3. Verarbeitungstätigkeiten am Beispiel Fernleihe
Kapitel hinzufügen

Umfeld, Umsetzung und Anwendungen sind von Institution zu Institution unterschiedlich, so dass es kein Schema für alle Anwendungsszenarien gibt. Um MyBib eDoc-Anwendern die Umsetzung der Dokumentationspflichten zu erleichtern, wurde die Anwendung „gebende Fernleihe“, die fast alle MyBib eDoc-Bibliotheken nutzen, als Beispiel gewählt. Nachfolgend werden die notwendigen Verzeichnisse sowie die Verarbeitungstätigkeiten aus DSGVO-Sicht dargestellt.

 

iwi0354_g64_v01Es handelt sich weder um eine "Kopiervorlage" noch um eine "Vorgabe/Empfehlung", sondern um einen Leitfaden, der in Abstimmung mit dem Datenschutzbeauftragten auf die konkrete Situation in der jeweiligen Institution anzupassen ist.

 

3.1 Umfang der Dokumentation
Abschnitt hinzufügen

Je nach Umsetzung der Anwendungen mit einem MyBib eDoc-System und den spezifischen Richtlinien innerhalb einer Institution besteht die Dokumentation im Wesentlichen aus folgenden Teilen:

3.1.1 Systemverzeichnis (SVZ)

Zweck und Aufgabe des SVZ ergeben sich aus den Dokumentationsvorgaben der DSGVO und den Aufgaben des IT-Sicherheitsbeauftragten. Da heute in fast jedem Verfahren Daten durch EDV-Systeme verarbeitet werden, sind diese Systeme eindeutig zu benennen und zu beschreiben. Über das SVZ kann sich der IT-Sicherheitsbeauftrage einen Überblick über die in Ihrem Hause eingesetzten Systeme verschaffen, diese Verfahren zuordnen und aus dem Verzeichnis der Verarbeitungstätigkeiten die involvierten Systeme bewerten.

Falls MyBib eDoc im eigenen Hause betrieben wird, sollte das MyBib eDoc-System neben den  zuvor aufgeführten Komponenten (z. B. Bestellsystem, Druckserver, Mailserver) im SVZ aufgeführt werden. Falls MyBib eDoc via Hosting genutzt wird, sind nur lokale Komponenten (z. B. Scanclients) im SVZ aufzuführen. Dafür fällt der externe Betrieb unter die Auftragsdatenverarbeitung.

3.1.2 Verzeichnis Auftragsdatenverarbeitung (VAD)

In diesem Verzeichnis werden alle extern durchgeführten Arbeiten aufgeführt, bei denen personenbezogene Daten betroffen sind. Dies sind:

  • Verträge, nach denen Ihre Institution für Dritte verarbeitet (z. B. das Bibliotheksystem für andere Bibliotheken betreut)
  • Verträge, bei denen Dritte für Ihre Institution Auftragsdaten verarbeiten (z. B. eine Verbundzentrale, die Ihre Bibliotheks- oder MyBib-Anwendung hostet)

Da in jedem Bibliothekssystem und in einigen Verbundsystemen personenbezogene Nutzerdaten verwaltet werden, ist davon auszugehen, dass jede Bibliothek von der Auftragsdatenverwaltung betroffen ist.

3.1.3 Verzeichnis der Verarbeitungstätigkeiten (VZV)

Im Verzeichnis der Verarbeitungstätigkeiten sind alle Verfahren aufzuführen, mit denen personenbezogene Daten verarbeitet werden. Diese Pflicht besteht unabhängig davon, ob der Betrieb im Hause oder extern via Cloud erfolgt.

3.2 Gliederungsschema des Verzeichnisses der Verarbeitungstätigkeiten (VZV)
Abschnitt hinzufügen

Für das VZV ist ein Gliederungsschema, welches von Bundesland zu Bundesland abweicht, vorgeschrieben. Relevant für ImageWare Components GmbH sind die Vorgaben des Landes NRW, die wir für die Umsetzung unserer Verarbeitungstätigkeit als Vorlage nutzen. Für die nationale gebende Kopien-Fernleihe könnte das Schema und Inhalte wie folgt aussehen:

 

Aspekt Beschreibung
VZV-ID VZV-0003 (interner Nr.-Kreis von ImageWare)
Verarbeitungstätigkeit Fernleihe (alternativ subito, CLD usw.)
Verantwortlicher/Vertreter <Name Leiter/in Fernleihe/ Benutzung>
Datenschutzbeauftragter <Datenschutzbeauftrage Ihrer Institution>
Verantwortliche Fachabteilung Fernleihe/Benutzung
Zwecks der Verarbeitung Erfüllung von Fernleih-Bestellungen für Kopien und rückgabepflichtige Medien
Verfahrensbeschreibung s.u. Kapitel Verfahrensbeschreibung
Kategorien betroffener Personen Besteller (Wissenschaftler, Studenten), MyBib eDoc-Anwender (Mitarbeiter)
Liste der Pers.bez. Daten Besteller: Name, Vorname, E-Mail-Adresse, Details s.u.
Empfänger der Daten – intern Fernleihabteilung
Empfänger der Daten – extern n/a, die Daten kommen vom zentralen Bestellsystem, z.B. VZG PICA CBS
Empfänger der Daten – Drittland n/a, die Daten werde nur im Hause bzw. in der Verbundzentrale verarbeitet
relevante Formulare Laufzettel, Deckblatt/Lieferschein
SVZ-ID S0001 Bib.-System, S0002 MyBib eDoc, S0003 Webserver usw.
Löschfristen der verschiedenen pers.-bez. Daten abhängig von den Vorgaben des Datenschutzbeauftragten, i.d.R. 30 Tage
TOM gemäß DSGVO Abs. 32 (s.u) Besteller werden anonymisiert
Umsetzungsplanung/Dokumentation s.u. Details

Allgemeine Erläuterungen zum Schema:

  • TOM (Technisch und Organisatorische Maßnahmen), die die Sicherheit der Verarbeitung herstellen
  • Verfahrensbeschreibung, d.h. kurze Erläuterung „was“ und „wie“ verarbeitet wird
  • Kategorie betroffener Personen, d.h. Mitarbeiter, Nutzer/Besteller
  • Auflistung aller personenbezogenen Daten unterteilt nach Stamm/Bewegungsdaten
  • Empfänger und Zugriff, d.h wer bekommt die Daten und wer hat Zugriff (z. B. Magaziner, Scanoperatoren, Controlling)
  • Löschfristen mit Grund, Inhalt, Dauer der Speicherung sowie „wann“ und „wie“ gelöscht wird
  • Dokumentation der Umsetzung, d.h. seit wann ist die Anwendung in Betrieb sowie  Dokumentation der Änderungen/Updates

 

3.3 Details des Verzeichnisses der Verarbeitungstätigkeiten (VZV) am Fallbeispiel „Gebende Fernleihe“
Abschnitt hinzufügen

3.3.1 Verfahrensbeschreibung

Bestellungen zur Fernleihe kommen aus einem übergeordnetem System, z. B. in der VZG aus dem PICA CBS. Das Verfahren ergibt sich aus der nachfolgenden Grafik:

 

 

Personenbezogene Daten werden in MyBib eDoc in der Nutzerverwaltung und bei den Bestellungen verarbeitet. Nach Erfüllung der Bestellung und Ablauf der Reklamationsfristen werden die Daten (außer für statistische Auswertung) nicht mehr benötigt. Die Daten werden über Systemprozeduren nach <x Tage, Wochen> gelöscht. Eine Pflege oder ein Update von Personendaten kommt mit Ausnahme „Falsche E-Mail-Adresse“ nicht vor, da i.d.R. geprüfte Daten von einem vorgeschalteten Bestellsystem übergeben werden.

3.3.2 Liste der personenbezogenen Daten

Kategorie: Anwender

  • Stammdaten mit Login, Passwort, Nutzergruppe und Rolle der Anwender bzw. Anwendergruppe (z. B. Auftragsbearbeitung, Signierung, Reklamationsbearbeitung usw.): Die Daten werden für Login und Berechtigungsprüfungen (z. B. Zugriffe, Änderungen von Aufträgen) benötigt.
  • Bewegungsdaten: Anwender-Logfiles, die regelmäßig gelöscht werden
    iwi0354_g64_v01MyBib eDoc unterstützt einen "Gruppen-Login", bei dem sich mehrere Anwender unter einer ID einloggen können.

Kategorie: Besteller

  • Stammdaten: N/a, da keine vorgehalten werden
  • Bewegungsdaten: Name, Mailadresse, Adresse, insbesondere das Land, welches für die Lizenzprüfung benötigt wird und ggf. auch die zulässigen Lieferwege beeinflusst

3.3.3 Empfänger der Daten und Zugriff

Empfänger der Daten und Zugriff – intern

  • Papier
    • Deckblatt Laufzettel: Magaziner, Scanoperatoren
    • Lieferung Papiere/Titel: Poststelle
  • MyBib eDoc-Anwender mit entsprechenden Rechten, um auf den Auftrag zugreifen zu können. Zweck des Zugriffs, z.B. Nachsignierung aufgrund falscher oder unvollständiger Bestelldaten.

Empfänger der Daten und Zugriff – extern

  • nehmende Bibliothek, Betreuer des Bestellsystems (PICA, MEDEA-3 usw.)

Empfänger der Daten – Drittland:

  • n/a

3.3.4 Relevante Formulare/Ausdrucke

  • Laufzettel zum Ausheben der Titel:
    • Da der Laufzettel keine personenbezogenen Daten seit dem JJJJ-MM-TT enthält, ist er irrelevant für das DSGVO-Konzept
  • Reklamationsformular zum erneuten Ausheben des Titels und Nachscannen einzelner Seiten:
    • Da die Reklamation keine personenbezogenen Daten seit dem JJJJ-MM-TT enthält, ist dies irrelevant für das DSGVO-Konzept.
  • Lieferschein/Deckblatt:
    • Für Kopienlieferungen wird der Lieferschein elektronisch von MyBib eDoc hinzugefügt und kann somit nur vom berechtigten Anwender eingesehen werden.
    • Für rückgabepflichtige Titel muss ein Lieferschein mit der Versandanschrift gedruckt werden.

3.3.5 SVZ

In Rahmen der Verarbeitungstätigkeiten werden die personenbezogen Daten in folgenden Systemen verarbeitet, gespeichert, weitergeleitet:

  • S0001 – Bestellsystem (z. B. PICA CBS, hbz Medea-3, BVB: OFF-Server, subito: subito-Bestellsystem)
  • S0002 – MyBib Instanz 1 (Produktionssystem, welches in unserem RZ betrieben wird)
  • S0003 – Mailserver zur Annahme der Bestellungen und Versand der Lieferungen
  • S0004 – Scanclient BCS-2 Office/Professional mit aktivierter SSL-Verschlüsselung  zu MyBib eDoc. Aufträge werden nach Übertragung an MyBib eDoc gelöscht. Scanoperatoren melden sich an dem PC via Gruppen-Login an.
  • S0005 – Druckserver zum Ausdruck der Formulare
  • usw.

3.3.6 Grund, Inhalt, Dauer und Löschfristen der Speicherung

Grund der Speicherung: Die Bestellerdaten werden aus folgenden Gründen gespeichert:

  • Ohne die personenbezogenen Daten ist keine Erfüllung der Bestellung, d.h. Lieferung, möglich.
  • Klärung von Rückfragen bei Unklarheiten (z. B. falsche Aufsatzangabe und/oder Bearbeitung von Reklamationen)

Inhalt der Speicherung:

  • Die Bestellung sowie die Erfüllung oder der Absagegrund der Bestellung (z. B. nicht erfüllbar, da Band nicht vorhanden).

Dauer der Speicherung:

  • Personenbezogene Daten sind bis zum Ablauf der Reklamationsfrist zu speichern. Danach können diese Daten anonymisiert werden, so dass die Auftragsdaten weiter für statistische Zwecke (z. B. Titelnutzung, Verteilung nach Standorten/Magazinen) genutzt werden können.

Löschfristen:

Die Löschfristen werden durch unseren Datenschutzbeauftragen wie folgt definiert:

  • Personenbezogene Daten in Bestellungen sind 60 Tage nach Lieferung zu löschen, wovon die Reklamationsfrist 30 Tage in Anspruch nimmt.
  • Anwender-Logfiles sind nach 60 Tagen zu löschen.

3.3.7 Technische und Organisatorische Maßnahmen (TOM)

Die ordnungsgemäße Verarbeitung von personenbezogenen Daten wird in unserem Hause durch folgende organisatorischen und technischen Maßnahmen sichergestellt:

EDV/IT

  • Betrieb der Anwendung MyBib eDoc erfolgt auf einer virtuellen Maschine (VM) in einem Rechenzentrum, in dem die neuesten Sicherheitsupdates regelmäßig eingespielt werden.
  • Kommunikation zwischen Browser und MyBib eDoc ist via „https“ verschlüsselt
  • Kommunikation von MyBib eDoc und BCS-2 Scanclient erfolgt verschlüsselt über „https“
  • Auslieferung und Bereitstellung von auftragsbezogenen Dateien via „sftp“

Automatismen in MyBib eDoc

  • Die verfügbaren automatischen Löschroutinen für personenbezogene Daten wurden alle aktiviert und mit den vom Datenschutzbeauftragten vorgesehenen Löschfristen versehen.
  • Die erfolgreiche Löschung wird regelmäßig kontrolliert.
  • Für den Nachweis gegenüber dem Datenschutzbeauftragen wird ein Löschprotokoll (PDF, CSV) zur Verfügung gestellt.

Organisation und Konfiguration

  • Der Ausdruck personenbezogener Daten erfolgt nur noch in Lieferscheinen für rückgabepflichtige Titel, d.h. konkret
    • auf Laufzetteln befinden sich keine personenbezogenen Daten
    • für alle Kopienlieferungen werden die Lieferscheine elektronisch erzeugt
  • Der Zugriff und die Anzeige von personenbezogenen Daten wurde in allen Standardanzeigen deaktiviert. Die Anzeige ist nur noch für Anwender möglich, die das Recht Zugriff auf erweiterte Maske mit personenbezogenen Daten haben.

3.3.8 Dokumentation der Umsetzung

Planung der nächste Schritte

  • Planung Q4/2018: Umstieg auf MyBib eDoc V3.2 zur Umsetzung der Löschroutinen samt Dokumentation gemäß DSGV. Dabei wurden die Löschfristen durch unseren Datenschutzbeauftragten wie folgt definiert <…> und am JJJJ-MM-TT durch unseren Anwendungsbetreuer eingerichtet.

Historie Updates

  • 2017-01-01: Auf Anregung unseres Datenschutzbeauftragten wurden Laufzettel und Lieferschein getrennt und personenbezogene Daten vom Laufzettel entfernt. Gleichzeitig wurde der elektronische Lieferschein eingeführt, womit bis auf rückgabepflichtige Titel der Lieferscheindruck mit personenbezogenen Daten entfällt.
  • 2016-06-01: Upgrade auf MyBib eDocV3.0 mit Aktivierung der Löschung des Systemjournals nach 90 Tagen
  • 2014-08-15: Es erfolgte ein Upgrade auf MyBib eDocV2.8 mit der Einrichtung eines Campus-Lieferdienstes (siehe separater VZV-Eintrag CLD).
  • Betriebsaufnahme 2007: Das MyBib eDoc-System wurde am 2007-10-15 mit dem Dienst Fernleihe in Betrieb genommen.