ORCID vereinfacht die Verwaltung Ihrer Forschungsergebnisse. Was aber geschieht mit den Daten, die Sie zu diesem Zweck auf der Plattform erfassen, und wie geht ORCID mit diesen um? In diesem Blogbeitrag widmen wir uns der Organisation, die hinter ORCID steht, und klären alle Fragen zum Thema ORCID und Datenschutz.
Welche Organisation steht hinter ORCID?
Bei ORCID handelt es sich um eine unabhängige Non-Profit-Organisation, deren Mitglieder sich aus Institutionen und Unternehmen aus dem Bereich der Forschung und des wissenschaftlichen Publizierens zusammensetzen. Dazu gehören beispielsweise Universitäten, Bibliotheken, Forschungsförderer und Verlage – auf der ORCID-Website finden Sie eine Liste aller Mitglieder. Der Vorstand wird aus diesen Mitgliedern gewählt. Dabei wird darauf geachtet, Personen aus unterschiedlichen Institutionen (wie Universitäten, Fördergebern, Regierungsinstitutionen, Verlagen, usw.) und unterschiedlichen Aufgabenbereichen (Personen aus dem technischen, dem Finanz- und dem Managementbereich) zu wählen. Die Mehrheit des Vorstands muss dabei aus Non-Profit-Organisationen stammen. Zusätzlich wählen die Mitglieder zwei Forschende in den Vorstand, die nicht zwingend einer Mitgliedsorganisation angehören müssen.
ORCID finanziert sich aus den Beiträgen der Mitgliedsorganisationen. Im Gegenzug erhalten die Mitglieder eine API, also eine Schnittstelle. Diese API wird eingesetzt, um ORCID mit anderen Systemen zu verbinden, wie beispielsweise mit dem CRIS (Current Research Information Systems) einer Universität. Organisationen werden also aus dem Grund Mitglied bei ORCID, um Forschenden die Verwaltungstätigkeit ihrer Arbeit zu erleichtern.
Transparent, offen, nicht-proprietär: Die Werte von ORCID
ORCID beschreibt sich selbst als international, interdisziplinär, transparent, offen und nicht-proprietär. Daher können alle Organisationen, für die Forschung und wissenschaftliche Kommunikation von Interesse ist, ORCID beitreten. Bei Entscheidungen innerhalb von ORCID wird die Forschungsgemeinschaft – als Betroffene von ORCIDs Entscheidungen – in den Prozess eingebunden.
Da es sich bei ORCID um eine unabhängige Non-Profit-Organisation handelt, stellt sie den Forschenden ihren Service kostenfrei zur Verfügung. Sie verkauft keine Daten an Dritte und generiert keine Werbeeinnahmen. Jegliche Software, die ORCID entwickelt, wird zudem unter einer Open-Source-Lizenz veröffentlicht.
Forschende kontrollieren ihre Daten selbst
Eine der wichtigsten Säulen, auf die sich die Arbeit von ORCID stützt, ist die Sicherung der Privatsphäre aller Nutzerinnen und Nutzer sowie die Kontrolle der Daten durch die Forschenden. Sie entscheiden daher selbst über die Sichtbarkeit aller Informationen, die Sie in ORCID erfassen. Die einzigen Daten, die jederzeit öffentlich einsehbar sind, sind Ihr Name und Ihre ORCID-iD. Die Sichtbarkeit weiterer Einträge bestimmen Sie selbst. In die ID selbst sind keine persönlichen Daten codiert. Damit ist die ID auch in Situationen nutzbar, in denen bei entsprechend eingestellter Sichtbarkeit keine Information über die Person hinter der ORCID geteilt werden soll. Ebenso enthält die ID keine Daten zum Arbeitsverhältnis, da ORCID als lebenslanger Identifier konzipiert wurde.
Bei der Sichtbarkeit können Sie zwischen drei verschiedenen Möglichkeiten wählen: Ihre Daten werden öffentlich angezeigt (‚everyone‘), Ihre Daten sind nur für Sie sichtbar (‚only me‘) oder Sie erteilen den Zugriff auf Ihre Daten sogenannten ‚trusted parties‘.
Trusted parties
Sie können Ihre Daten nicht nur ausschließlich für sich oder für die gesamte Öffentlichkeit freigeben, sondern auch sogenannten ‚trusted parties‘ den Zugriff auf die Daten in ihrem Profil gewähren. ‚Trusted parties‘ sind entweder einzelne Personen, denen Sie die Verwaltung ihres ORCID-Profils anvertrauen (sogenannte ‚trusted individuals‘, die alle Daten des Profils einsehen und ändern können), oder Organisationen, die Mitglieder von ORCID sind (sogenannte ‚trusted organizations‘). Solchen Organisationen können Sie unterschiedliche Rechte einräumen. Sie können ihnen erlauben, ausschließlich Ihre ORCID-iD zu speichern und in deren Arbeitsabläufen zu verwenden, Ihre Daten zu lesen oder Daten in Ihrem Profil zu aktualisieren oder zu Ihrem Profil hinzuzufügen. Jedem einzelnen Datensatz in Ihrem Profil können Sie dabei den Status ‚everyone‘, ‚only me‘ oder ‚trusted parties‘ separat zuordnen.
Die Erlaubnis, Ihre ID zu verwenden oder Daten zu lesen bzw. zu aktualisieren, können Sie jederzeit widerrufen. Wenn Sie der betreffenden Organisation oder Person den Status ‚trusted party‘ entziehen, kann diese nur mehr öffentliche Daten und Daten, die sie selbst hinzugefügt hat, einsehen. Das Hinzufügen, Ändern oder Löschen der Daten ist der ‚trusted party‘ dann nicht mehr möglich.
Datenschutz und Privatsphäre bei ORCID
Datenschutz und die Kontrolle der Daten durch die Forschenden sind in den Statuten von ORCID verankert. In der Datenschutzbestimmung agiert ORCID transparent und adressiert unterschiedliche Aspekte des Datenschutzes. Darunter fallen auch die Implementierung der europäischen Datenschutzgrundverordnung und die Zertifizierung der Datenschutzbestimmung durch Dritte (via TrustArc). Diese Zertifizierung garantiert, dass ORCID die EU-US Privacy-Shield-Kriterien erfüllt. Zusätzlich unterzieht sich ORCID jährlich einem Audit durch Dritte, um zu gewährleisten, dass die Datenschutzbestimmung aktuellen Gesetzen entspricht.
Die Deutsche Forschungsgemeinschaft (DFG) gab 2017 ein nun öffentlich zugängliches, datenschutzrechtliches Gutachten zu ORCID in Auftrag. In diesem Gutachten wurden einerseits NutzerInnen-Szenarien untersucht und andererseits relevante Überlegungen vor dem Hintergrund der europäischen Datenschutzgrundverordnung angestellt. Die Gutachterin – die Anwaltskanzlei iRights.Law – kam dabei zum Ergebnis, dass ORCID aus datenschutzrechtlicher Sicht unbedenklich ist:
„Die datenschutzrechtliche Begutachtung von ORCID hat keine gravierenden Mängel feststellen können. Im Gegenteil, das System unterstützt mit seinen Privacy-Funktionalitäten die Nutzerinnen und Nutzer bei der Ausübung ihres Rechts auf informationelle Selbstbestimmung und hat diesbezüglich stellenweise durchaus Vorbildcharakter. Durch die Konzipierung als nutzerkontrolliertes Identitätsmanagementsystem können die Nutzer des Portals jederzeit einsehen und kontrollieren, welche Daten wie auf der Plattform verarbeitet werden und wer wann auf die Daten Zugriff hat.“
Datenspeicherung und Verschlüsselung
Die sichere Speicherung und Verschlüsselung Ihrer Daten ist für ORCID ein weiterer relevanter Aspekt im Datenschutz. Alle Systeme von ORCID sind durch lokale und Netzwerk-Firewalls geschützt. ORCID nutzt Cloud-Dienstleister wie Rackspace und AWS, auf deren Servern Ihre Daten gespeichert werden. Diese werden jährlich einer Prüfung unterzogen, um sicherzustellen, dass sie den ORCID-eigenen und internationalen Datenschutzbestimmungen gerecht werden.
ORCID verwendet auf verschiedenen Ebenen Verschlüsselungen. Sowohl Datenübertragungen als auch Daten ‚at rest‘ auf Servern werden verschlüsselt. Auf der Website verwendet ORCID SSL (Secure Sockets Layer) zur Verschlüsselung von Seiten, auf denen Sie sich einloggen oder registrieren können.
Fazit
Die Kontrolle der Daten durch die Forschenden, eine transparente Datenschutzbestimmung und die technische Sicherung durch adäquate Datenspeicherung und Verschlüsselung machen ORCID zu einer vertrauenswürdigen Instanz in der Verwaltung Ihrer Publikationen.
Wenn Sie wissen möchten, welche praktischen Vorteile ORCID für die Verwaltung Ihrer Forschungsergebnisse bietet, empfehlen wir Ihnen unseren Blogbeitrag ORCID – Was Sie schon immer über die ID für Forschende wissen wollten.
Links
ORCID-Datenschutzbestimmungen: https://orcid.org/privacy-policy
Datenschutzrechtliches Gutachten der Deutschen Forschungsgemeinschaft (DFG): http://gfzpublic.gfz-potsdam.de/pubman/faces/viewItemOverviewPage.jsp?itemId=escidoc:2263903
ORCID-Mitgliederliste: https://orcid.org/members
ORCID-Vorstand: https://orcid.org/content/orcid-team
