Datenschutzrecht
Datenschutz fällt nur für Forschungsdaten an, sofern Informationen, welche sich auf identifizierbare…
Daten sicher senden
In der wissenschaftlichen Forschung wird teilweise mit Daten gearbeitet, die einen besonderen Schutzbedarf aufweisen. Dafür gibt es unterschiedliche Gründe: beispielsweise der Personenbezug der Daten, ethische Aspekte, oder die wirtschaftliche Relevanz. Manche Forschungsvorhaben erfordern einen Datentransport zwischen Kooperationspartnern oder zwischen dem Entstehungsort und dem Ort, an dem die Auswertung der Daten erfolgt. Dieser Datentransfer muss besonders abgesichert werden, um den Schutz der Daten auf dem Transportweg zu gewährleisten. Die wichtigsten Informationen zum sicheren Übertragen von Daten sind in diesem Beitrag zusammen gefasst.
In einem Forschungsprojekt werden vom Aussterben bedrohte Nashörner mit Sendern ausgestattet, um ihre Bewegungsmuster auszuwerten. Wilderinnen und Wilderer, die die Nashörner jagen, um illegal ihre Hörner zu verkaufen, sind mit diesen Bewegungsdaten in der Lage, Nashörner gezielt zu finden und zu erlegen. Aus diesem Grund wird im Forschungsprojekt besondere Sorgfalt bei der Aufbewahrung und der Übertragung der Daten aufgewendet.
Für ein medizinisches Verbundprojekt wird ermittelt, mit welcher Wahrscheinlichkeit die Teilnehmenden innerhalb der nächsten 10 Jahre an Krebs erkranken werden. Dazu wird ihnen eine Reihe medizinischer Tests durchgeführt. Würden Unbefugte Zugriff auf die Daten erhalten, ist eine Benachteiligung der Teilnehmenden, etwa bei der Jobsuche oder in der medizinischen Behandlung, zu befürchten.
Eine Arbeitsgruppe der Friedens- und Konfliktforschung erforscht die Reaktionen der Bevölkerung in einem außereuropäischen Krisengebiet auf den Umgang der lokalen Politik mit einer bestimmten Minderheit. Da die lokale Regierung auch vor repressiven Maßnahmen nicht zurückschreckt, ist ein sorgfältiger Schutz der erhobenen Daten von zum Teil lebenswichtiger Bedeutung für die Interviewpartnerinnen und Interviewpartner
In einer Dissertation werden neuartige Werkstoffe in einer Kooperation mit einem Industriepartner entwickelt. Der Industriepartner erwartet erhebliche Einnahmen durch die neuen Werkstoffe und möchte ein Patent dafür beantragen. Damit die Erfindung nicht bereits im Vorfeld von konkurrierenden Firmen abgefangen wird, hat sich der Industriepartner vertraglich zusichern lassen, dass die Forschungsdaten aus der Dissertation nur in einer sicheren Infrastruktur verarbeitet und übertragen werden.
Mit einem Forschungsprojekt in einem aktuell stark beforschten Thema zu einer kürzlich entdeckten chemischen Kupplungsreaktion möchte sich eine Person auf einer Juniorprofessur profilieren. Nicht nur ist das Thema geeignet, der eigenen Karriere einen gehörigen Schub zu verpassen, sondern es bietet auch genügend Ansatzpunkte für zahlreiche Folgeprojekte in der sich schnell vergrößernden Nachwuchsgruppe. Um das weitere Potential der eigenen Forschungsergebnisse selbst nutzen zu können, werden noch nicht veröffentlichte Daten in der Nachwuchsgruppe besonders geschützt und ausschließlich über gesicherte Datenübertragungswege mit ausgewählten Kooperationspartnerinnen und -partnern geteilt.
Einen sicheren Workflow zum Transferieren der Daten im Forschungsprojekt aufzusetzen, hängt von zahlreichen Rahmenbedingungen ab. Darunter fallen die vorhandene Infrastruktur an der eigenen Einrichtung, die Höhe des Schutzbedarfs der Daten, die Beschaffenheit des Ursprungs- und Zielortes (u. a. auf der anderen Seite vorhandene Infrastruktur), sowie Frequenz und Umfang des Datentransfers. Aufgrund dieser spezifischen Rahmenbedingungen für jedes Vorhaben ist die erste Anlaufstelle immer die zuständigen Kolleginnen und Kollegen der eigenen Institution, die mit Ihnen individuelle Lösungen erarbeiten. Darunter fallen je nach spezifischer Thematik der/die Datenschutzbeauftragte, der/die IT-Sicherheitsbeauftragte und das lokale Forschungsdatenmanagement-Team.
Im Folgenden werden einige mögliche Komponenten eines sicheren Datentransfer-Workflows vorgestellt. Die einzelnen Komponenten allein bieten keinen ausreichenden Schutz für die Daten: Es ist jeweils der gesamte Informationsverbund zu bedenken und abzusichern. Dieser setzt sich aus den infrastrukturellen, organisatorischen, personellen und technischen Komponenten der Datenverarbeitung zusammen. Der Datentransfer-Workflow umfasst alle Komponenten im Zusammenhang mit der Datenverarbeitung, dazu gehören beispielsweise die Speicherorte, auf denen die Daten liegen, die Übertragungswege, über die sie transportiert werden und die Personen, die dafür verantwortlich sind. In Absprache mit den lokalen Ansprechpersonen ist die folgende Vorgehensweise zu empfehlen:
Ein wesentlicher Aspekt des sicheren Transferierens von Daten besteht im Schutz von Dateien, Ordnern oder Laufwerken. Dieser lässt sich durch Verschlüsselung bewerkstelligen. Hierbei wird eine Zeichenfolge („Klartext“ genannt) so in eine zufällige Zeichenfolge (als „Geheimtext“ bezeichnet) umgewandelt, dass sich die ursprüngliche Zeichenfolge nur mittels eines Schlüssels wiederherstellen lässt. Als Schlüssel dienen meist zufällige Zeichenfolgen fester Länge, die in der Regel durch Algorithmen auf Grundlage eines von den Benutzenden gewählten Passworts oder einer Passphrase errechnet werden. Für die Verschlüsselung stehen spezielle Programme zur Verfügung (siehe z. B. diese Liste des UK Data Archive). Besondere Sorgfalt erfordert die Verwaltung von Passwörtern, die weder verloren gehen noch in die Hände von Unbefugten geraten dürfen. Passwortverwaltung ist ein zentraler Aspekt in Datenmanagementplänen.
Sofern der Zugriff auf gemeinsam genutzte Daten lediglich innerhalb des eigenen Hochschulnetzes erfolgen soll, bieten sich Netzlaufwerke an, die kollaboratives Arbeiten unterstützen. Zugriff von außerhalb, z. B. aus dem Homeoffice, kann dabei via VPN abgesichert werden. Bei Daten mit sehr hohem Schutzbedarf sollte außerdem mit Cryptocontainern gearbeitet werden. In besonders sensiblen Fällen kann es sogar geboten sein, auf eine Datenübertragung gänzlich zu verzichten und die Daten lediglich auf einem lokalen Rechner ohne Netzanschluss zu nutzen.
Sollen Daten mit Forschenden außerhalb der eigenen Institution geteilt werden, stehen mehrere Möglichkeiten zur Verfügung. Welche davon jeweils im konkreten Fall möglich und empfehlenswert ist, sollte genau geprüft werden.
Hinweis: Es handelt sich um Empfehlungen, die Sie in der folgenden Tabelle finden. Insbesondere bei der Übertragung von Daten mit sehr hohem Schutzbedarf sollte immer vorher Beratung an Ihrer Einrichtung in Anspruch genommen werden.
Wichtig ist, dass die Informationen darüber, wie die Sicherheit beim Senden der Daten gewährt wurde, dokumentiert werden. Dies garantiert, dass im Bedarfsfall hierauf zurückgegriffen werden kann und jeder Schritt nachvollziehbar ist. Die Dokumentation sollte bevorzugt im Verzeichnis von Verarbeitungstätigkeiten (VVT) erfolgen. Ein Verweis aus dem Datenmanagementplan heraus auf die Dokumentation im VVT ist sinnvoll. Besonderheiten bei der Datenerhebung im Ausland – sofern dort nicht die DSGVO gilt – sind beim Datenschutzbeauftragten zu erfragen.