Ein Angebot von
Nachdem in der Dateneingangskontrolle überprüft wurde, ob die eingereichten Forschungsdaten für eine Aufnahme in ein Archiv oder Forschungsdatenzentrum geeignet sind, müssen die entsprechenden Dateien – unter Einhaltung transparenter Infrastruktur-Policies und rechtlicher Anforderungen – in eine geeignete hausinterne Infrastruktur bzw. ein Repositorium überführt werden. Dateien, die sich nicht für eine Archivierung eignen, müssen sicher und dauerhaft gelöscht werden.
Zum Prozess der Datenaufnahme gehören die folgenden Arbeitsschritte:
Die Datenaufnahme bezieht sich im Wesentlichen auf alle Prozesse, die durchgeführt werden, um Daten in die Infrastruktur eines Archivs oder Forschungsdatenzentrums zu integrieren. Eine solche Aufnahme von Daten kann zu unterschiedlichen Zeitpunkten erfolgen. Entweder am Ende einer Projekt- oder Forschungsphase oder aber auch in mehreren Schritten während des gesamten Verlaufs eines Forschungsprozesses. Bei der Übergabe von Forschungsdaten während der Projektphase sollte im Falle einer späteren Daten-Veröffentlichung die Option bestehen, eine Embargofrist zu setzen, so dass die Daten bis mindestens Projektende unter Verschluss gehalten werden können.
In der wissenschaftlichen Forschung wird teilweise mit Daten gearbeitet, die einen besonderen Schutzbedarf aufweisen. Dafür gibt es unterschiedliche Gründe: beispielsweise der Personenbezug der Daten, ethische Aspekte, oder die wirtschaftliche Relevanz. Manche Forschungsvorhaben erfordern einen Datentransport zwischen Kooperationspartner*innen oder zwischen dem Entstehungsort und dem Ort, an dem die Auswertung oder schlussendlich die Archivierung der Daten erfolgt. Dieser Datentransfer muss besonders abgesichert werden, um den Schutz der Daten auf dem Transportweg zu gewährleisten.
Einen sicheren Workflow zum Transferieren der Daten im Forschungsprojekt aufzusetzen, hängt von zahlreichen Rahmenbedingungen ab. Darunter fallen die vorhandene Infrastruktur an der eigenen Einrichtung, die Höhe des Schutzbedarfs der Daten, die Beschaffenheit des Ursprungs- und Zielortes (u. a. auf der anderen Seite vorhandene Infrastruktur), sowie Frequenz und Umfang des Datentransfers. Aufgrund dieser spezifischen Rahmenbedingungen sind als erste Anlaufstellen für jedes Vorhaben immer die zuständigen Kolleginnen und Kollegen der eigenen Institution zu empfehlen, die mit Ihnen individuelle Lösungen erarbeiten. Darunter fallen je nach spezifischer Thematik der/die Datenschutzbeauftragte, der/die IT-Sicherheitsbeauftragte und das lokale Forschungsdatenmanagement-Team.
Im Folgenden werden einige mögliche Komponenten eines sicheren Datentransfer-Workflows vorgestellt. Die einzelnen Komponenten allein bieten keinen ausreichenden Schutz für die Daten: Es ist jeweils der gesamte Informationsverbund zu bedenken und abzusichern. Dieser setzt sich aus den infrastrukturellen, organisatorischen, personellen und technischen Komponenten der Datenverarbeitung zusammen. Er umfasst also die Speicherorte, auf denen die Daten liegen, die Übertragungswege, über die sie transportiert werden, die Personen, die dafür verantwortlich sind, sowie alle weiteren Komponenten im Zusammenhang mit der Datenverarbeitung. In Absprache mit den lokalen Ansprechpersonen ist die folgende Vorgehensweise zu empfehlen:
Ein wesentlicher Aspekt des sicheren Transferierens von Daten besteht im Schutz von Dateien, Ordnern oder Laufwerken. Dieser lässt sich durch Verschlüsselung bewerkstelligen. Hierbei wird eine Zeichenfolge („Klartext“ genannt) so in eine zufällige Zeichenfolge (als „Geheimtext“ bezeichnet) umgewandelt, dass sich die ursprüngliche Zeichenfolge nur mittels eines Schlüssels wiederherstellen lässt. Als Schlüssel dienen meist zufällige Zeichenfolgen fester Länge, die in der Regel durch Algorithmen auf Grundlage eines von den Benutzenden gewählten Passworts oder einer Passphrase errechnet werden. Für die Verschlüsselung stehen spezielle Programme zur Verfügung (siehe z. B. diese Liste des UK Data Archive). Besondere Sorgfalt erfordert die Verwaltung von Passwörtern, die weder verloren gehen noch in die Hände von Unbefugten geraten dürfen. Die Passwortverwaltung ist ein zentraler Aspekt in Datenmanagementplänen.
Hinweis: Es handelt sich hierbei lediglich um Empfehlungen. Insbesondere bei der Übertragung von Daten mit sehr hohem Schutzbedarf sollte immer vorher eine Beratung an Ihrer Einrichtung in Anspruch genommen werden.
Wichtig ist, dass die Informationen darüber, wie die Sicherheit beim Senden der Daten gewährt wurde, dokumentiert werden. Dies garantiert, dass im Bedarfsfall hierauf zurückgegriffen werden kann und jeder Schritt nachvollziehbar ist. Ein Verweis aus dem Datenmanagementplan heraus auf diese Dokumentation ist sinnvoll. Besonderheiten bei der Datenerhebung im Ausland – sofern dort nicht die DSGVO gilt – sind beim Datenschutzbeauftragten zu erfragen.
Bevor die Forschungsdaten in das Archiv/Repositorium aufgenommen werden, müssen sie noch einige Prozeduren durchlaufen. Diese beinhalten:
Bei der Überführung der Dateien in den Archiv-Speicher werden digitale Signaturen bzw. Prüfsummen zur Kontrolle der sogenannten Festigkeit bzw. Integrität der Dateien erzeugt. Hierbei wird die Prüfsumme der Dateien vor dem Speichern mit der Prüfsumme der Daten nach dem Wiederauslesen verglichen. Dadurch kann festgestellt werden, ob die Dateien verändert wurden oder die Datenübertragung fehlerhaft war.
Die Übergabe von Forschungsdaten und der dazugehörigen Dateien sollte in einem Datenarchivierungsvertrag rechtlich abgesichert werden. In einem solchen Vertrag werden neben Urheber-, nutzungs- und datenschutzrechtlichen Details auch technische und organisatorische Angelegenheiten geregelt.
Quelle: Jensen, Uwe (2012): Leitlinien zum Management von Forschungsdaten: Sozialwissenschaftliche Umfragedaten. GESIS-Technical Reports, 2012/07 (https://nbn-resolving.org/urn:nbn:de:0168-ssoar-320650)