Hinweise zum Datenschutz

Auftragsverarbeitung nach Art.28 DS-GVO

Aufgrund der europäischen Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) ergeben sich für einen Auftragsverarbeiter Pflichten und Verantwortungen, die beim Betreiben eines Repositoriums zu berücksichtigen sind.

Auftragsverarbeiter ist nach der Definition des Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Eine Verarbeitung “personenbezogener Daten im Auftrag” wird in Artikel 28 ff. DS-GVO geregelt.

Nachweis der Rechtmäßigkeit der Verarbeitung

Nach der europäischen DS-GVO 2016/679 und dem Bundesdatenschutzgesetz sind Betreiber eines Repositoriums verpflichtet, die Datenschutzbedingungen einzuhalten sowie das Rechtsverhältnis zwischen der Institution und den Personen der eingestellten Dokumente zu regeln.

Die Rechtmäßigkeit der Verarbeitung der Daten kann auf der Basis spezieller Einwilligungserklärungen der Betroffenen, besonderen Verträgen oder einer anderen Rechtsgrundlage erfolgen (z.B. Dissertationsordnung, Arbeitsverträge, die das Recht der Veröffentlichung beinhalten etc.)

Wir empfehlen die Rechtmäßigkeit der Verarbeitung vor dem Veröffentlichen eines Dokuments zu belegen und sich dies in Form einer Einverständniserklärung dokumentieren zu lassen.

Darüberhinaus sollte in den Leitlinien öffentlich erkennbar sein, zu welchen Bedingungen Dokumente auf dem Server eingestellt, welche Lizenzen vergeben werden können und welche Kategorie von personenbezogenen Daten beim Publikationsprozess anfallen und verarbeitet werden.

Kategorien der personenbezogenen Daten in OPUS

Personenbezogene Metadaten

Im Rahmen des Publikationsprozesses werden in OPUS personenbezogene Daten erfasst, gespeichert, verwaltet und je nach Zugriffseinstellung für interne oder externe Benutzer angezeigt. Über Schnittstellen können die Daten auch an Dritte bzw. internationale Organisationen (z.B. OpenAire) weitergegeben werden.

Die Erfassung von personenbezogenen Daten ist erforderlich, um den Anforderungen des Metadaten-Kernsets von Netzpublikationen zu entsprechen. Siehe dazu die Berücksichtigung von Standards in OPUS.

Übersicht der möglichen Personenfelder.

Personenbezogene Accountdaten

Für die Verwaltung des Publikationsservers können in OPUS Benutzeraccounts angelegt werden. Hierbei können auch personenbezogene Daten gespeichert werden. Siehe dazu Bearbeitung von Nutzerkonten. Diese Daten werden nicht über Schnittstellen an Dritte weitergegeben.

Löschen von Dokumenten

Beim Löschen von Dokumenten aus dem Repositorium muss unterschieden werden zwischen bereits veröffentlichten und noch unveröffentlichten Dokumenten.

Das Löschen von unveröffentlichten Dokumenten kann problemlos durchgeführt werden. Schauen Sie dazu bitte unter Abschnitt Funktionen/Workflow.

Das Löschen von bereits veröffentlichten Dokumenten darf nur in Ausnahmefällen erfolgen und soll unter der persistenten URL des ursprünglichen Dokumentes angezeigt werden!

Beispiele für ein Löschen wären, wenn mit der Veröffentlichung strafrechtliche Bestimmungen verletzt werden oder der Autor einer Verfolgung ausgesetzt wäre. In jedem Fall ist das Zurückziehen bzw. Sperren des Dokumentes dem Löschen vorzuziehen.

Siehe dazu auch die Ausführungen im DINI-Zertifikat unter Abschnitt M.5-9.

In der Policy für die Vergabe von URNs der Deutschen Nationalbibliothek ist dazu folgendes beschrieben:

Das Löschen einer urn:nbn:de ist nicht erlaubt. Wenn Dokumente mit URN von der Veröffentlichung zurückgezogen werden, muss die URN auf eine Ersatzseite mit entsprechenden Informationen verweisen und der URN-Service der Deutschen Nationalbibliothek kontaktiert werden, um gegebenenfalls Weiterleitungen einzurichten.