Datenschutzerklärung nach DSGVO

Grundsätzlich gilt uneingeschränkt die allgemeine Datenschutzerklärung der Universität zu Köln mit dem dort genannten Verantwortlichen und Datenschutzbeauftragten.

Im Folgenden werden datenschutzrechlich relevante Spezifika der Web-Portale - wie diesem - erörtert, die mithilfe der KUG Recherche-Infrastruktur betrieben werden.

Web-Protokolle (Logdateien)

Anfragen von Endnutzern an die KUG Recherche-Infrastruktur werden technisch von einem Lastverteiler (haproxy) auf verschiedene Web-Server im Backend verteilt, die sie beantworten.

Lastverteilung

Um den Betrieb des Lastverteilers sicher zu stellen, werden in seinen Protokolldateien nur dann die von Ihrem Webbrowser gelieferten Informationen gespeichert, wenn es zu einem generellen Fehler bei der Bearbeitung Ihrer Anfrage in unserer Infrastruktur kommt. Es werden ausdrücklich keine Daten im normalen Regelbetrieb in Protokolldateien des Lastverteilers gespeichert.

Im internen Fehlerfall werden folgende Informationen für die Dauer von 7 Tagen gespeichert und danach automatisch gelöscht:

  • Prozessname und Prozess-ID (z.B. haproxy[14389])
  • IP-Adresse des Nutzers (z.B. 10.0.1.2:33317)
  • Datum des Zugriffs (z.B. [06/Feb/2009:12:14:14.655])
  • Name des Frontends (z.B. http)
  • Name des Backends samt Servernamen (z.B. openbib/srv1)
  • Zeitdauern der Zugriffe (z.B. 10/0/30/69/109)
  • HTTP Status-Code (z.B. 200)
  • Übertragene Bytes (z.B. 2750)
  • Empfangenes und zurückgesendetes Cookie
  • Terminierungsstatus
  • Informationen zum Verbundungsstatus (z.B. 1/1/1/1/0)
  • Informationen zur Server und Backend Queue (z.B. 0/0)
  • Anfrage Header (z.B. {haproxy.1wt.eu}) und Ergebnis Header
  • HTTP Anfrage (z.B. "GET /index.html HTTP/1.1")

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO, denn es besteht ein berechtigtes Interesse der Universität zu Köln zur Erkennung und Beseitigung von Störungen.

Backend-Webserver

In den Protokolldateien der Webservern auf den Backends (lighttpd) werden grundsätzliche keine personenbezogenen Daten in den Protokolldateien gespeichert, da der Personenbezug durch den bewussten Verzicht auf die Protokollierung der IP-Adresse des Nutzers enfällt.

Cookies

Wir verwenden in den Recherche-Portalen der KUG Recherche-Infrastruktur so genannte Cookies. Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Rechner speichert und unserem Server schickt, wenn Sie unsere Seiten besuchen. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Sie dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Die von uns verwendeten Cookies sind so genannte Session-Cookies, die nach Ende Ihres Besuchs automatisch gelöscht werden.

Sie haben die volle Kontrolle über die Verwendung von Cookies: Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Recherche-Portale deaktiviert, können möglicherweise nicht mehr alle Funktionen der Portale vollumfänglich genutzt werden.

Verwendung von SSL

Die Selbstregistrierung, Anmeldung und sämtliche Seiten des Web-Portals, die durch den angemeldeten Nutzer aufgerufen werden, sind durch eine SSL-Verschlüsselung kryptographisch gegen Abhören geschützt.

Erhebung von Daten bei der Nutzung des Dienstes

Anmeldung und Selbstregistrierung

Grundsätzlich verwendet die KUG Recherche-Infrastruktur eine eigene Nutzerdatenbank (KUG Nutzerdatenbank), in der jeder Nutzer nach erstmaliger Anmeldung mit einem Bibliotheksausweis oder nach Selbstregistrierung mit seiner E-Mailadresse eine interne Nutzernummer zugeweisen bekommt, unter der personenbezogene Basis-Informationen, Nutzungseinstellung des Dienstes (u.a. Suchprofile und -einstellungen), sowie durch den Nutzer generierte Daten (Merkliste, Literaturlisten, Tags) abgelegt werden.

Basis-Daten, die immer gespeichert werden, sind:

  • Nutzerkennung (Nummer des Bibliotheksausweises oder E-Mailadresse bei Selbstregistrierung)
  • Passwort (Verschlüsselt abgelegt)

Bei der Anmeldung (Login) mit einem Bibliotheksausweis werden durch die Kopplung mit unserem Bibliothekssystem weitere Daten temporär bis zum Abmelden (Logout) des Nutzers vom Dienst zwischengespeichert. Entweder sofort mit der Abmeldung des Nutzers oder automatisch nach spätestens 24 Stunden - falls diese nicht durch den Nutzer erfolgt - werden diese Informationen aus seinem Eintrag in der KUG Nutzerdatenbank gelöscht. Es handelt sich um folgende Informationen:

  • Personenbezogene Grunddaten: Nachname, Vorname und E-Mailadresse
  • Personenbezogene Ausleihinformationen: Guthaben, Soll, Offene Gebühren, Ausgeliehene/Vorgemerkte/Bestellte Medien, bestehende Bibliothekskonto-Sperrung samt Begründung und Sperrdatum)

Daten über die Nutzung des Dienstes

Viele Daten, die bei der Nutzung anfallen, werden zur Verbesserung des Dienstes benötigt. Dazu gehören u.a.

  • Inhalt der Rechercheanfragen
  • Aufruf eines Titels, einer Person, Körperschaft, usw.
  • Verwendete Rechercheart (Einfache, erweiterte Suche, externer Suchschlitz)
  • Verwendetes Recherche-Portal
  • Informationen über den verwendeten Browser des Nutzers
  • Aufruf verlinkter externer Dienste (z.B. Wikipedia, Bibsonomy)
  • Aufruf interner Funktionen (z.B. Literaturliste, RSS-Feed, Permalinks von Titeln und Literaturlisten, Tags)

Diese Informationen werden grundsätzlich anonym und ohne Personenbezug unter einer zufällig erzeugten Sitzungs-ID (z.B. 354b5be395fe06ee0121ab87f364b218) für die Dauer einer Sitzung gespeichert und danach in einer eigenen KUG Statistikdatenbank archiviert. Hat sich der Nutzer am Dienst mit seiner Kennung angemeldet (eingeloggt), dann werden diese Daten temporär mit seiner Person verknüpft, stellen also personenbezogene Daten dar. Mit dem Ausloggen wird der Personenbezug entfernt und diese nun wieder anonymen Daten werden, wie die eines nicht angemeldeten Nutzers, archiviert.

Anhand dieser Informationen können die verschiedenen Dienste der KUG Recherche-Infrastruktur generell verbessert werden. So können z.B. automatisiert Hilfestellungen für Nutzer gegeben werden - wie z.B. das Auffinden besonders populärer Titel zu einer Suchanfrage oder Hinweise auf thematisch relevante Empfehlungen zu einem Titel.

Vom Nutzer freiwillig gespeicherte Daten zur Nutzung externer Dienste

Bibsonomy

Zur Übertragung von bibliographischen Daten aus der KUG Recherche-Infrastruktur an Bibsonomy - einem Social Bookmark und Publication Sharing Dienst - kann der Nutzer in Recherche-Portalen der KUG Recherche-Infrastruktur seinen Bibsonomy API Usernamen und Key abspeichern.

Weitergabe personenbezogener Daten durch die Einbindung externer Dienste (Mashups)

Coverbilder

Bei der Nutzung dieses Dienstes werden ggf. Coverbilder zu gefundener Literatur von einer externen Quelle - der OpenLibrary - eingebunden. Das Coverbild wird vom Webbrowser des Nutzers damit effektiv von den Web-Servern der OpenLibrary angefordert und hinterlässt ggf. dort personenbezogene Daten wie z.B. die IP-Adresse des Nutzers, Informationen zum verwendeten Webbrowser usw.

Kartenmaterial

Für die Anzeige der Standorte und der einfachen Auffindbarkeit aller Bibliotheken und Zweigstellen durch den Nutzer wird Kartenmaterial von OpenStreetMap (OSM) in den jeweiligen Seiten des Portals durch die Verwendung von JavaScript eingebunden. Die Karten werden vom Webbrowser des Nutzers von den Web-Servern des OSM-Projekts angefordert und hinterlassen ggf. dort personenbezogene Daten wie z.B. die IP-Adresse des Nutzers, Informationen zum verwendeten Webbrowser, Cookies usw.

Verlinkung zu Volltexten oder Auszügen von Büchern von Google Books

Bei dem Aufruf eines spezifischen Titels durch den Nutzer wird mit seiner IP-Adresse durch unseren Dienst eine Abfrage bei Google Books vorgenommen, um einen dort ggf. verfügbaren Volltext oder zumindest Textauszüge des Buches abzufragen und für den Nutzer a) die Art des möglichen Zugriffs zu signalisieren (Volltext, Auszug) und b) zu verlinken. Durch die Integration der Abfrage an Google in unseren Dienst werden ausser der IP-Adresse keine weiteren Informationen an Google weitergeleitet, wie z.B. Webbrowser, Cookies usw.

Verlinkung zu korrespondieren Titel in Bibsonomy

Bei dem Aufruf eines spezifischen Titels durch den Nutzer wird mit seiner IP-Adresse durch unseren Dienst eine Abfrage bei Bibsonomy vorgenommen, um den Titel dort zu identifizieren und ihn für den Nutzer zu verlinken. Durch die Integration der Abfrage an Bibsonomy in unseren Dienst werden ausser der IP-Adresse keine weiteren Informationen an Bibsonomy weitergeleitet, wie z.B. Webbrowser, Cookies usw.

Löschung aller Daten in der KUG Nutzerdatenbank

Nutzergenerierte Daten wie Merklisteneinträge, Literaturlisten und Tags können durch den Nutzer jederzeit gelöscht werden.

Ebenso ist es jedem angemeldeten Nutzer möglich seine Kennung in der Nutzerdatenbank der KUG Recherche-Infrastruktur mit allen verbundenen Daten zu löschen. Dazu gehören auch alle Merklisteneinträge, Literaturlisten und Tags. Das ist sowohl für dort selbstregistrierte Nutzer möglich, wie auch für Nutzer, die sich dort mit der Nutzernummer ihres Bibliotheksausweis angemeldet haben.

Eine Löschung der Kennung des Bibliotheksausweises in dem von der KUG Nutzerdatenbank separaten Bibliothekssystem ist nur bei einem Mitarbeiter der jeweiligen Bibliothek vor Ort möglich.

Solange die Kennung eines Nutzers im Bibliothekssystem nicht gelöscht wurde, kann sich ein Nutzer - auch nach Löschung seiner Daten in der KUG Nutzerdatenbank - weiterhin an diesem Portal anmelden. Es wird bei der Anmeldung dann automatisch ein neuer Eintrag in der KUG Nutzerdatenbank mit einer anderen lokalen Nutzer-ID erzeugt.