Menu

Datenschutzerklärung nach DSGVO

Grundsätzlich gilt uneingeschränkt die allgemeine Datenschutzerklärung der Universität zu Köln mit dem dort genannten Verantwortlichen und Datenschutzbeauftragten.

Im Folgenden werden datenschutzrechlich relevante Spezifika der Web-Portale - wie diesem - erörtert, die mithilfe der USB Recherche-Infrastruktur betrieben werden.

Cookies

Wir verwenden in den Recherche-Portalen der USB Recherche-Infrastruktur so genannte Cookies. Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Rechner speichert und unserem Server schickt, wenn Sie unsere Seiten besuchen. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Sie dienen dazu, dass diese Webanwendung funktioniert. Die wesentlichen von uns verwendeten Cookies sind so genannte Session-Cookies, die nach Ende Ihres Besuchs automatisch gelöscht werden. Darüber hinaus speichern wir die von Ihnen ausgewählte Sprache sowie die Kenntnisnahme unseres Cookie-Informations-Pop-Ups in einem eigenen Cookie. Die Recherche-Portale der USB verwenden ausschließlich essentielle und für deren Funktionieren absolut notwendige Cookies.

Sie haben die volle Kontrolle über die Verwendung von Cookies: Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Recherche-Portale deaktiviert, können nicht mehr alle Funktionen der Portale vollumfänglich genutzt werden.

Web-Protokolle (Logdateien)

Anfragen von Endnutzern an die USB Recherche-Infrastruktur werden technisch von einem Lastverteiler (haproxy) auf verschiedene Web-Server im Backend verteilt, die sie beantworten.

Lastverteilung

Um den Betrieb des Lastverteilers sicher zu stellen, werden in seinen Protokolldateien nur dann die von Ihrem Webbrowser gelieferten Informationen gespeichert, wenn es zu einem generellen Fehler bei der Bearbeitung Ihrer Anfrage in unserer Infrastruktur kommt. Es werden ausdrücklich keine Daten im normalen Regelbetrieb in Protokolldateien des Lastverteilers gespeichert.

Im internen Fehlerfall werden folgende Informationen für die Dauer von 7 Tagen gespeichert und danach automatisch gelöscht:

  • Prozessname und Prozess-ID (z.B. haproxy[14389])
  • IP-Adresse des Nutzers (z.B. 10.0.1.2:33317)
  • Datum des Zugriffs (z.B. [06/Feb/2009:12:14:14.655])
  • Name des Frontends (z.B. http)
  • Name des Backends samt Servernamen (z.B. openbib/srv1)
  • Zeitdauern der Zugriffe (z.B. 10/0/30/69/109)
  • HTTP Status-Code (z.B. 200)
  • Übertragene Bytes (z.B. 2750)
  • Empfangenes und zurückgesendetes Cookie
  • Terminierungsstatus
  • Informationen zum Verbundungsstatus (z.B. 1/1/1/1/0)
  • Informationen zur Server und Backend Queue (z.B. 0/0)
  • Anfrage Header (z.B. {haproxy.1wt.eu}) und Ergebnis Header
  • HTTP Anfrage (z.B. "GET /index.html HTTP/1.1")

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO, denn es besteht ein berechtigtes Interesse der Universität zu Köln zur Erkennung und Beseitigung von Störungen.

Backend-Webserver

In den Protokolldateien der Webservern auf den Backends (lighttpd) werden grundsätzliche keine personenbezogenen Daten in den Protokolldateien gespeichert, da der Personenbezug durch den bewussten Verzicht auf die Protokollierung der IP-Adresse des Nutzers enfällt.

Verwendung von SSL

Die Selbstregistrierung, Anmeldung und sämtliche Seiten des Web-Portals, die durch den angemeldeten Nutzer aufgerufen werden, sind durch eine SSL-Verschlüsselung kryptographisch gegen Abhören geschützt.

Erhebung von Daten bei der Nutzung des Dienstes

Anmeldung und Selbstregistrierung

Bei der Registrierung eines Nutzers am Portal wird das sog. Double-Opt-In Verfahren verwendet, bei dem Sie zunächst eine Bestätigungsmail mit einem Web-Link erhalten. Erst durch dessen Aufruf wird das Konto im Portal unter Ihrer E-Mail-Adresse angelegt.

Grundsätzlich verwendet die USB Recherche-Infrastruktur eine eigene Nutzerdatenbank (USB Nutzerdatenbank), in der jeder Nutzer nach erstmaliger Anmeldung mit einem Bibliotheksausweis oder nach Selbstregistrierung mit seiner E-Mailadresse eine interne Nutzernummer zugeweisen bekommt, unter der personenbezogene Basis-Informationen, Nutzungseinstellung des Dienstes (u.a. Suchprofile und -einstellungen), sowie durch den Nutzer generierte Daten (Merkliste, Literaturlisten, Tags) abgelegt werden.

Basis-Daten, die immer gespeichert werden, sind:

  • Nutzerkennung (Nummer des Bibliotheksausweises oder E-Mailadresse bei Selbstregistrierung)
  • Passwort (Verschlüsselt abgelegt)

Bei der Anmeldung (Login) mit einem Bibliotheksausweis werden durch die Kopplung mit unserem Bibliothekssystem weitere Daten temporär bis zum Abmelden (Logout) des Nutzers vom Dienst zwischengespeichert. Entweder sofort mit der Abmeldung des Nutzers oder automatisch nach spätestens 24 Stunden - falls diese nicht durch den Nutzer erfolgt - werden diese Informationen aus seinem Eintrag in der USB Nutzerdatenbank gelöscht. Es handelt sich um folgende Informationen:

  • Personenbezogene Grunddaten: Nachname, Vorname

Daten über die Nutzung des Dienstes

Viele Daten, die bei der Nutzung anfallen, werden zur Verbesserung des Dienstes benötigt. Dazu gehören u.a.

  • Inhalt der Rechercheanfragen
  • Aufruf eines Titels, einer Person, Körperschaft, usw.
  • Verwendete Rechercheart (Einfache, erweiterte Suche, externer Suchschlitz)
  • Verwendetes Recherche-Portal
  • Informationen über den verwendeten Browser des Nutzers
  • Aufruf verlinkter externer Dienste (z.B. Wikipedia, Bibsonomy)
  • Aufruf interner Funktionen (z.B. Literaturliste, RSS-Feed, Permalinks von Titeln und Literaturlisten, Tags)

Diese Informationen werden grundsätzlich anonym und ohne Personenbezug unter einer zufällig erzeugten Sitzungs-ID (z.B. 354b5be395fe06ee0121ab87f364b218) für die Dauer einer Sitzung gespeichert und danach in einer eigenen USB Statistikdatenbank archiviert. Hat sich der Nutzer am Dienst mit seiner Kennung angemeldet (eingeloggt), dann werden diese Daten temporär mit seiner Person verknüpft, stellen also personenbezogene Daten dar. Mit dem Ausloggen wird der Personenbezug entfernt und diese nun wieder anonymen Daten werden, wie die eines nicht angemeldeten Nutzers, archiviert.

Anhand dieser Informationen können die verschiedenen Dienste der USB Recherche-Infrastruktur generell verbessert werden. So können z.B. automatisiert Hilfestellungen für Nutzer gegeben werden - wie z.B. das Auffinden besonders populärer Titel zu einer Suchanfrage oder Hinweise auf thematisch relevante Empfehlungen zu einem Titel.

Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO, denn es besteht ein berechtigtes Interesse der Universität zu Köln zur den Dienst zu betreiben und zu verbessern.

Vom Nutzer freiwillig gespeicherte Daten zur Nutzung externer Dienste

Bibsonomy

Zur Übertragung von bibliographischen Daten aus der USB Recherche-Infrastruktur an Bibsonomy - einem Social Bookmark und Publication Sharing Dienst - kann der Nutzer in Recherche-Portalen der USB Recherche-Infrastruktur seinen Bibsonomy API Usernamen und Key abspeichern.

Weitergabe personenbezogener Daten durch die Einbindung externer Dienste (Mashups)

Coverbilder

Bei der Nutzung dieses Dienstes werden ggf. Coverbilder zu gefundener Literatur von einer externen Quelle - hier VLB - eingebunden. Das Coverbild wird für den Nutzers von der Recherche-Infrastrktur bei VLB unter Weitergabe des personenbezogenen Datums, der IP-Adresse des Nutzers, über den sog. X-Forwarded-For-Header angefordert. Die Recherche-Infrastruktur schirmt den Nutzer damit bestmöglich vor dem externen Dienst ab und stellt sicher, dass nicht weitere Daten über den Nutzer, wie z.B. Informationen zum verwendeten Web-Browser, ggf. Werbe-Cookies usw. an den externen Dienst übertragen werden.

Kartenmaterial

Für die Anzeige der Standorte und der einfachen Auffindbarkeit aller Bibliotheken und Zweigstellen durch den Nutzer wird Kartenmaterial von OpenStreetMap (OSM) in den jeweiligen Seiten des Portals durch die Verwendung von JavaScript eingebunden. Die Karten werden vom Webbrowser des Nutzers von den Web-Servern des OSM-Projekts angefordert und hinterlassen ggf. dort personenbezogene Daten wie z.B. die IP-Adresse des Nutzers, Informationen zum verwendeten Webbrowser, Cookies usw.

Verlinkung zu Volltexten oder Auszügen von Büchern von Google Books

Bei dem Aufruf eines spezifischen Titels durch den Nutzer wird mit seiner IP-Adresse durch unseren Dienst eine Abfrage bei Google Books vorgenommen, um einen dort ggf. verfügbaren Volltext oder zumindest Textauszüge des Buches abzufragen und für den Nutzer a) die Art des möglichen Zugriffs zu signalisieren (Volltext, Auszug) und b) zu verlinken. Durch die Integration der Abfrage an Google in unseren Dienst werden ausser der IP-Adresse (s.o.) keine weiteren Informationen an Google weitergeleitet, wie z.B. Webbrowser, Cookies usw.

Verlinkung zu korrespondieren Titel in Bibsonomy

Bei dem Aufruf eines spezifischen Titels durch den Nutzer wird mit seiner IP-Adresse durch unseren Dienst eine Abfrage bei Bibsonomy vorgenommen, um den Titel dort zu identifizieren und ihn für den Nutzer zu verlinken. Durch die Integration der Abfrage an Bibsonomy in unseren Dienst werden ausser der IP-Adresse keine weiteren Informationen an Bibsonomy weitergeleitet, wie z.B. Webbrowser, Cookies usw.

Löschung aller Daten in der USB Nutzerdatenbank

Nutzergenerierte Daten wie Merklisteneinträge, Literaturlisten und Tags können durch den Nutzer jederzeit gelöscht werden.

Ebenso ist es jedem angemeldeten Nutzer möglich seine Kennung in der Nutzerdatenbank der USB Recherche-Infrastruktur mit allen verbundenen Daten zu löschen. Dazu gehören auch alle Merklisteneinträge, Literaturlisten und Tags. Das ist sowohl für dort selbstregistrierte Nutzer möglich, wie auch für Nutzer, die sich dort mit der Nutzernummer ihres Bibliotheksausweis angemeldet haben.

Eine Löschung der Kennung des Bibliotheksausweises in dem von der USB Nutzerdatenbank separaten Bibliothekssystem ist nur bei einem Mitarbeiter der jeweiligen Bibliothek vor Ort möglich.

Solange die Kennung eines Nutzers im Bibliothekssystem nicht gelöscht wurde, kann sich ein Nutzer - auch nach Löschung seiner Daten in der USB Nutzerdatenbank - weiterhin an diesem Portal anmelden. Es wird bei der Anmeldung dann automatisch ein neuer Eintrag in der USB Nutzerdatenbank mit einer anderen lokalen Nutzer-ID erzeugt.