DINI e.V.
DINI e.V.
               

DINI / Projekte / OA-Statistik / Rechtliche Aspekte

Datenschutzrechtliche Vorgaben

Die Verarbeitung von Zugriffen auf Repositorien basiert auf der Auswertung von Logfiles, in denen Informationen über das Abfrageereignis gespeichert werden. Neben dem angeforderten Dokument und dem Zugriffserfolg werden auch Informationen über den Zugreifenden wie beispielsweise seine IP-Adresse erfasst. Zugreifender kann eine Suchmaschine sein oder aber eine reale Person, die die abgerufene Publikation lesen möchte. In diesem Fall muss der Datenschutz beachtet werden, der bei der Verarbeitung von personenbezogenen Daten klare Vorschriften macht. Laut dem Gutachten der Zentralen Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS), das vom Projekt OA-Statistik in Auftrag gegeben wurde, sind sowohl die IP-Adressen wie auch die im Zusammenhang mit ihnen erfassten Daten bei der Verarbeitung als personenbezogen anzusehen und daher datenschutzrechtlich zu bewerten. Eine Anonymisierung der IP-Adressen durch ein Verschlüsselungsverfahren wird daher erforderlich. An die IP-Adressen wird ein monatlich wechselnder Wert (Salt) angehängt. Diese Zeichenkette wird anschließend durch das sogenannte Hashverfahren verschlüsselt. Wenn alle beteiligten Repositorien das gleiche Salt und das gleiche Hashverfahren benutzen, können Zugriffe auf Dokumente mit der gleichen Dokumenten-ID im Anschluss repositorienübergreifend ausgewertet werden. Ein gemeinsamer Salt wird derzeit nicht verwendet, wurde aber testweise implementiert und lässt sich für zukünftige Entwicklungen des Dienstes ohne große Umstände implementieren. Der zentrale Dienst von OA-Statistik darf dabei den gemeinsamen Salt nicht kennen, damit er keine Möglichkeit hat, die Verschlüsselung rückgängig zu machen. Während die Daten bei den Datenlieferanten – den Repositorien – pseudonymisiert sind, können die verschlüsselten IP-Adressen somit nach der Übertragung zum zentralen Dienst von OA-Statistik als anonymisiert angesehen werden. Datenschutzrechtliche Aspekte müssen bei anonymisierten Daten nicht weiter beachtet werden.

Geschützter Ort für den OAS-Data-Provider mit .htaccess

Aus Datenschutzgründen dürfen weder die ursprünglichen Logdaten noch die für OA-Statistik aufbereiteten Logdaten in Form von OpenURL ContextObjects von Dritten erreichbar sein. Daher muss das Verzeichnis des OAS-Data-Providers mit Hilfe von .htaccess vor fremden Zugriffen geschützt werden.