RDM Compas RDM Compas

Datenübernahme

< Zurück zur Übersicht
    • Creative Commons License
    Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 Internationale Lizenz.

    Datenaufnahme

    Nachdem in der Dateneingangskontrolle überprüft wurde, ob die eingereichten Forschungsdaten für eine Aufnahme in ein Archiv oder Forschungsdatenzentrum geeignet sind, müssen die entsprechenden Dateien – unter Einhaltung transparenter Infrastruktur-Policies und rechtlicher Anforderungen – in eine geeignete hausinterne Infrastruktur bzw. ein Repositorium überführt werden. Dateien, die sich nicht für eine Archivierung eignen, müssen sicher und dauerhaft gelöscht werden.

    Zum Prozess der Datenaufnahme gehören die folgenden Arbeitsschritte:

    1. Datenübertragung an das Archiv/Forschungsdatenzentrum/Repositorium

    Die Datenaufnahme bezieht sich im Wesentlichen auf alle Prozesse, die durchgeführt werden, um Daten in die Infrastruktur eines Archivs oder Forschungsdatenzentrums zu integrieren. Eine solche Aufnahme von Daten kann zu unterschiedlichen Zeitpunkten erfolgen. Entweder am Ende einer Projekt- oder Forschungsphase oder aber auch in mehreren Schritten während des gesamten Verlaufs eines Forschungsprozesses. Bei der Übergabe von Forschungsdaten während der Projektphase sollte im Falle einer späteren Daten-Veröffentlichung die Option bestehen, eine Embargofrist zu setzen, so dass die Daten bis mindestens Projektende unter Verschluss gehalten werden können.

    Datenübertragung – Daten sicher senden

    In der wissenschaftlichen Forschung wird teilweise mit Daten gearbeitet, die einen besonderen Schutzbedarf aufweisen. Dafür gibt es unterschiedliche Gründe: beispielsweise der Personenbezug der Daten, ethische Aspekte, oder die wirtschaftliche Relevanz. Manche Forschungsvorhaben erfordern einen Datentransport zwischen Kooperationspartner*innen oder zwischen dem Entstehungsort und dem Ort, an dem die Auswertung oder schlussendlich die Archivierung der Daten erfolgt. Dieser Datentransfer muss besonders abgesichert werden, um den Schutz der Daten auf dem Transportweg zu gewährleisten.

    Einen sicheren Workflow zum Transferieren der Daten im Forschungsprojekt aufzusetzen, hängt von zahlreichen Rahmenbedingungen ab. Darunter fallen die vorhandene Infrastruktur an der eigenen Einrichtung, die Höhe des Schutzbedarfs der Daten, die Beschaffenheit des Ursprungs- und Zielortes (u. a. auf der anderen Seite vorhandene Infrastruktur), sowie Frequenz und Umfang des Datentransfers. Aufgrund dieser spezifischen Rahmenbedingungen sind als erste Anlaufstellen für jedes Vorhaben immer die zuständigen Kolleginnen und Kollegen der eigenen Institution zu empfehlen, die mit Ihnen individuelle Lösungen erarbeiten. Darunter fallen je nach spezifischer Thematik der/die Datenschutzbeauftragte, der/die IT-Sicherheitsbeauftragte und das lokale Forschungsdatenmanagement-Team.

    Im Folgenden werden einige mögliche Komponenten eines sicheren Datentransfer-Workflows vorgestellt. Die einzelnen Komponenten allein bieten keinen ausreichenden Schutz für die Daten: Es ist jeweils der gesamte Informationsverbund zu bedenken und abzusichern. Dieser setzt sich aus den infrastrukturellen, organisatorischen, personellen und technischen Komponenten der Datenverarbeitung zusammen. Er umfasst also die Speicherorte, auf denen die Daten liegen, die Übertragungswege, über die sie transportiert werden, die Personen, die dafür verantwortlich sind, sowie alle weiteren Komponenten im Zusammenhang mit der Datenverarbeitung. In Absprache mit den lokalen Ansprechpersonen ist die folgende Vorgehensweise zu empfehlen:

    1. Schutzbedarf der Daten feststellen.
    2. Informationsverbund (infrastrukturelle, organisatorische, personelle und technische Komponenten der Datenverarbeitung) beschreiben/definieren.
    3. Maßnahmen zur Absicherung aller Bestandteile des Informationsverbunds gemäß festgestelltem Schutzbedarf der Daten von Seiten der Infrastruktureinrichtungen organisieren/einrichten lassen.
    4. Maßnahmen dokumentieren und regelmäßig überprüfen

    Verschlüsselung

    Ein wesentlicher Aspekt des sicheren Transferierens von Daten besteht im Schutz von Dateien, Ordnern oder Laufwerken. Dieser lässt sich durch Verschlüsselung bewerkstelligen. Hierbei wird eine Zeichenfolge („Klartext“ genannt) so in eine zufällige Zeichenfolge (als „Geheimtext“ bezeichnet) umgewandelt, dass sich die ursprüngliche Zeichenfolge nur mittels eines Schlüssels wiederherstellen lässt. Als Schlüssel dienen meist zufällige Zeichenfolgen fester Länge, die in der Regel durch Algorithmen auf Grundlage eines von den Benutzenden gewählten Passworts oder einer Passphrase errechnet werden. Für die Verschlüsselung stehen spezielle Programme zur Verfügung (siehe z. B. diese Liste des UK Data Archive). Besondere Sorgfalt erfordert die Verwaltung von Passwörtern, die weder verloren gehen noch in die Hände von Unbefugten geraten dürfen. Die Passwortverwaltung ist ein zentraler Aspekt in Datenmanagementplänen.

    Beispiele für Forschungsdaten mit hohem Schutzbedarf:
    • Interview mit sensiblen Daten, z. B. zu persönlichen Konfliktverhalten
    • Wissenschaftliche Daten, die noch nicht veröffentlich sind
    • Filmaufnahmen von Kindern in Interaktionsstudien
    Beispiele für eine sichere Übertragung von Forschungsdaten mit hohem Schutzbedarf:
    • Über Netzlaufwerk im LAN bzw. per VPN
    • Über Clouddienst mit serverseitiger Verschlüsselung (z. B. Nextcloud)
    • Über hochschuleigene Clouddienste wie Sciebo, Nextcloud (Daten verschlüsselt)
    • Über Clouddienst mit zertifizierter Ende-zu-Ende-Verschlüsselung (z. B. Teamdrive)
    • Als Anhang in asymmetrisch verschlüsselter E-Mail
    • Als verschlüsselter Anhang (zip-File) per E-Mail

    Hinweis: Es handelt sich hierbei lediglich um Empfehlungen. Insbesondere bei der Übertragung von Daten mit sehr hohem Schutzbedarf sollte immer vorher eine Beratung an Ihrer Einrichtung in Anspruch genommen werden. 

    Dokumentation der Datenübermittlung

    Wichtig ist, dass die Informationen darüber, wie die Sicherheit beim Senden der Daten gewährt wurde, dokumentiert werden. Dies garantiert, dass im Bedarfsfall hierauf zurückgegriffen werden kann und jeder Schritt nachvollziehbar ist. Ein Verweis aus dem Datenmanagementplan heraus auf diese Dokumentation ist sinnvoll. Besonderheiten bei der Datenerhebung im Ausland – sofern dort nicht die DSGVO gilt – sind beim Datenschutzbeauftragten zu erfragen.

    2. Vorbereitung der Daten für die Überführung in die (Langzeit-)Archivierung

    Bevor die Forschungsdaten in das Archiv/Repositorium aufgenommen werden, müssen sie noch einige Prozeduren durchlaufen. Diese beinhalten:

    • Vergabe eines persistenten Identifikators (PID)
    • Test auf Schadsoftware in den übersandten Dateien
    • Extraktion (maschinelle Auslesung), Übernahme oder Erstellung relevanter Metadaten (sowohl technische als auch deskriptive)
    • Technische Validierung der Daten und Metadaten (ggf. Formatkonvertierung von Dateien in nicht-proprietäre Formate)
    • Ggf. erneute Prüfung der Daten und Metadaten auf Vollständigkeit und Richtigkeit (zusätzlich zur Dateneingangskontrolle)
    • Aufteilung/Zusammenfassung der Dateien nach jeweiligen infrastrukturinternen Konventionen (z. B. Containerdateien)
    3. Überführung ins Archiv

    Bei der Überführung der Dateien in den Archiv-Speicher werden digitale Signaturen bzw. Prüfsummen zur Kontrolle der sogenannten Festigkeit bzw. Integrität der Dateien erzeugt. Hierbei wird die Prüfsumme der Dateien vor dem Speichern mit der Prüfsumme der Daten nach dem Wiederauslesen verglichen. Dadurch kann festgestellt werden, ob die Dateien verändert wurden oder die Datenübertragung fehlerhaft war.

    Rechtliche Rahmenbedingungen

    Die Übergabe von Forschungsdaten und der dazugehörigen Dateien sollte in einem Datenarchivierungsvertrag rechtlich abgesichert werden. In einem solchen Vertrag werden neben Urheber-, nutzungs- und datenschutzrechtlichen Details auch technische und organisatorische Angelegenheiten geregelt.

    Mögliche/zentrale Aspekte eines Archivierungsvertrags
    1. Gegenstand des Vertrags (um welche Daten/Dokumente handelt es sich?
    2. Verfügungs- und Nutzungsrechte (welche Rechte werden an die datenhaltende Einrichtung übertragen?)
    3. Gewährleistungen (Datengebende gewährleisten, dass sie alle notwendigen Rechte innehaben, um die Daten weiterzugeben und dass einer vertragsgemäßen Nutzung der Materialien keine Rechten Dritter entgegenstehen)
    4. Archivierung (Genaue Bezeichnung der Dateien und der/des Datengebenden)
    5. Haftung (in welchem Fall haftet die datenhaltende Einrichtung?)
    6. Rechtsnachfolge (in welchen Fällen gehen die Rechte an den Daten an die datenhaltende Einrichtung über?)
    7. Datenschutz (Verpflichtung gegenüber einschlägigen Datenschutzbestimmungen durch die datenhaltende und datengebende Einrichtung)
    8. Laufzeit der Vereinbarung (Festlegung eines Zeitraums, über den die Vereinbarung gilt)
    9. Geltung des Vertrags (in welchem Fall verliert/erhält der Vertrag oder Teile davon seine Gültigkeit?)
    10. Gerichtsstand und Erfüllungsort

    Quelle: Jensen, Uwe (2012): Leitlinien zum Management von Forschungsdaten: Sozialwissenschaftliche Umfragedaten. GESIS-Technical Reports, 2012/07 (https://nbn-resolving.org/urn:nbn:de:0168-ssoar-320650)