Datenschutzrechtliches Gutachten zu ORCID in Deutschland veröffentlicht

Paul Vierkant Blog 13 Comments

Bei der Implementierung von ORCID an wissenschaftlichen Einrichtungen treten immer mal wieder datenschutzrechtliche Fragen auf. Vor diesem Hintergrund wurde im durch die Deutsche Forschungsgemeinschaft geförderten Projekt ORCID DE ein Gutachten in Auftrag gebeben, dass sich mit diesem Themenfeld befasst. Die auf digitale Medien spezialisierte Anwaltskanzlei iRights.Law erstellte das Gutachten mit dem Titel „ORCID aus datenschutzrechtlicher Sicht.“ Das Gutachten wurde jetzt veröffentlicht und kann unter dem DOI: http://doi.org/10.2312/lis.17.02 abgerufen werden.
Das Gutachten beschreibt ausgehend von einer datenschutzrechtlichen Betrachtung von ORCID und anhand typischer Anwendungsszenarien, die relevanten rechtlichen Erwägungen bei der Bewertung des Identifiers und analysiert ORCID hinsichtlich unterschiedlicher Nutzungsszenarien unter datenschutzrechtlicher Gesichtspunkten.

Im Fazit des Gutachten heisst es:

„Die datenschutzrechtliche Begutachtung von ORCID hat keine gravierenden Mängel feststellen können. Im Gegenteil, das System unterstützt mit seinen Privacy-Funktionalitäten die Nutzerinnen und Nutzer bei der Ausübung ihres Rechts auf informationelle Selbstbestimmung und hat diesbezüglich stellenweise durchaus Vorbildcharakter. Durch die Konzipierung als Nutzerkontrolliertes Identitätsmanagementsystem können die Nutzer des Portals jederzeit einsehen und kontrollieren, welche Daten wie auf der Plattform verarbeitet werden und wer, wann auf die Daten Zugriff hat. Auch wenn die Prüfung der technischen Implementierungsdetails auf der Ebene des Programmcodes nicht Gegenstand dieser Untersuchung sein konnten, ist auch festzustellen, dass die Tatsache, dass das System als offene Software umgesetzt wurde, zusätzliches Vertrauen bilden kann. Ebenso ist die Tatsache, dass für den Betrieb ein Konsortium gewählt wurde, das sich aus verschiedenen Stakeholdern zusammen setzt und das Konsortium keine Gewinnerzielungsabsicht hat, ein weiterer Vertrauensanker.“

Das Gutachten gibt darüber hinaus mit Blick auf die aktuelle deutsche Rechtslage und die ab Mai 2018 in Kraft tretende europäische Datenschutzgrundverordnung (DSGVO) Empfehlungen für die Implementierung von ORCID an wissenschaftlichen Einrichtungen sowie für die Weiterentwicklung der Privacy-Policy von ORCID. Das Gutachten als Ganzes und die Empfehlungen im Speziellen sollen im Rahmen des ORCID DE Projekts gemeinsam mit ORCID erörtert werden.

Comments 13

  1. Melanie Klöß

    Guten Tag,
    die DOI führt leider ins Leere „Das Item mit dem Identifikator escidoc:2263903 konnte nicht gefunden werden.“
    Mit freundlichem Gruß,
    M.Klöß

    1. Post
      Author
      Paul Vierkant

      Hallo Frau Klöß,

      vielen Dank für den Hinweis, wir arbeiten daran.

      Viele Grüße,

      Paul Vierkant

    2. Post
      Author
      Paul Vierkant

      Hallo Frau Klöß,

      der Dienst läuft wieder und der Download sollte nun möglich sein.

      Viele Grüße

      Paul Vierkant

        1. Post
          Author
          1. Post
            Author
  2. Pingback: Was ist das Besondere bei der Authentifizierung? - ORCID DE

  3. Pingback: ORCID und Datenschutz in Deutschland - ORCID DE

  4. Prof. Andreas Greiner

    So lange Sie, wie im § 7.4 Ihrer Privacy Policy beschrieben: „7.4 Government Data Requests
    If we are required by law, public safety or public policy, or we are served with a warrant, court order, or subpoena, we may provide your information, including Trusted and Only Me data to regulators, enforcement agents, courts and/or other government entities. To protect the privacy interests of our users, ORCID will provide only such data as we deem necessary in the situation. To the extent allowed, we will promptly provide information about any government data requests received and accounts affected to the relevant Record Holders.“ sich vorbehalten Regierungsbehörden Informationen weiterzugeben ist Orcid leider inakzeptable. Sie haben weder spezifiziert welche Regierungen eigentlich gemeint sind (USA, Deutschland, Nordkorea, China, Iran?) und nach welchen Kriterien Sie als private Firma entscheiden, welche Informationen Sie weitergeben. ICh möchte z. B. nicht, dass z. B. an eine US Behörde weiteregegeben wird, wenn ich mit iranischen Wissenschaftlern zusammenarbeite und ich dann demnächst bei der Immigration dazu befragt werde. Leider schließt Ihr Privacy Policy derartige Datenverknüpfungen nicht aus. Dies ist keinesfalls eine konstruierte Situation. Ich wundere mich sehr, dass viele Kollegen und Kolleginnen dies unkritisch hinnehmen. Ich wundere ich auch sehr, dass die Gutachter der DFG dies nicht bemängelt haben. Sehr schade, dass könnte man besser machen und so mehr Vertrauen gewinnen.

    1. Heinz Pampel

      Vielen Dank für Ihren Kommentar. Bitte beachten Sie, dass wir als Projekt nicht für ORCID sprechen können.

      Bei direkten Anregungen zu ORCID empfiehlt sich die Kontaktaufnahme mit ORCID über das

      ORCID Support Center

      https://support.orcid.org/forums/175591

      oder über

      das Kontaktformular auf der ORCID Webseite:

      https://orcid.org/help/contact-us

      Beste Grüße aus dem ORCID-DE-Projekt

      Heinz Pampel

  5. Robert Huber

    Liebe Kollegen,

    leider wird in dem Gutachten nicht auf die Praxis von ORCID eingegangen jährlich sogenannte ‚ORCID Public Data Files‘ an Figshare weiterzureichen. Durch diese Praxis sind alle Änderungen, die ich als Nutzer in meine ‚privacy settings‘ vornehme: Makulatur. Da jederzeit auf die archivierten, älteren, Versionen meiner Daten – von Jederfrau/mann – zurückgegriffen werden kann.

    Insofern ist die Einschätzung der Umgang von ORCID mit personenbezogenen Daten wäre DSVGO/GDPR- konform wohl nicht ganz richtig, denn so wird mein „Recht auf Vergessenwerden“ gem Art. 17 komplett ausgehebelt.

    Im übrigen finde ich Euren Umgang mit der berechtigten Kritik von Prof. Greiner nicht ganz korrekt. Statt in der Antwort auf ein Formular von ORCID zu verweisen, sehe ich da doch eher Euch (ORCID-DE) in der Pflicht, diese Einwände zu sammeln und and die ‚Zentrale‘ zu vermitteln.

    beste Grüße,
    Robert

    1. Post
      Author
      Paul Vierkant

      Vielen Dank für Ihren Hinweis, den wir, wie auch den Hinweis von Prof. Greiner direkt an ORCID Inc. weitergeleitet haben.

      Das Gutachten nimmt unter Punkt 3.c (Seite 19) auf die „Public Data File“ Bezug. Darüber hinaus wird bereits bei der Registrierung abgefragt, ob die Daten der Nutzerin / des Nutzers public, also im Verzeichnis öffentlich sichtbar und somit in der „Public Data File“ ebenfalls sichtbar sein sollen. Einen expliziten Hinweis dazu gibt es ebenfalls in den Nutzungsbedingungen (siehe Punkt 4), die im Rahmen der Registrierung von den Nutzer*innen akzeptiert werden müssen, so sie eine ORCID iD haben wollen.
      Daten meint in diesem Kontext alle von den Nutzer*innen freiwillig, eigenverantwortlich und selbständig auf die Sichtbarkeitseinstellung „öffentlich“ in ORCID eingestellten Daten, die, wie z. B. Metadaten zu wissenschaftlichen Publikationen, ohnehin in diversen Datenbanken weltweit (mitunter bereits unter CC0) frei verfügbar sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.