitern daran gearbeitet, unser Unternehmen auf die DSGVO vorzubereiten.

Uns ist bewusst, dass die Einhaltung der DSGVO eine Partnerschaft zwischen OCLC und unseren Partnern und Kunden bei deren Nutzung der entsprechenden OCLC-Dienste erfordert. Wir werden weiterhin im Rahmen unserer relevanten Service-Angebote gemeinsam nach Möglichkeiten suchen, unsere Kunden bei der Erfüllung ihrer DSGVO-Verpflichtungen als Datenverantwortliche zu unterstützen. In der Zwischenzeit empfiehlt OCLC seinen Kunden, sich eigenständig mit der DSGVO vertraut zu machen und Schritte zu deren Einhaltung einzuleiten, falls sie dies nicht bereits getan haben.

OCLC verpflichtet sich außerdem sicherzustellen, dass seine Produkte und Services weiterhin von Kunden und Partnern unter Einhaltung der DSGVO genutzt werden können. Im Folgenden haben wir einige der dringendsten Fragen beantwortet, die sich unsere Partner und Kunden bezüglich der Auswirkungen der DSGVO auf sie selbst stellen. Zudem erklären wir Ihnen, wie sie sich auf die DSGVO vorbereiten können.

Was sieht die DSGVO vor?

Die DSGVO legt Vorschriften fest, nach denen Unternehmen die personenbezogenen Daten von betroffenen Personen in der EU verarbeiten dürfen. Viele dieser Vorschriften sind zwar bereits im bisherigen EU-Recht vorhanden, werden in der DSGVO aber weiter verschärft. Die Vorschriften gelten über die Grenzen der EU hinaus und für alle Unternehmen, unabhängig davon, ob diese in der EU ansässig sind, Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten dieser Personen nachverfolgen.

Welche Maßnahmen ergreift OCLC als Vorbereitung auf die DSGVO?

OCLC vertritt den Standpunkt, dass die DSGVO ein wichtiger Meilenstein für den Datenschutz ist. Wir freuen uns über die Datenschutz- und Datensicherheitsgrundsätze der DSGVO, von denen OCLC viele bereits eingeführt hat, bevor die DSGVO in Kraft getreten ist.

OCLC bereitet sich schon seit über einem Jahr auf die DSGVO vor. Viele dieser Vorbereitungen laufen zwar im Hintergrund ab, aber wir arbeiten auch an einer Reihe von Initiativen, die für unsere Mitglieder und andere Benutzer unserer Produkte und Dienstleistungen sichtbar sein werden. Im Folgenden sind einige der Maßnahmen aufgeführt, die wir getroffen haben:

  • Bewertung: OCLC hat sorgfältig überprüft, wo und wie unsere relevanten Dienste personenbezogene Daten sammeln, verwenden, speichern und löschen. Wir aktualisieren unsere Verfahren, Richtlinien, Standards und Dokumentationen nach Bedarf.
  • Produkte: Wir prüfen mögliche neue Features unserer verschiedenen Produkte, um unsere Kunden bei der Erfüllung ihrer DSGVO-Verpflichtungen zu unterstützen, z. B. in Bezug auf Benachrichtigungen und Zustimmungen.
  • Vertragliche Verpflichtungen: In Zusammenarbeit mit unseren Kunden überprüft OCLC die vertraglichen Verpflichtungen und aktualisiert bei Bedarf Vertragsbestimmungen, um den DSGVO-Anforderungen gerecht zu werden. Zudem werden alle Lieferantenverträge überprüft, um die Einhaltung der DSGVO in der gesamten Lieferkette zu gewährleisten.
  • Grenzüberschreitende Übertragungen von personenbezogenen Daten in der EU: In Bezug auf die von OCLC gehosteten Produkte und Dienstleistungen weichen grenzüberschreitende Übertragungen von personenbezogenen Daten je nach OCLC-Produkt voneinander ab. Bei einigen Produkten werden personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums lokalisiert. Bei anderen Produkten erfolgen Übermittlungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums. Dementsprechend stellt OCLC nicht nur sicher, dass seine vertraglichen Verpflichtungen den DSGVO-Anforderungen genügen, sondern setzt bei Bedarf auch Standardvertragsklauseln ein.
  • Mitarbeiterschulung und -sensibilisierung: Alle OCLC-Mitarbeiter müssen Schulungen zu den Themen Datenschutz und Datensicherheit absolvieren. OCLC stellt ergänzende Schulungen mit DSGVO-spezifischen Inhalten bereit. Zusätzlich zu diesen Schulungsmaßnahmen führt OCLC laufend Sensibilisierungsinitiativen zu einer Vielzahl von Themen durch, einschließlich Datenschutz, Sicherheit und Privatsphäre.

Welche Sicherheitsmaßnahmen ergreift OCLC, um die durch OCLC verarbeiteten personenbezogenen Daten zu schützen?

OCLC hat verlässliche technische und organisatorische Maßnahmen eingeführt, um für personenbezogene Daten einen angemessenen Grad an Sicherheit zu gewährleisten. Außerdem wird die Wirksamkeit unserer technischen und organisatorischen Maßnahmen regelmäßig getestet, beurteilt und bewertet. OCLC verfügt über administrative und technische Kontrollen, die seine Nutzung von personenbezogenen Daten auf die Zwecke beschränkt, für die sie ursprünglich erfasst wurden. Darüber hinaus wurden Verfahren zur Erkennung und Reaktion auf Sicherheitsverletzungen eingeführt.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

In Bezug auf die verschiedenen Produkte und Dienstleistungen, die OCLC für unsere Kunden hostet, fungieren unsere Kunden als Datenverantwortliche und OCLC als Datenverarbeiter. Im Kontext der Verarbeitung personenbezogener Daten ist ein Datenverantwortlicher die Organisation, welche die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. Ein Datenverantwortlicher bestimmt auch die konkreten personenbezogenen Daten, die von einer betroffenen Person zur Verarbeitung erfasst werden. Ein Datenverarbeiter ist die Organisation, welche die Daten im Auftrag der Datenverantwortlichen verarbeitet.

Die DSGVO hat die grundlegenden Definitionen von Datenverantwortlichem und Datenverarbeiter nicht verändert, aber die Zuständigkeiten der einzelnen Beteiligten erweitert. Die Datenverantwortlichen tragen weiterhin Hauptverantwortung für den Datenschutz, aber die DSGVO überträgt auch an den Datenverarbeiter einige direkte Verantwortlichkeiten.

Welche personenbezogenen Daten verarbeitet OCLC?

Viele OCLC-Produkte sind Bibliotheks-Management-Systeme, mit denen unsere Kunden die Ausleih- und Discovery-Anfragen ihrer Benutzer verarbeiten. Diese Produkte erfassen auch einige wenige personenbezogene Daten über Bibliotheksmitarbeiter. Unsere Kunden (die Datenverantwortlichen) bestimmen auch die konkreten personenbezogenen Daten, die sie von den betroffenen Personen erheben und zwecks Verarbeitung OCLC bereitstellen.

Unterstützt OCLC Kunden bei der Beantwortung von Anfragen von betroffenen Personen im Zusammenhang mit ihren erweiterten individuellen Rechten im Rahmen der DSGVO?

Die DSGVO bietet Personen mehr Kontrolle über die Art und Weise, wie Unternehmen ihre personenbezogenen Daten verarbeiten. OCLC setzt sich dafür ein, seinen Kunden Transparenz und Kontrolle über die von OCLC verarbeiteten personenbezogenen Daten zu bieten, und wird seine Kunden bei der Beantwortung von gemäß der DSGVO gestellten Anfragen zu individuellen Rechten unterstützen.

Wie lange bewahrt OCLC personenbezogene Daten auf?

Als Datenverantwortliche können die Kunden entscheiden, wie lange sie personenbezogene Daten aufbewahren. Viele OCLC-Produkte erlauben es den Kunden, bestimmte Aufbewahrungsfristen zu konfigurieren.

Hindert die DSGVO Unternehmen daran, Daten von außerhalb der EU zu speichern?

Keine Bestimmung der DSGVO hindert Unternehmen daran, personenbezogene Daten außerhalb der EU zu speichern, vorausgesetzt, ihre Datenverarbeiter halten die notwendigen Datenschutzbestimmungen ein.

Welche Schritte ergreift OCLC, um sicherzustellen, dass seine Kunden personenbezogene Daten außerhalb der EU rechtmäßig übertragen können?

Werden personenbezogene Daten aus der EU an OCLC, Inc. in den Vereinigten Staaten übertragen, erfolgt diese Übertragung gemäß Standardvertragsklauseln. Die Standardvertragsklauseln wurden von der Europäischen Kommission entworfen und genehmigt und enthalten detaillierte Verpflichtungen in Bezug auf den Schutz von personenbezogenen Daten, die außerhalb der EU übertragen werden.

Gibt es ein offizielles DSGVO-Qualitätssiegel für konforme Datenverarbeiter?

Bislang gibt es kein Siegel für die Einhaltung der DSGVO-Bestimmungen. Die DSGVO enthält die Möglichkeit einer offiziellen Zertifizierung, die von der nationalen Datenschutzbehörde oder von einer zuständigen privaten Datenschutzbehörde erteilt werden kann. Eine Akkreditierung für ein solches Siegel hat aber bisher nicht stattgefunden, da die Akkreditierungskriterien noch nicht festgelegt wurden.

Hat der bevorstehende Brexit unmittelbare Auswirkungen auf Unternehmen in Großbritannien?

Nach dem Brexit hat die DSGVO in Großbritannien keine direkte Gültigkeit mehr. Das Information Commissioner Office (ICO), also die britische Datenschutzbehörde, arbeitet jedoch an Gesetzgebungen, die auf die DSGVO verweisen. Zum gegenwärtigen Zeitpunkt scheint es wahrscheinlich, dass Unternehmen in Großbritannien auch nach dem Brexit an Datenschutzvorschriften gebunden sein werden, die denen der DSGVO stark ähneln.

Haben Sie noch Fragen?

Wenn Sie bestimmte Fragen zur DSGVO und Ihrer Nutzung von OCLC-Produkten haben, können Sie uns unter EU_Privacy@oclc.org kontaktieren oder sich an den OCLC-Kundendienst oder Ihren Verkaufsberater wenden.