TU Graz/ TU Graz/ Services/ Bibliothek der TU Graz/

ORCID und Datenschutz

Von Michaela Zottler | 26.04.2023

ORCID vereinfacht die Verwaltung Ihrer Forschungsarbeit. Was aber geschieht mit den Daten, die Sie zu diesem Zweck auf der Plattform erfassen, und wie geht ORCID mit diesen um?

Welche Organisation steht hinter ORCID?

Bei ORCID handelt es sich um eine unabhängige Non-Profit-Organisation, deren Mitglieder sich aus Institutionen und Unternehmen aus dem Bereich der Forschung und der wissenschaftlichen Publikation zusammensetzen. Dazu gehören beispielsweise Universitäten, Bibliotheken, Forschungsförderer und Verlage – auf der ORCID-Website finden Sie eine Liste aller Mitglieder. Der Vorstand wird aus diesen Mitgliedern gewählt, wobei auf eine ausgeglichene Verteilung bezüglich der Fähigkeiten (Personen aus dem technischen, dem Finanz- und dem Managementbereich) und des Sektors (Universitäten, Fördergeber*innen, Regierungsinstitutionen, Verlage, usw.) geachtet wird. Die Mehrheit des Vorstands muss dabei aus Non-Profit-Organisationen stammen. Zusätzlich wählen die Mitglieder zwei Forschende in den Vorstand, die nicht zwingend einer Mitgliedsorganisation angehören müssen.

ORCID finanziert sich aus den Beiträgen der Mitgliedsorganisationen. Im Gegenzug erhalten die Mitglieder eine API, also eine Schnittstelle. Diese API wird eingesetzt, um ORCID mit anderen Systemen zu verbinden, wie beispielsweise mit dem CRIS einer Universität. Der Grund einer Mitgliedschaft liegt also darin, den Forschenden die Verwaltungstätigkeit ihrer Arbeit zu erleichtern.

Transparent, offen, nicht-proprietär: Die Werte von ORCID

ORCID ist international, interdisziplinär, transparent, offen und nicht-proprietär. Daher ist ORCID offen für alle Organisationen, für die Forschung und wissenschaftlicher Kommunikation von Interesse ist. Entscheidungen innerhalb von ORCID werden kollaborativ getroffen: Angestellte, der Vorstand, Mitglieder und Forschende bzw. die Forschungsgemeinschaft – als Betroffene von ORCIDs Entscheidungen – werden in den Prozess eingebunden.

Da es sich bei ORCID um eine unabhängige Non-Profit-Organisation handelt, stellen sie den Forschenden ihren Service kostenfrei zur Verfügung. Sie verkaufen keine Daten für werbliche Zwecke und generieren keine Werbeeinnahmen. Jegliche Software, die ORCID entwickelt, wird zudem unter einer Open-Source-Lizenz veröffentlicht.

Forschende kontrollieren ihre Daten selbst

Eine der wichtigsten Säulen, auf die sich die Arbeit von ORCID stützt, ist die Sicherung der Privatsphäre aller Nutzer*innen sowie die Kontrolle der Daten durch die Forschenden. Sie entscheiden daher selbst über die Sichtbarkeit aller Informationen, die Sie in ORCID erfassen. Die einzigen Informationen, die unter allen Umständen öffentlich sichtbar sind, sind Ihr Name und Ihre ORCID iD. Die Sichtbarkeit weiterer Informationen bestimmen Sie selbst. Dabei können Sie zwischen drei Möglichkeiten wählen: Ihre Daten werden öffentlich angezeigt (‚everyone‘), Ihre Daten sind nur für Sie sichtbar (‚only me‘) oder Sie erteilen den Zugriff auf Ihre Daten sogenannten ‚trusted parties‘.

In die ID selbst sind keine persönlichen Daten codiert. Damit ist die ID auch in Situationen nutzbar, in denen bei entsprechend eingestellter Sichtbarkeit keine Information über die Person hinter der ORCID geteilt werden soll. Ebenso enthält die ID keine Daten zum Arbeitsverhältnis, da ORCID als lebenslanger Identifier konzipiert wurde.

Trusted parties

Sie können Ihre Daten nicht nur ausschließlich für sich oder für die gesamte Öffentlichkeit freigeben, sondern auch sogenannten ‚trusted parties‘ den Zugriff auf die Daten in ihrem Profil gewähren. ‚Trusted parties‘ sind entweder einzelne Personen, denen Sie die Verwaltung ihres ORCID-Profils anvertrauen (sogenannte ‚trusted individuals‘, die alle Daten des Profils einsehen und ändern können), oder Organisationen, die Mitglieder von ORCID sind (sogenannte ‚trusted organizations‘). Solchen Organisationen können Sie unterschiedliche Rechte einräumen. Sie können ihnen erlauben, ausschließlich Ihre ORCID iD zu speichern und in deren Arbeitsabläufen zu verwenden, Ihre Daten zu lesen oder Daten in Ihrem Profil zu aktualisieren oder zu Ihrem Profil hinzuzufügen. Jedem einzelnen Datensatz in Ihrem Profil können Sie dabei den Status ‚everyone‘, ‚only me‘ oder ‚trusted parties‘ separat zuordnen.

Die Erlaubnis, Ihre ID zu verwenden oder Daten zu lesen bzw. zu aktualisieren, können Sie jederzeit widerrufen. Wenn Sie der betreffenden Organisation oder Person den Status ‚trusted party‘ entziehen, kann diese nur mehr öffentliche Daten und Daten, die sie selbst hinzugefügt hat, einsehen. Das Hinzufügen, Ändern oder Löschen der Daten ist der ‚trusted party‘ nicht mehr möglich.

Datenschutz und Privatsphäre bei ORCID

Datenschutz und die Kontrolle der Daten durch die Forschenden sind in den Statuten von ORCID verankert. In der Datenschutzbestimmung agiert ORCID transparent und adressiert unterschiedliche Aspekte des Datenschutzes. Darunter fallen auch die Implementierung der europäischen Datenschutzgrundverordnung und die Zertifizierung der Datenschutzbestimmung durch Dritte (via TrustArc). Diese Zertifizierung garantiert, dass die Bestimmungen die EU-US Privacy-Shield-Kriterien erfüllen. Zusätzlich unterzieht sich ORCID jährlich einem Audit durch Dritte, um zu gewährleisten, dass die Datenschutzbestimmung den aktuellen Gesetzen entspricht.

Die Deutsche Forschungsgemeinschaft (DFG) gab 2017 ein nun öffentlich zugängliches, datenschutzrechtliches Gutachten zu ORCID in Auftrag. In diesem Gutachten wurden einerseits Nutzer*innen-Szenarien untersucht und andererseits relevante Überlegungen vor dem Hintergrund der europäischen Datenschutzgrundverordnung angestellt. Die Gutachterin – die Anwaltskanzlei iRights.Law – kam dabei zum Ergebnis, dass ORCID aus datenschutzrechtlicher Sicht unbedenklich ist:

„Die datenschutzrechtliche Begutachtung von ORCID hat keine gravierenden Mängel feststellen können. Im Gegenteil, das System unterstützt mit seinen Privacy-Funktionalitäten die Nutzerinnen und Nutzer bei der Ausübung ihres Rechts auf informationelle Selbstbestimmung und hat diesbezüglich stellenweise durchaus Vorbildcharakter. Durch die Konzipierung als nutzerkontrolliertes Identitätsmanagementsystem können die Nutzer des Portals jederzeit einsehen und kontrollieren, welche Daten wie auf der Plattform verarbeitet werden und wer wann auf die Daten Zugriff hat.“

Datenspeicherung und Verschlüsselung

Die sichere Speicherung und Verschlüsselung Ihrer Daten ist für ORCID ein weiterer relevanter Aspekt im Datenschutz. Alle Systeme von ORCID sind durch lokale und Netzwerk-Firewalls geschützt. ORCID nutzt Cloud-Dienstleister wie Rackspace und AWS, auf deren Servern Ihre Daten gespeichert werden. Diese werden jährlich einer Prüfung unterzogen, um sicherzustellen, dass sie den ORCID-eigenen und internationalen Datenschutzbestimmungen gerecht werden.

ORCID verwendet auf verschiedenen Ebenen Verschlüsselungen. Sowohl Datenübertragungen als auch Daten ‚at rest‘ auf Servern werden verschlüsselt. Auf der Website verwendet ORCID SSL (Secure Sockets Layer) zur Verschlüsselung von Seiten, auf denen Sie sich einloggen oder registrieren können.

Fazit

Die Kontrolle der Daten durch die Forschenden, eine transparente Datenschutzbestimmung und die technische Sicherung durch adäquate Datenspeicherung und Verschlüsselung machen ORCID zu einer vertrauensvollen Instanz in der Verwaltung ihrer Publikationen.

Wenn Sie wissen möchten, welche praktischen Vorteile ORCID für Ihre Forschungsarbeit bietet, empfehlen wir Ihnen unseren Blogbeitrag ORCID – Was Sie schon immer über die ID für Forschende wissen wollten.

Links

ORCID-Datenschutzbestimmungen
Datenschutzrechtliches Gutachten der Deutschen Forschungsgemeinschaft (DFG)
ORCID-Mitgliederliste
ORCID-Vorstand

Michaela Zottler ist Bibliothekarin an der TU Graz. Sie unterstützt Forschende und Studierende bei Literaturrecherchen und Fragen zu wissenschaftlichen Publikationen.
Beitrag teilen auf
Zur Blog Startseite