2. MyBib eDoc® – DSGVO Konzept
Kapitel hinzufügen

2.1 Intention
Abschnitt hinzufügen

Zum Grundkonzept der MyBib eDoc-Entwicklung gehört die durchgängige Nachvollziehbarkeit jeder Bestellung/jedes Auftrages vom Bestelleingang bis zur Auslieferung. In der Umsetzung erfordert dies die automatische Dokumentation eines jeden Schritts in allen vorherigen MyBib eDoc-Versionen.

Aufgrund dieser Produktarchitektur erfüllt MyBib eDoc die Vorgaben der DSGVO hinsichtlich der Dokumentation im Wesentlichen bereits heute. Das heißt, in der Praxis ist es jederzeit möglich, die Vorgänge nachzuvollziehen und nachzuweisen. Die Erweiterung der Funktionen in MyBib eDoc zur Erfüllung der DSGVO betreffen das komfortable Löschen und Anonymisieren von personenbezogenen Daten sowie die Dokumentation der im folgenden beschriebenen Vorgänge.

Vorgänge in MyBib eDoc können eines oder mehrere der nachfolgenden Verfahren betreffen:

 

2.2 Personenbezogene Daten
Abschnitt hinzufügen

Laut DSGVO sind die Kategorien der „Betroffenen Personen“ in einer Anwendung zu benennen. In MyBib eDoc sind dies Anwender und Besteller.

Anwender sind Personen, die mit MyBib eDoc arbeiten und dazu einen Account auf einem MyBib eDoc-System haben. Anwender können sowohl personalisiert wie auch anonym unter einer Funktionsbezeichnung (z. B. Auftragsbearbeitung, Qualitätssicherung etc.) angelegt werden.

Besteller sind Personen, die entweder direkt in einem Bestellsystem (Bibliothekssystem, subito usw.) oder indirekt als Angehörige einer Institution/Firma eine/n Bestellung/Auftrag aufgeben.

2.2.1 Anwenderdaten

Für Anwender werden in MyBib eDoc nur die minimal notwendigen Daten gespeichert, welche für die Ausführung gemäß Rolle/Funktion notwendig sind. Neben Login-Kennung und Passwort sind dies der Name und die zugeordneten Rechte, die sich aus der Rolle des Anwenders/der Anwendergruppe (z. B. Auftragsbearbeitung/Nachsignierung, Reklamationsbearbeitung) ergeben. Über diese Rechte wird der Zugriff auf das Lesen, Drucken und Ändern von Bestellerdaten gesteuert und eingeschränkt. Da jeder Auftrag vom  Beginn bis zum Abschluss nachvollziehbar sein muss (z. B. wann der Auftrag eingegangen ist, ob Rückfragen zu klären waren, wann und wie eine Reklamation bearbeitet wurde), werden die Login-Kennungen im Auftragsjournal und in den Anwendungslogfiles gespeichert.

Diese personenbezogenen Daten, die nach Ablauf von Reklamationsfristen i.d.R. „obsolet“ sind, werden mit den unten angegebenen MyBib eDoc-Funktionen automatisch gelöscht bzw. anonymisiert.

2.2.2 Bestellerdaten

Bestellerdaten werden anlassbezogen mit der Bestellung an MyBib eDoc übermittelt. Diese umfassen die für die Auftragserfüllung notwendigen Daten wie Name, E-Mail-Adresse sowie die Adresse als Grundlage für die länderbezogene Ermittlung der Lizenzbestimmung des bestellten Aufsatzes. In Abhängigkeit vom Verfahren/Dienst finden sich diese Daten neben MyBib eDoc noch in prozessunterstützenden Systemen wie Webservern, Druckservern oder Mailservern. Alle personenbezogenen Bestelldaten werden mit den unten aufgeführten Funktionen gelöscht oder anonymisiert.

2.3 Verarbeitungstätigkeiten mit MyBib eDoc
Abschnitt hinzufügen

MyBib eDoc kann mehrere Geschäftsvorgänge/Workflows unterschiedlicher Abteilungen unter einer Oberfläche und in einem System abbilden. Jedem Geschäftsvorgang/Workflow liegt ein Verfahren zugrunde, das im sogenannten Verzeichnis der Verarbeitungstätigkeiten (VZV) hinterlegt ist (siehe Bsp. Fernleihe).

Das Verfahren, dem eine Anwendung (z. B. Fernleihe oder subito) zugrunde liegt, wird in MyBib eDoc durch den jeweiligen Dienst bestimmt. Daraus ergibt sich, dass die Verarbeitungstätigkeiten immer auch anwendungsbezogen sind.

Nachfolgend sehen Sie beispielhaft typische Verfahrensschritte für die Verarbeitung einer Bestellung  in MyBib eDoc:

  1. Bestellaufgabe z.B. aus Bestellsystem
  2. Auftragsanlage in MyBib eDoc mit eventueller Vorverarbeitung der Bestelldaten
  3. Erzeugung Bestellschein und Ausheben des Mediums
  4. Bearbeitung und Digitalisierung
  5. Erzeugen der Bereitstellungs-/Lieferformate in MyBib eDoc
  6. Bereitstellung/Lieferung der Daten durch MyBib eDoc
  7. Preisberechnung und Rechnungsstellung
  8. Abschluss und Archivierung der Aufträge
  9. Löschen der Digitalisate
  10. Löschen bzw. Anonymisieren der Auftragsdaten

2.4 Datenspeicherung und Lösung in MyBib eDoc
Abschnitt hinzufügen

In MyBib eDoc unterteilt sich die Datenspeicherung in drei Datenpools: MyBib eDoc Datenbank, Logfiles Anwender und auftragsspezifische Dateien wie z.B. Scans (TIFF, PDF).

Die MyBib eDoc-Datenbank umfasst folgende Daten:

  • Auftragstabelle aktiv mit den Bestellerdaten
  • Auftragsjournal aktiv mit Besteller- und Anwenderdaten
  • Reklamationstabelle aktiv mit Bestellerdaten
  • Auftragstabelle Archiv mit Bestellerdaten
  • Auftragsjournal Archiv Besteller- und Anwenderdaten
  • Reklamationstabelle Archiv Bestellerdaten
  • Nutzerverwaltung mit den Stammdaten der MyBib eDoc-Anwender
  • Events mit Anwenderdaten

Jeder Anwender hat sein eigenes Anwender-Logfile. Dieses wird gelöscht, sobald es eine bestimmte Größe hat, die konfigurierbar ist.

Die auftragsspezifischen Dateien entstehen bei der Verarbeitung eines Auftrags und werden zur Erfüllung der Bestellung benötigt. Der Umfang der erzeugten Dateien ist anwendungsspezifisch und umfasst:

  • Scans (z.B. TIFF)
  • Metadaten (z.B. MARC21.XML)
  • Containerformate (z.B. METS/MODS, METS/ALTO)
  • Derivate (z.B. PDF, JPEG)

Alle auftragsspezifischen Dateien liegen in einem dem Auftrag zugewiesenen Verzeichnis und werden durch regelmäßige Löschroutinen nach Zeitraum X automatisch gelöscht.

iwi0354_g64_v01Die automatische Löschung ergibt sich schon als Anforderung aus dem Urheberrecht und wird seit Jahren in der Fernleihe und in der Dokumentenlieferung praktiziert.

2.5 Funktionen zur Umsetzung der DSGVO in MyBib eDoc
Abschnitt hinzufügen

Zur Umsetzung der DSGVO gehört das durchgängige Löschen von personenbezogenen Daten, sobald der Zweck für die Speicherung entfallen ist. Dazu wurde MyBib eDocmit entsprechenden Funktionen ausgestattet, die sich durch die gesamte Anwendung ziehen. Bei den Funktionen wird unterschieden zwischen manuellen Aktionen, die ein Anwender mit entsprechenden Rechten ausführen kann, und automatischen Operationen, die regelmäßig von MyBib eDoc ohne manuelle Eingriffe durchgeführt werden. Sowohl die manuellen Aktionen als auch automatischen Operationen des Löschens werden von MyBib eDoc systemimmanent dokumentiert.

2.5.1 Manuelle Aktionen

  • Aktion Auftrag im Kontext der Auftragsliste anonymisieren (RM#2082)
    • Auftragsdaten, Auftragsjournal und Reklamationsdaten werden anonymisiert.
    • Welche Daten wie anonymisiert werden, ist in einer Konfigurationsdatei hinterlegt.
    • Das Ergebnis wird in der zentralen Datenbanktabelle zur Anonymisierung und im Auftragsjournal gespeichert.

 

  • Aktion Auftrag im Kontext der Auftragsmaske anonymisieren (RM#2083)
    • Auftragsdaten, Auftragsjournal und Reklamationsdaten werden anonymisiert.
    • Welche Daten wie anonymisiert werden, steht in einer Konfigurationsdatei.
    • Das Ergebnis wird in der zentralen Datenbanktabelle zur Anonymisierung und im Auftragsjournal gespeichert.

 

  • Aktion zum Löschen des Systemjournals in der Anwendungsverwaltung (RM#2084)
    • Das Systemjournal wird nach dem angegebenen Datum gelöscht.

 

  • Aktion zum Löschen der Anwendungslogdateien in der Anwendungsverwaltung (RM#2085)
    • Die Anwendungslogdateien werden nach dem angegebenen Datum gelöscht.

 

2.5.2 Automatische Aktionen

Die automatischen Funktionen werden via Batchroutinen in den definierten Zeitintervallen durchgeführt. Die entsprechenden Parameter sind in der MyBib-Systemverwaltung einmalig einzurichten und zu aktivieren.

Folgende Funktionen werden bereit gestellt, die alle zu aktivieren sind:

  • Batchjob zur Anonymisierung von Auftragsdaten (RM#2086)
    • Auftragsdaten, Auftragsjournal und Reklamationsdaten werden anonymisiert. Welche Daten wie anonymisiert werden, wird in einer Konfigurationsdatei definiert.
    • Das Ergebnis wird in der zentralen Datenbanktabelle zur Anonymisierung und im Auftragsjournal gespeichert.
    • Auswahlkriterien sind:
      • Dienst
      • Archiv
      • Zeitpunkt (Alter/letzte Aktion)
      • Status und Zustand

 

  • Batchjob zur Löschung des Systemjournals
    • Das Löschen erfolgt nach einem Datum.
    • Diese Funktion wurde bereits in der MyBib eDoc V3.0 umgesetzt und ist seit 2016 verfügbar.

 

  • Batchjob zur Löschung der Anwendungslogs nach Datum (RM#2087)
    • Gelöscht werden alle Anwendungslogs, die ein bestimmtes Datum/Alter erreicht haben.
    • Das Datum wird in den Konfigurationseinstellungen systemweit für alle Dienste hinterlegt.

 

2.5.3 Dokumentation der Löschprozesse

Zum Nachweis und zur Prüfung durch den Datenschutzberauftragten sind alle Löschprozesse zu dokumentieren. Folgende Funktionen und Nachweishilfen stehen zur Verfügung:

  • Alle Anonymisierungsprozesse im Auftragskontext werden in einer Datenbanktabelle festgehalten. (RM#2088)
  • Alle Anonymisierungsprozesse im Auftragskontext werden im Auftragsjournal festgehalten.
  • Integration eines Standardreports zum manuellen Abruf  (RM#2089) mit
    • Ausgabe aller anonymisierten Aufträge ab Datum „TT-MM-JJJJ“
    • Exportfunktion als CSV oder PDF Datei
  • Standardreport zum manuellen Abruf aller anonymisierten Aufträge des abgelaufenen Monats zur Verwendung im Batchjob (RM#2090)
  • Batchjob zum regelmäßigen Aufruf obiger Standardreports mit Versand der CSV oder PDF Datei via E-Mail an den „Berichtsempfänger“

 

2.6 Drittsysteme im Umfeld von MyBib eDoc
Abschnitt hinzufügen

MyBib eDoc ist eine Anwendung, die vorhandene Drittsysteme (z. B. Webserver/Druckserver) nutzt, personenbezogene Daten aus Drittsystemen (z. B. Bestellportal der Bibliothek) übernimmt bzw. im Rahmen von Quittierungen an Drittsysteme (z. B. subito Zentralregulierung) zurückgibt. Dazu fügt sich MyBib eDoc in die jeweils vorhandene Infrastruktur des Kunden ein und nutzt i.d.R. Systeme, die kundenseitig auch von anderen Anwendungen/Systemen genutzt werden. Diese Systeme sind bei der Umsetzung der DSGVO zu berücksichtigen und die dort vorgehaltenen Daten regelmäßig zu löschen bzw. zu anonymisieren. Die Schnittstellen ergeben sich beispielhaft aus der nachfolgenden Grafik:

 

Nachfolgend erhalten Sie einen Überblick und Empfehlungen für die am häufigsten verwendeten Drittsysteme, die in der Verantwortung des Betreibers liegen.

  • Kunden-/Bestellerverwaltung
    • Der MyBib eDoc -Standard umfasst keine Bestellerverwaltung, weil Bestellungen i.d.R. aus vorgeschalteten Bestellsystemen (z. B. PICA, subito, OCLC Worldshare) kommen. Die Bestellungen umfassen nur die für die Erfüllung der Bestellung notwendigen Daten.
    • Da die Kunden- und Bestellerdaten von dem vorgeschalteten System verwaltet werden, liegt die Verantwortung für eine DSGVO-konforme Verarbeitung beim Betreiber des vorgeschalteten Systems.

 

  • Webserver
    • Die Daten werden i.d.R. vom Web-System/-Server verwaltet und sind Teil der Systembetreuung.
    • Logfiles sollten via Systemkonfiguration regelmäßig gelöscht werden.

 

  • Druckserver
    • Die Daten werden i.d.R. vom Drucksystem/-server verwaltet und sind Teil der Systembetreuung.
    • Logfiles sollten via Systemkonfiguration regelmäßig gelöscht werden.
    • Druckjobs sollten via Systemkonfiguration direkt nach Ausdruck gelöscht werden. Hier gibt es ggf. „Fallstricke“ im Bereich der Druckgeräte selbst.
      iwi0354_g64_v01Multifunktionsgeräte für Telefax mit der Funktion "letztes Fax drucken" können auch die letzten Druckaufträge speichern.

 

  • ScanClient/Digitalisierungskomponente
    • Die Daten werden i.d.R. auf Clients/PC gespeichert und müssen lokal gelöscht werden.
    • Logfiles sollten via Anwendungskonfiguration regelmäßig gelöscht werden.
    • Digitalisate sollten direkt nach der Übertragung an das MyBib eDoc-System gelöscht werden.
    • Besonderheit: Bei Built-In Lösungen wird ein PC ab Werk in den Scanner eingebaut und vorkonfiguriert. Wie bei Druckservern werden aus Komfort- und Servicegründen –  je nach Konfiguration – Scanjobs aufbewahrt. Analog zu den Druckservern ist darauf zu achten, dass diese Jobs regelmäßig und zeitnah gelöscht werden.
    • Bei BCS-2 Office/Professional gibt es eine Einstellung, mit der Jobs automatisch nach dem Übertragen gelöscht werden. Diese sollte aktiviert werden. BCS-2 Office/Professional nutzt wie MyBib eDoc die neuesten SSL-Klassen für eine sichere Datenübertragung.

 

  • Mailserver
    • Die Daten werden i.d.R. vom Mailsystem/-server verwaltet und gehören zum Aufgabenbereich der Systembetreuung.
    • Logfiles sollten via Systemkonfiguration regelmäßig gelöscht werden.
    • Die Mails sollten i.d.R. direkt nach dem Versand gelöscht werden.
    • Besonderheit Bestell-E-Mail an MyBib eDoc:
      • Nach erfolgreicher Verarbeitung, d.h. Übernahme in MyBib eDoc, können die E-Mails via MyBib eDoc gelöscht werden.
      • Fehlgeschlagene oder abgelehnte Bestellungen werden von MyBib eDoc in ein vom Kunden konfiguriertes Postfach verschoben und müssen manuell bearbeitet werden.

 

  • Bestellsysteme wie PICA CBS, subito
    • Bestellungen werden i.d.R. von einem eigenen System verwaltet (z. B. PICA-CBS, subito-Bestellsystem usw.). Die Verantwortung für diese Daten liegt beim  Betreiber des Bestellsystems.
    • Ausnahme: Kundendaten, die mit einer MyBib eDoc-Bestellmaske direkt vom Nutzer eingegeben werden, liegen nur in MyBib eDoc vor. Diese Daten werden im Rahmen der oben beschriebenen Funktion automatisiert gelöscht.

 

  • Präsentationssystem
    • Im Falle von Sammlungspräsentationen obliegt die DSGVO-konforme Nutzerverwaltung und/oder Nutzung von „Cookies“ dem Betreiber des Präsentationsystems.
    • Im Falle von Lieferungen/Bereitstellung einzelner Digitalisate aufgrund von Bestellungen erfolgt die direkte Bereitstellung über einen Download-/Web server der MyBib eDoc-Instanz oder im Falle OCLC WorldShare über das Bereitstellungsportal MyBib eL. Hier müssen durch die Systembetreuung entsprechende cron-Jobs eingerichtet werden, die die Daten nach X Tagen löschen.

 

  • Rechnungssystem
    • MyBib eDoc erzeugt i.d.R nur Rechnungssätze, z.B. für subito, aber keine Rechnungen. Die Rechnungsstellung und/oder die Belastung der Kunden erfolgt i.d.R. durch Quittierung gegenüber dem Bestellsystem, welches dann das Nutzerkonto belastet oder eine Rechnung erzeugt.
    • Diese Daten werden i. d. R. von einem eigenen System verwaltet und liegen in der Verantwortung der Systembetreuung zur Rechnungsstellung.