MITTEILUNGSBLATT
DER
KARL-FRANZENS-UNIVERSITÄT GRAZ
11. SONDERNUMMER
___________________________________________________________________
Studienjahr 2017/18 Ausgegeben am 27. 12. 2017 13.b Stück
___________________________________________________________________
Betriebsvereinbarung
über den Betrieb
eines Bibliothekmanagementsystems
an der Universität Graz
(BV ALMA)
Abgeschlossen zwischen
der Universität Graz
sowie
dem Betriebsrat für das Wissenschaftliche Universitätspersonal
und
dem Betriebsrat für das Allgemeine Universitätspersonal
Impressum: Medieninhaber, Herausgeber und Hersteller: Karl-Franzens-Universität Graz,
Universitätsplatz 3, 8010 Graz. Verlags- und Herstellungsort: Graz.
Anschrift der Redaktion: Rechts- und Organisationsabteilung, Universitätsplatz 3, 8010 Graz.
E-Mail: mitteilungsblatt@uni-graz.at
Internet: https://online.uni-graz.at/kfu_online/wbMitteilungsblaetter.list?pOrg=1
Offenlegung gem. § 25 MedienG
Medieninhaber: Karl-Franzens-Universität Graz, Universitätsplatz 3, 8010 Graz. Unternehmensgegenstand: Erfüllung der Ziele, leitenden Grundsätze und Aufgaben gem. §§ 1, 2 und 3 des Bundesgesetzes über die Organisation der Universitäten und ihre Studien (Universitätsgesetz 2002 - UG), BGBl. I Nr. 120/2002, in der jeweils geltenden Fassung.
Art und Höhe der Beteiligung: Eigentum 100%.
Grundlegende Richtung: Kundmachung von Informationen gem. § 20 Abs. 6 UG in der jeweils geltenden Fassung.
B E T R I E B S V E R E I N B A R U N G
über den
Betrieb eines Bibliothekmanagementsystems
an der Universität Graz
(BV ALMA)
abgeschlossen zwischen
der Universität Graz
sowie
dem Betriebsrat für das Wissenschaftliche Universitätspersonal
und
dem Betriebsrat für das Allgemeine Universitätspersonal
1. Abschnitt - Geltungsbereich
§ 1. Personeller Geltungsbereich
(1) Die BV ALMA gilt gem § 4 Z 22 iVm § 63 Abs 2 Universitäten-KV für alle ArbeitnehmerInnen des wissenschaftlichen und des allgemeinen Universitätspersonals der Universität Graz, die dem Universitäten-KV unterliegen.
(2) Der Text der BV ALMA dient zudem der Konkretisierung der Rechte und Pflichten der BeamtInnen sowie der MitarbeiterInnen, die dem VBG unterliegen. Für diese Gruppen von MitarbeiterInnen gelten jedenfalls die Bestimmungen des BDG 1979 bzw. des VBG sowie die Verordnung der Bundesregierung über die private Nutzung der Informations- und Kommunikationstechnik-Infrastruktur des Bundes durch Bedienstete des Bundes (IKT-Nutzungsverordnung - IKT-NV), BGBl. II Nr. 281/2009.
(3) Sämtliche in den beiden vorigen Absätzen genannten Personengruppen werden im Folgenden als "MitarbeiterInnen" bezeichnet.
§ 2. Örtlicher Geltungsbereich
Die BV ALMA gilt für sämtliche Standorte und Arbeitsstätten der Universität Graz.
§ 3. Zeitlicher Geltungsbereich
Diese Betriebsvereinbarung tritt am 1.1.2018 in Kraft und wird vorerst für zwei Jahre, somit bis zum 31.12.2019 abgeschlossen. Die Geltungsdauer der Betriebsvereinbarung verlängert sich jeweils um ein weiteres Jahr, sofern nicht eine der Vertragsparteien unter Einhaltung einer Frist von drei Monaten vor Ablauf der Jahresfrist erklärt, diese Betriebsvereinbarung nicht fortsetzen zu wollen.
2. Abschnitt – Gegenstand dieser Betriebsvereinbarung
§ 4. Allgemeine Grundlagen
(1) Diese Betriebsvereinbarung regelt die automationsunterstützte Verarbeitung personenbezogener MitarbeiterInnen-Daten im System ALMA, sowie die damit allenfalls im Zusammenhang stehenden Kontrollen. Nicht vom Anwendungsbereich erfasst ist die Verarbeitung von Studierendendaten oder von Daten sonstiger dritter Personen.
(2) Den rechtlichen Rahmen für diese BV bildet aus datenschutzrechtlicher Sicht das zum Zeitpunkt des Abschlusses anwendbare DSG 2000, sowie in der Folge die mit 25. Mai 2018 anwendbare DSGVO und das ebenfalls mit 25. Mai 2018 in Kraft tretende DSG. Zudem wird festgehalten, dass die BV ALMA in Ergänzung zur Rahmenbetriebsvereinbarung IKT gilt. Die Rahmenbetriebsvereinbarung IKT kommt für das Bibliotheksmanagementsystem ALMA dabei insoweit zum Tragen, als die vorliegende BV keine Sonderregelung trifft.
(3) Alle anderen, nicht in dieser Betriebsvereinbarung geregelten Verarbeitungen personenbezogener Daten von MitarbeiterInnen in ALMA sind nicht zulässig. Zielsetzung der Betriebsvereinbarung ist einerseits, die MitarbeiterInnen vor Beeinträchtigungen ihrer Persönlichkeitsrechte zu schützen. Andererseits sind die technische Funktionsfähigkeit und Nutzbarkeit des Systems, soweit diese die persönlichen Rechte und das Recht auf Datenschutz nicht beeinträchtigt, sicherzustellen.
(4) Mit dieser Betriebsvereinbarung soll sichergestellt werden, dass die MitarbeiterInnen vor einer missbräuchlichen Verwendung personenbezogener Daten, insbesondere vor einer missbräuchlichen Überwachung ihres Verhaltens und einem missbräuchlichen Zugriff auf ihre Daten, geschützt werden. Gegenstand dieser BV ist daher auch die Sicherung der den Betriebsräten gesetzlich eingeräumten Rechte. Ein weiteres Ziel dieser Betriebsvereinbarung ist es, die Verwendung von Auswertungen (ALMA Analytics) zur Überwachung der Arbeitsleistung von MitarbeiterInnen, insbesondere jener der Bibliothek, zu verhindern.
(5) Im Rahmen des Bibliotheksmanagementsystems ALMA dürfen ausschließlich die nachfolgend taxativ angeführten personenbezogenen Daten von MitarbeiterInnen verwendet werden:
a) Vorname, Nachname, akademischer Grad
b) Geschlecht
c) UGO-ID
d) Nummer des Mitarbeiterausweises (Mifare ID)
e) Name des Bediensteten-Accounts
f) Dienstliche Postadresse und dienstliche Mailadresse
g) Berechtigungsstufe
h) Personengruppe (Bedienstete, Studierende, Extern)
i) Datumfelder (Erfassungsdatum, Korrekturdatum, Ablaufdatum des Ausweises)
j) Sperrinformationen (Sperrgrund und Sperrdauer)
§ 5. Spezifische Bestimmungen zum Betrieb
(1) Die nachfolgenden Bestimmungen regeln – in Zusammenschau mit der einen integrierenden Bestandteil dieser BV darstellenden Systembeschreibung und den allgemeinen Bestimmungen und Begriffsdefinitionen der RBV-IKT – den Betrieb des Bibliotheksystems ALMA in Bezug auf die Verarbeitung von MitarbeiterInnen-Daten im Detail.
(2) Die systeminterne Speicherung der personenbezogenen Daten von MitarbeiterInnen darf ausschließlich verschlüsselt erfolgen. Alle Schlüssel sind zufällig zu erzeugen und getrennt von der Zugangsdaten-Verwaltungszone zu speichern. Diese Schlüssel dürfen nicht in Klarform freigegeben werden.
(3) Die Verwendung von personenbezogenen Daten von MitarbeiterInnen für bibliotheks-spezifische Auswertungen jedweder Art darf ausschließlich anonymisiert erfolgen.
(4) Für abgeschlossene Entlehnungen erfolgt keine Speicherung von Entlehnhistorien über die Anonymisierungsfrist von 3 Monaten hinaus.
(5) Die notwendigen Datentransfers zwischen den Systemen sind nach höchsten Sicherheitskriterien durchzuführen und zu protokollieren. Der Datentransfer der geänderten bzw. neu angelegten und in XML (Extensible Markup Language) beschriebenen Datensätze erfolgt über das HTTPS-Protokoll (Hypertext Transfer Protocol Secure). Für diese Datenmigration von UNIGRAZonline zu Alma ist grundsätzlich ein zweiminütiges Zeitintervall vorzusehen. Ein gleichzeitiger Datenabgleich sämtlicher BenutzerInnendaten wird nur im Bedarfsfall mit gesonderter Information der Betriebsräte durchgeführt.
(6) Alle Aktivitäten von Bibliotheks-BearbeiterInnen in ALMA werden revisionssicher gespeichert. Ebenso wird jede Änderung der Zugriffsrechte protokolliert.
(7) In begründeten Ausnahmefällen darf zu Zwecken der Daten- Qualitätssicherung in Absprache mit dem Betriebsrat für allgemeines Universitätspersonal eine Analyse der durch die MitarbeiterInnen der Universitätsbibliothek durchgeführten Datenbearbeitungen erfolgen.
(8) Die Verknüpfung zwischen EntlehnerInnen und entliehenem Werk und/oder darauf verweisenden Titeldatensätzen werden 3 Monate nach Abschluss des Entlehnvorgangs endgültig gelöscht. Die Protokolldaten von Aktionen im System werden 3 Jahre aufbewahrt und danach gelöscht.
§ 6. Kontrollrechte
(1) Die Universität Graz hat das Recht, das verwendete System stets am aktuellen Stand der Technik zu halten. Den Betriebsräten wird quartalsweise ein Bericht übermittelt, der etwaige durchgeführte Änderungen im System, die personenbezogene Daten betreffen, in verständlicher und knapper Form wiedergibt.
(2) Bei wesentlichen Erweiterungen und/oder Änderungen des Systems ALMA ist die Zustimmung der Betriebsräte vor der Durch- bzw. Einführung einzuholen. Eine wesentliche Änderung ist jedenfalls dann gegeben, wenn durch sie
a) zusätzliche personenbezogene Daten verwendet werden,
b) der Kreis der in der Systembeschreibung genannten Zugriffsberechtigten erweitert wird oder
c) neue personenbezogene Auswertungen von MitarbeiterInnen-Daten ermöglicht werden, welche arbeitsrechtliche Kontrollen ermöglichen würden.
(3) Die Betriebsräte der Universität Graz, sind zudem vor einer wesentlichen Änderung der dem Bibliothekssystem zu Grunde liegenden vertraglichen Beziehung zwischen der Universität Graz und der Ex Libris (Deutschland) GmbH zu informieren. Derartige Änderungen betreffen insbesondere die Bestimmungen über den Datentransfer ins Ausland, über den Standort der Speicherzentren, über die Art und Dauer der Speicherung personenbezogener Daten, sowie eine etwaige Verlegung des Sitzes des Vertragspartners oder der den Support durchführenden Subunternehmen außerhalb des Gemeinschaftsraumes bzw. außerhalb eines sicheren Drittstaates nach der Datenschutzangemessenheits-Verordnung (bzw. einer entsprechenden Folgeregelung auf europäischer Ebene). Wesentlich ist eine Änderung jedenfalls dann, wenn diese zu einer Verschlechterung des Datenschutzniveaus – insbesondere in Hinblick auf die dem Vertragsverhältnis und damit dieser Systembeschreibung zu Grunde liegenden datenschutzrechtlichen Rahmenbedingungen und des anwendbaren Datenschutzrechts (DSG 2002, ab dem 25. Mai 2018 DSGVO und DSG) – führen sollte.
3. Abschnitt – Formale Bestimmungen
§ 7. Anhang als Teil der Betriebsvereinbarung
Die als Anhang beigefügte Systembeschreibung stellt einen integrierenden Bestandteil der BV ALMA dar.
§ 8. Veröffentlichung
Die vorliegende Betriebsvereinbarung ist im Mitteilungsblatt der Universität zu publizieren und gemäß § 16 RBV IKT im Intranet der Universität Graz zugänglich zu machen. Der Anhang ist nicht zu veröffentlichen, sondern in der Zentralen Registratur zur Einsichtnahme für die MitarbeiterInnen der Universität Graz aufzulegen sowie den Betriebsräten zur Verfügung zu stellen.
Graz, am 20.12.2017
Für die Arbeitgeberin:
Univ.-Prof. Dr. Christa Neuper, Rektorin
Für den Betriebsrat für das Wissenschaftliche Universitätspersonal:
Ao. Univ.-Prof. Dr. Ingo Kropač; Vorsitzender
Für den Betriebsrat für das Allgemeine Universitätspersonal:
Regina Lammer, MSc; Vorsitzende