Datenübernahme

In der wissenschaftlichen Forschung wird teilweise mit Daten gearbeitet, die einen besonderen Schutzbedarf aufweisen. Dafür gibt es unterschiedliche Gründe: beispielsweise der Personenbezug der Daten, ethische Aspekte, oder die wirtschaftliche Relevanz. Manche Forschungsvorhaben erfordern einen Datentransport zwischen Kooperationspartner*innen oder zwischen dem Entstehungsort und dem Ort, an dem die Auswertung oder schlussendlich die Archivierung der Daten erfolgt. Dieser Datentransfer muss besonders abgesichert werden, um den Schutz der Daten auf dem Transportweg zu gewährleisten.

Einen sicheren Workflow zum Transferieren der Daten im Forschungsprojekt aufzusetzen, hängt von zahlreichen Rahmenbedingungen ab. Darunter fallen die vorhandene Infrastruktur an der eigenen Einrichtung, die Höhe des Schutzbedarfs der Daten, die Beschaffenheit des Ursprungs- und Zielortes (u. a. auf der anderen Seite vorhandene Infrastruktur), sowie Frequenz und Umfang des Datentransfers. Aufgrund dieser spezifischen Rahmenbedingungen sind als erste Anlaufstellen für jedes Vorhaben immer die zuständigen Kolleginnen und Kollegen der eigenen Institution zu empfehlen, die mit Ihnen individuelle Lösungen erarbeiten. Darunter fallen je nach spezifischer Thematik der/die Datenschutzbeauftragte, der/die IT-Sicherheitsbeauftragte und das lokale Forschungsdatenmanagement-Team.

Im Folgenden werden einige mögliche Komponenten eines sicheren Datentransfer-Workflows vorgestellt. Die einzelnen Komponenten allein bieten keinen ausreichenden Schutz für die Daten: Es ist jeweils der gesamte Informationsverbund zu bedenken und abzusichern. Dieser setzt sich aus den infrastrukturellen, organisatorischen, personellen und technischen Komponenten der Datenverarbeitung zusammen. Er umfasst also die Speicherorte, auf denen die Daten liegen, die Übertragungswege, über die sie transportiert werden, die Personen, die dafür verantwortlich sind, sowie alle weiteren Komponenten im Zusammenhang mit der Datenverarbeitung. In Absprache mit den lokalen Ansprechpersonen ist die folgende Vorgehensweise zu empfehlen:

1. Schutzbedarf der Daten feststellen.
2. Informationsverbund (infrastrukturelle, organisatorische, personelle und technische Komponenten der Datenverarbeitung) beschreiben/definieren.
3. Maßnahmen zur Absicherung aller Bestandteile des Informationsverbunds gemäß festgestelltem Schutzbedarf der Daten von Seiten der Infrastruktureinrichtungen organisieren/einrichten lassen.
4. Maßnahmen dokumentieren und regelmäßig überprüfen.

Ein weiterer empfehlenswerter Übertragungsweg ist die Nutzung eines sicheren Dienstes, wie beispielsweise Cryptshare: dabei handelt es sich um eine sichere Dateiübertragungslösung, die eingesetzt wird, um vertrauliche Informationen oder Daten sicher auszutauschen. Ein Hauptnutzen von Cryptshare besteht darin, dass es ermöglicht, die Daten sicher zu übertragen, ohne auf unsichere Methoden wie E-Mail-Anhänge oder Cloud-Speicher zurückgreifen zu müssen. Durch die Verwendung von Verschlüsselungstechnologien und Sicherheitsmaßnahmen gewährleistet Cryptshare, dass die übertragenen Dateien vor unbefugtem Zugriff geschützt sind.

Ein wesentlicher Aspekt des sicheren Transferierens von Daten besteht im Schutz von Dateien, Ordnern oder Laufwerken. Dieser lässt sich durch Verschlüsselung bewerkstelligen. Hierbei wird eine Zeichenfolge („Klartext“ genannt) so in eine zufällige Zeichenfolge (als „Geheimtext“ bezeichnet) umgewandelt, dass sich die ursprüngliche Zeichenfolge nur mittels eines Schlüssels wiederherstellen lässt. Als Schlüssel dienen meist zufällige Zeichenfolgen fester Länge, die in der Regel durch Algorithmen auf Grundlage eines von den Benutzenden gewählten Passworts oder einer Passphrase errechnet werden. Für die Verschlüsselung stehen spezielle Programme zur Verfügung (siehe z. B. diese Liste des UK Data Archive). Besondere Sorgfalt erfordert die Verwaltung von Passwörtern, die weder verloren gehen noch in die Hände von Unbefugten geraten dürfen. Die Passwortverwaltung ist ein zentraler Aspekt in Datenmanagementplänen.

Beispiele für Forschungsdaten mit hohem Schutzbedarf:

• Interview mit sensiblen Daten, z. B. zu persönlichen Konfliktverhalten
• Wissenschaftliche Daten, die einem Embargo unterliegen
• Filmaufnahmen von Kindern in Interaktionsstudien

Beispiele für eine sichere Übertragung von Forschungsdaten mit hohem Schutzbedarf:

• Über Netzlaufwerk im LAN bzw. per VPN
• Über Clouddienst mit serverseitiger Verschlüsselung (z. B. Nextcloud)
• Über hochschuleigene Clouddienste wie Sciebo, Nextcloud (Daten verschlüsselt)
• Über Clouddienst mit zertifizierter Ende-zu-Ende-Verschlüsselung (z. B. Teamdrive)
• Als Anhang in asymmetrisch verschlüsselter E-Mail
• Als verschlüsselter Anhang (zip-File) per E-Mail

Hinweis: Es handelt sich hierbei lediglich um Empfehlungen. Insbesondere bei der Übertragung von Daten mit sehr hohem Schutzbedarf sollte immer vorher eine Beratung an Ihrer Einrichtung in Anspruch genommen werden. 

Wichtig ist, dass die Informationen darüber, wie die Sicherheit beim Senden der Daten gewährt wurde, dokumentiert werden. Dies garantiert, dass im Bedarfsfall hierauf zurückgegriffen werden kann und jeder Schritt nachvollziehbar ist. Ein Verweis aus dem Datenmanagementplan heraus auf diese Dokumentation ist sinnvoll. Besonderheiten bei der Datenerhebung im Ausland – sofern dort nicht die DSGVO gilt – sind beim Datenschutzbeauftragten zu erfragen.

Bei passwortgeschützten Daten gilt selbstverständlich, dass das Paswort von den Daten separat verwahrt und übermittelt wird. Übermittelt man beispielsweise Daten per Cryptshare, empfiehlt es sich, das Passwort per Telefon oder separater Mail zu übermitteln.