Datenschutzerklärung.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

E-Mail

kontakt@bibliocertus.de

USt-IdNr.

DE 364 785 216 (§ 27a UStG)

Es handelt sich um ein Einzelunternehmen; eine Eintragung im Handelsregister besteht nicht. Der Inhaber vertritt das Unternehmen selbst.

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht benannt. Für alle Anliegen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Adresse.

2. Zuständige Aufsichtsbehörde

Sie haben unbeschadet anderer Rechtsbehelfe das Recht auf Beschwerde bei einer Aufsichtsbehörde.

3. Allgemeines, Rechtsgrundlagen und Begriffe

Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang und auf Grundlage der DSGVO, des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Die in dieser Erklärung genannten Rechtsgrundlagen bedeuten:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen nach Abwägung
• § 25 TDDDG — Speicherung von und Zugriff auf Informationen in Endeinrichtungen (Cookies)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Betroffene Personen im Sinne dieser Erklärung sind insbesondere Besucherinnen und Besucher der Website, Bewerberinnen und Bewerber für die Pilotphase sowie registrierte Nutzerinnen und Nutzer (Lehrende und Prüfende).

4. Rechte der betroffenen Personen

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO; siehe Abschnitt 2)

Zur Ausübung genügt eine formlose Nachricht an kontakt@bibliocertus.de.

Hinweis zum Widerspruchsrecht: Soweit wir Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.

5. Bereitstellung der Website und Server-Logfiles

Beim Aufruf der Website werden durch den eingesetzten Webserver (Caddy) automatisch Informationen in Server-Logfiles gespeichert, die Ihr Browser übermittelt. Dies sind:

• IP-Adresse der anfragenden Endeinrichtung
• Datum und Uhrzeit des Zugriffs
• aufgerufener Pfad / Name der abgerufenen Datei
• HTTP-Statuscode
• übertragene Datenmenge
• User-Agent (Browser-/Geräte-Kennung)
• Referrer (zuvor besuchte Seite), sofern übermittelt

Diese Verarbeitung ist zur technischen Auslieferung, zur Gewährleistung von Stabilität und Sicherheit sowie zur Abwehr von Angriffen erforderlich.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb)

Speicherdauer

Logfiles werden regelmäßig rotiert und spätestens nach 90 Tagen gelöscht

IT-Sicherheit (fail2ban)

Zum Schutz vor automatisierten Angriffen und unberechtigten Zugriffsversuchen setzen wir den Dienst fail2ban ein. Dieser wertet die Server-Logfiles aus und sperrt auffällige IP-Adressen vorübergehend.

Verarbeitete Daten

IP-Adresse, Zugriffsmuster

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)

6. Hosting

Die Website und die zugehörigen Dienste werden bei einem externen Dienstleister (Auftragsverarbeiter) gehostet:

Die Verarbeitung erfolgt ausschließlich in Rechenzentren in Deutschland. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Hetzner stellt zudem das E-Mail-Postfach sowie die Server-Backups bereit. Datenschutzhinweise: hetzner.com/de/rechtliches/datenschutz

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, leistungsfähigen Bereitstellung)

7. Cookies

BiblioCertus setzt ausschließlich technisch notwendige Cookies. Es werden keine Cookies zu Analyse-, Tracking- oder Marketingzwecken verwendet. Es ist daher keine Einwilligung (kein Cookie-Banner) erforderlich.

Im Einzelnen:

Rechtsgrundlage Speicherung/Zugriff

§ 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den ausdrücklich gewünschten Dienst)

Rechtsgrundlage Verarbeitung

Art. 6 Abs. 1 lit. f DSGVO (Funktionsfähigkeit und Sicherheit)

8. Kontaktaufnahme und Bewerbung für die Pilotphase

8.1 Kontakt per E-Mail

Wenn Sie uns per E-Mail (kontakt@bibliocertus.de) kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung von Anliegen)

Speicherdauer

bis zur abschließenden Bearbeitung Ihres Anliegens, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen

8.2 Anmeldeformular für die kostenlose Pilotphase (bibliocertus.de)

Über das Formular auf bibliocertus.de können sich Lehrende für die kostenlose Pilotphase bewerben. Verarbeitet werden die von Ihnen eingegebenen Angaben:

Vorname, Nachname, E-Mail-Adresse, Hochschule, Rolle, Fachbereich sowie Ihre Angaben zum geplanten Anwendungsfall.

So werden die Daten technisch verarbeitet (transparent)

• Das Formular speichert keine Daten in einer Datenbank. Ihre Eingaben werden nur während der Übermittlung im Arbeitsspeicher verarbeitet.
• Es werden zwei E-Mails versendet: eine Benachrichtigung an den Verantwortlichen (kontakt@bibliocertus.de) sowie eine Bestätigung an die von Ihnen angegebene E-Mail-Adresse. Ihre Bewerbung liegt damit als E-Mail im Postfach des Verantwortlichen (bei Hetzner) vor.
• Zum Schutz vor automatisiertem Missbrauch (Spam) verwenden wir technische Maßnahmen ohne Personenbezug: unsichtbare „Honeypot"-Felder, eine Zeitprüfung sowie eine kurzzeitige Rate-Begrenzung. Dabei wird im Fehlerprotokoll des Servers ausschließlich eine anonymisierte IP-Adresse (z. B. 203.0.113.0/24) gespeichert; Name oder E-Mail werden hierbei nicht protokolliert. Die Rate-Begrenzung speichert lediglich kurzlebige Zeitstempel ohne Personenbezug (Löschung nach 10 Minuten).

Rechtsgrundlagen und Speicherdauer

Bewerbungsdaten

Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über die Pflicht-Checkbox) sowie Art. 6 Abs. 1 lit. b DSGVO (Durchführung der vorvertraglichen Pilot-Teilnahme)

Spam-Schutz

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr automatisierter Eingaben)

Speicherdauer

für die Dauer der Pilotphase, längstens 12 Monate ab Eingang, danach Löschung. Endet die Pilotphase früher, erfolgt die Löschung spätestens mit deren Abschluss.

Ihre Einwilligung können Sie jederzeit für die Zukunft widerrufen (E-Mail an kontakt@bibliocertus.de).

9. Nutzerkonten (Lehrende und Prüfende)

Für die Nutzung der Anwendung ist ein Nutzerkonto erforderlich. Hierbei verarbeiten wir:

• E-Mail-Adresse und Name
• Passwort (ausschließlich als kryptografischer Hash gespeichert, niemals im Klartext)
• Einstellungen zur Zwei-Faktor-Authentifizierung (2FA)
• Zuordnung zur jeweiligen Hochschule/Einrichtung

Zweck

Bereitstellung, Absicherung und Verwaltung des Nutzerkontos

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis) sowie Art. 6 Abs. 1 lit. f DSGVO (Kontosicherheit)

Speicherdauer

bis zur Löschung des Kontos

Passwort-Sicherheitsprüfung

Beim Festlegen oder Ändern eines Passworts prüfen wir, ob das gewählte Passwort in bekannten Datenlecks aufgetaucht ist. Hierfür wird ein Verfahren der „k-Anonymität" genutzt: An den Dienst „Have I Been Pwned" (api.pwnedpasswords.com) werden nur die ersten fünf Zeichen eines Hashwerts Ihres Passworts übermittelt — niemals das Passwort selbst und keine personenbezogenen Daten. Ein Personenbezug entsteht dabei nicht.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kontosicherheit)

10. Kernfunktion: Prüfung von Literaturangaben

Die Anwendung prüft, ob die in einem Literaturverzeichnis angegebenen Quellen tatsächlich existieren und korrekt zitiert sind.

Wichtiger Hinweis zu hochgeladenen Inhalten: Es dürfen ausschließlich Literaturverzeichnisse bzw. Literaturangaben hochgeladen werden — keine personenbezogenen Daten von Studierenden (insbesondere keine Namen, Matrikelnummern oder sonstigen Angaben zur Person). Die Anwendung ist für die Verarbeitung von Werk-Angaben (Titel, Autorenschaft, Jahr, DOI o. ä.) bestimmt; diese Werk-Metadaten sind in der Regel keine personenbezogenen Daten.

Zur Prüfung werden die Werk-Angaben mit bibliografischen Katalogen und Fachdatenbanken abgeglichen. Empfänger dieser Werk-Angaben (nicht personenbezogen) sind u. a.:

• Deutsche Nationalbibliothek (DNB), K10plus, Deutsche Digitale Bibliothek, DataCite, lobid (hbz), SSOAR (GESIS), dblp, OpenAIRE, DOAB — Sitz in Deutschland/EU
• Europe PMC (EMBL-EBI) — Sitz Vereinigtes Königreich (Angemessenheitsbeschluss der EU-Kommission)
• CrossRef und OpenAlex — Sitz USA. Übermittelt werden ausschließlich Werk-Metadaten; personenbezogene Daten werden nicht in Drittländer übermittelt.

Lokale KI-Bewertung

Die Bewertung der Treffer erfolgt durch ein lokal auf unserem Server betriebenes KI-Modell. Hierbei werden keine Daten an externe KI-Dienste übermittelt.

Optionale Web-Suche

Auf ausdrückliche Anforderung („Mit Web-Suche prüfen") wird eine zusätzliche Web-Recherche zu einer Quelle durchgeführt. Hierfür wird die Suchanfrage (Werk-Angaben) an den Dienst Linkup übermittelt:

Mit Linkup besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO einschließlich einer Vereinbarung zur Nichtspeicherung der Daten („Zero Data Retention"); die Anfrage wird nur im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert. Datenschutzhinweise: linkup.so

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Erbringung der Prüfleistung) sowie Art. 6 Abs. 1 lit. f DSGVO (Funktionsfähigkeit)

Speicherdauer

Hochgeladene Verzeichnisse und Prüfergebnisse werden nach 30 Tagen automatisch gelöscht. Protokolldaten zur Nachvollziehbarkeit (Audit-Log) werden bis zu 12 Monate gespeichert.

11. E-Mail-Benachrichtigungen

Auf Wunsch informieren wir Sie per E-Mail über den Abschluss einer Prüfung sowie über sicherheitsrelevante Vorgänge (z. B. Passwort-Zurücksetzung). Der Versand erfolgt über den Mailserver des Hosters (Hetzner, siehe Abschnitt 6).

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO

12. Verarbeitung im Auftrag von Hochschulen

Soweit BiblioCertus von einer Hochschule im Rahmen eines Lizenzvertrags eingesetzt wird, handelt der Anbieter insoweit als Auftragsverarbeiter nach Art. 28 DSGVO; datenschutzrechtlich Verantwortliche ist in diesem Fall die jeweilige Hochschule. Für diese Verarbeitung gelten der mit der Hochschule geschlossene Auftragsverarbeitungsvertrag und die Datenschutzinformationen der Hochschule. Die vorliegende Erklärung betrifft die Verarbeitungen, für die der oben genannte Verantwortliche selbst verantwortlich ist.

13. Soziale Medien

Ein Unternehmensauftritt (Unternehmensseite) auf sozialen Netzwerken besteht derzeit nicht. Beiträge zu BiblioCertus werden über das persönliche Profil des Inhabers bei LinkedIn veröffentlicht. Besuchen Sie ein LinkedIn-Profil oder interagieren Sie dort, verarbeitet die LinkedIn Ireland Unlimited Company in eigener Verantwortung personenbezogene Daten nach ihren eigenen Bestimmungen: de.linkedin.com/legal/privacy-policy

14. Datensicherheit (technische und organisatorische Maßnahmen)

Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:

• durchgehende Transportverschlüsselung (TLS/HTTPS), HSTS
• strenge Content-Security-Policy, Schutz gegen Clickjacking (X-Frame-Options), nosniff, restriktive Permissions-Policy
• Schutz vor automatisierten Angriffen (fail2ban)
• Speicherung von Passwörtern ausschließlich als Hash; optionale Zwei-Faktor-Authentifizierung
• lokal betriebene KI-Auswertung ohne Drittland-KI-Dienst
• regelmäßige, beim Hoster (Hetzner, Deutschland) gespeicherte Datensicherungen

15. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig (Stand siehe unten). Durch Weiterentwicklung der Website oder geänderte rechtliche Vorgaben kann es notwendig werden, sie anzupassen. Die jeweils aktuelle Fassung kann jederzeit auf dieser Seite abgerufen werden.