Coscine (Collaborative Scientific Integration Environment) ist eine webbasierte Plattform zur Verwaltung und Verwahrung von Forschungs- und Metadaten, die im Kontext von Forschungsprojekten erzeugt werden. Der Service wird durch die RWTH Aachen University bereitgestellt und soll Forschende bei der Wahrung der guten wissenschaftlichen Praxis unterstützen.
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Rektor der RWTH Aachen University
Templergraben 55
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Telefon: +49 241 80 1
Telefax: +49 241 80 92312
E-Mail: rektorat@rwth-aachen.de
Website: www.rwth-aachen.de/rektorat
Erreichbarkeit des Verantwortlichen für den technischen Betrieb:
Direktor des IT Centers
IT Center der RWTH Aachen
Seffenter Weg 23
52074 Aachen
Telefon: +49 241 80 24680
E-Mail: servicedesk@itc.rwth-aachen.de
Website: www.itc.rwth-aachen.de
Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:
Datenschutzbeauftragte der RWTH Aachen University
Templergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
Telefon: +49 241 80 94114
E-Mail: dsb@rwth-aachen.de
Website: www.rwth-aachen.de/datenschutz
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de/
Zunächst wird Allgemeines zur Datenverarbeitung dargestellt. Zunächst werden die bei der Nutzung der Forschungsplattform Coscine nach dem Login erhobenen und verarbeiteten Daten beschrieben. Der Abschnitt zur Bereitstellung der Webanwendung und Erstellung von Logfiles bezieht sich auf Daten, die bereits beim Aufrufen der Webseite von Coscine ohne Login erhoben und verarbeitet werden. Der Abschnitt zur Verwendung von Cookies und LocalStorage schließlich betrifft wiederum sowohl eingeloggte als auch nicht eingeloggte Nutzende. Abschließend werden die Rechte der betroffenen Person aufgeführt sowie in Anhang A eine Liste von Anwendungen, die mit Coscine verknüpft werden können, einschließlich einer Beschreibung der dazu notwendigen Datenübermittlung.
Die RWTH Aachen verarbeitet personenbezogene Daten der Nutzenden der Seite grundsätzlich nur, soweit dies zur Bereitstellung eines funktionsfähigen Service sowie der Inhalte und Leistungen oder für den Zweck der Anwendung erforderlich ist. Die Verarbeitung personenbezogener Daten der Nutzenden erfolgt zur Erfüllung der Aufgaben der RWTH oder nach Einwilligung der Nutzenden.
Die Plattform Coscine ist eine webbasierte Integrationsplattform für forschungsbezogene Daten aus verschiedenen Quellen und Bestandteil der Forschungsdaten-Infrastruktur der RWTH Aachen. Sie wird als Open Source Software zur Verfügung gestellt. Sie kann sowohl mittels eines Web-Browsers über die graphische Oberfläche als auch über APIs (Application Programming Interfaces) genutzt werden.
Im Einklang mit § 3 Abs. 1 HG NRW wird sie als Serviceleistung angeboten mit dem Ziel, Forschende dabei zu unterstützen, die gute wissenschaftliche Praxis sicherzustellen. Durch die zeit- und ortsunabhängige Verfügbarkeit der Plattform und der darin gespeicherten Inhalte fördert sie zudem gemäß § 3 Abs. 6 HG NRW die regionale, europäische und internationale Zusammenarbeit, insbesondere im Hochschulbereich, und den Austausch zwischen deutschen und ausländischen Hochschulen.
Durch die Nutzung von Coscine werden persönliche Daten über die Nutzenden gespeichert. Gemäß der Europäischen Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Datenschutzgesetz NRW (DSG NRW) sind wir verpflichtet darzulegen, welche Arten von personenbezogenen Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wer Zugriff auf die Daten hat und welche Rechte die Nutzenden in Bezug auf die Verarbeitung der Daten haben.
In Coscine werden die nachfolgend spezifizierten Kategorien personenbezogener Daten von Nutzenden verarbeitet.
Zur Kontrolle des Zugriffs auf Coscine ist eine Authentifizierung notwendig. Diese erfolgt bei Anmeldung am System über verschiedene Single-Sign-On Authentifizierungsdienste. In Coscine werden dabei grundsätzlich zwei Zugangswege unterschieden:
Coscine übernimmt dabei die vom Authentifizierungsdienst übermittelten Informationen. Konten bei unterschiedlichen Authentifizierungsanbietern können von Nutzenden unter einer Coscine-User-ID zusammengeführt werden.
Für die Verbindung mit externen Services speichert Coscine die User-ID dieser Services. Diese sind in Anhang A beschrieben.
Im Nutzendenprofil von Coscine sind der Vor- und Nachname der Person gespeichert, ihre E-Mailadresse sowie, falls vorhanden, ihre Zugehörigkeit zur Organisation und Teilorganisation sowie die IDs der von ihr gewählten Authentifizierungsdienste. Zusätzlich dazu erhält jede Person mit einem Benutzerkonto für Coscine eine Coscine-User-ID.
Das Nutzendenprofil umfasst neben den Log-In Daten zusätzlich Informationen, die die Nutzenden optional zu ihren Profilen hinzufügen können.
Die von den Nutzenden im Nutzendenprofil gemachten Angaben dienen der Anzeige der Informationen in Coscine für andere Nutzende, sowie der Kontaktaufnahme über E-Mails. Wird eine E-Mailadresse durch Nutzende hinterlegt, wird diese über eine Bestätigungs-E-Mail verifiziert. Werden Organisation, Organisationseinheit, Disziplin oder Titel von Nutzenden frei gewählt, werden diese nicht validiert. Die Kontrolle über diese frei wählbaren Angaben liegt bei den Nutzenden.
Nutzungsdaten entstehen durch die Aktivität der Nutzenden im System. Bei jeder Aktion innerhalb von Coscine protokolliert das System automatisch die folgenden Daten:
Forschungsdaten haben vielfältige Formen und können aus (Zwischen-)Ergebnissen von Forschungstätigkeiten, Messdaten, Erhebungen, Quellenforschung aber auch Code, Text und multimedialen Daten zusammengesetzt sein. Der Kern dieser Daten besteht darin, dass sie im Rahmen und zum Zwecke wissenschaftlicher Tätigkeit gesammelt, erzeugt oder anderweitig gewonnen wurden.
Die zugehörigen Metadaten enthalten strukturierte Informationen über Forschungsdaten. Sie werden mit den beschriebenen Forschungsdaten verknüpft.
Metadatenfelder zur Beschreibung von Projekten und Ressourcen sind systemseitig vorgegeben. Metadaten zur Beschreibung von Daten innerhalb von Ressourcen können umfangreich sein und sind abhängig von dem Metadatenprofil, das durch die Nutzenden ausgewählt wird. Metadaten können abhängig vom Datenformat auch automatisch aus den Forschungsdaten extrahiert werden. So können z.B. in Bilddaten zusätzlich hinterlegte Informationen (EXIF-Daten) als Metadaten in Coscine gespeichert werden.
Coscine speichert Forschungsdaten im direkt angeschlossenen Research Data Storage (RDS) oder DataStorage.nrw. Es werden ggfs. mehrere Versionen gespeichert. Zudem verweist Coscine auf und integriert andere datenhaltende Systeme Dritter und speichert die dazu notwendigen Referenzierungen (z. B. URLs, PIDs, Dateinamen). Auch zu Forschungsdaten, die in datenhaltenden Drittsystemen liegen, werden in Coscine Metadaten gespeichert.
Die Verantwortung für personenbezogene Forschungsdaten und zugehörige Metadaten verbleibt bei den Nutzenden, die diese in Coscine einliefern. Die Anbieterin von Coscine führt selbstständig keine Verarbeitung der Forschungsdaten und der zugehörigen Metadaten durch, die über die genannten Maßnahmen zur Speicherung und Sicherung des Betriebs hinausgeht. Coscine greift auf Forschungsdaten und zugehörige Metadaten ausschließlich im Auftrag der Nutzenden zu. Optionale Funktionen zur automatisierten Extraktion von Metadaten aus gespeicherten Dateien müssen von Nutzenden explizit aktiviert werden und können jederzeit wieder deaktiviert werden. Die Kontrolle über alle Aktionen - Schreiben, Lesen und Löschen - liegt vollständig bei den Nutzenden.
Provenienzdaten beziehen sich auf die Nachverfolgbarkeit von Veränderungen an den Forschungsdaten. Zur Gewährleistung guter wissenschaftlicher Praxis gehört die Dokumentation von Änderungen an Forschungsdaten und zugehörigen Metadaten im Lauf des Forschungsprozesses. Wenn Nutzende Daten erstellen, verändern, herunterladen oder löschen entsteht eine Assoziation zwischen Nutzenden und den bearbeiteten Daten. Zu diesen Nutzendenaktionen werden die folgenden Daten gespeichert:
Für den Login in Coscine werden Mitarbeitenden-Stammdaten erhoben (u.a. Name, E-Mailadresse). Wenn die Nutzenden Mitarbeitende einer teilnehmenden Hochschule sind, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 S.1 lit. e), Abs. 3 DSGVO i.V.m. § 18 DSG NRW und dient als Rechtsgrundlage. Wenn die Nutzenden nicht Mitarbeitende einer teilnehmenden Hochschule sind erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 S.1 lit. a), Abs. 3 DSGVO i.V.m. § 18 DSG NRW und dient als Rechtsgrundlage.
Für die Verarbeitung der personenbezogenen Forschungsdaten und zugehörigen Metadaten ist eine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO erforderlich und dient als Rechtsgrundlage.
Sofern besondere Kategorien personenbezogener Daten betroffen sind, werden diese auf Basis der Einwilligung der Betroffenen gemäß Art. 9 Abs. 2 lit. a) DSGVO verarbeitet.
Grundlage für die Verarbeitung der personenbezogenen Daten zu im öffentlichen Interesse liegenden wissenschaftlichen Forschungszwecken ist Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m. § 17 Abs. 1 DSG NRW.
Die Verarbeitung der personenbezogenen Daten in Coscine erfolgt im Einklang mit Art. 5 Abs. 1 lit. b) und c) DSGVO zweckgebunden und unter der Maßgabe der Datenminimierung.
Login-Daten, Nutzendenprofildaten, Forschungsdaten und zugehörige Metadaten, Nutzungsdaten sowie Provenienzdaten werden zur Unterstützung guter wissenschaftlicher Praxis, einhergehend mit dem dazu notwendigen Forschungsdatenmanagement, verarbeitet. Die Nutzungsdaten werden darüber hinaus zum Zweck der Administration, Weiterentwicklung und Pflege des Systems, dem technischen Controlling, der Fehlersuche bei technischen Problemen oder der Klärung von Sicherheitsvorfällen verwendet.
Die Daten können, basierend auf Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m. Art. 89 DSGVO i.V.m. § 17 Abs. 1 DSG NRW auch für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die RWTH Aachen sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 17 Abs. 2 DSG NRW vor. Die Daten werden gemäß § 17 Abs. 3 DSG NRW anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Die Daten werden gelöscht, sobald der Forschungs- oder Statistikzweck dies erlaubt.
Die Einsicht in personenbezogene Daten hängt von der jeweiligen Rolle im System ab.
Im Kontext eines Projekts sind Nutzendenprofildaten aller Projektmitglieder (Personen mit den Rollen Gast, Mitglied und Owner) für alle anderen Projektmitglieder einsehbar.
Um Mitglieder zu Projekten hinzuzufügen, können Projektowner in der Nutzendenverwaltung nach Vor- und Nachnamen sowie E-Mailadresse von bestehenden Nutzenden der Plattform suchen. Die Suche erfordert, dass mindestens drei Buchstaben übereinstimmen bevor Suchergebnisse angezeigt werden und liefert maximal 10 Ergebnisse.
Details dazu sind im Rechte- und Rollenkonzept festgehalten, welches auf unseren Dokumentationsseiten eingesehen werden kann.
Ausschließlich Nutzende selbst haben zur Unterstützung der guten wissenschaftlichen Praxis die Möglichkeit, die sie betreffenden Provenienzdaten vollständig einzusehen und herunterzuladen.
Art. 5 Abs. 1 lit. e) DSGVO schreibt vor, dass für die verarbeiteten personenbezogenen Daten eine an die Erfüllung des jeweiligen Zwecks gebundene Speicherfrist anzugeben ist, nach deren Ablauf die Daten zu löschen sind.
Die für die Authentifizierung benötigten Daten werden mit dem Ausloggen, dem Ende der Coscine-Session, nach 24 Stunden Inaktivität oder mit dem Beenden der Browsersession gelöscht.
Nutzendenprofildaten bleiben in Coscine erhalten, bis sie gelöscht werden. Voraussetzung für die Löschung ist, dass Nutzende kein Mitglied in einem Projekt sind. Systemseitig werden Profildaten gelöscht, wenn Nutzende kein Mitglied in einem Projekt sind und der letzte Login ein Jahr zurückliegt.
Nutzungsdaten werden nach 14 Tagen gelöscht.
Forschungsdaten im Speichersystem Research Data Storage (RDS) bzw. DataStorage.nrw und in Coscine gespeicherte zugehörige Metadaten sowie Referenzen auf Forschungsdaten können nach dem Ende des Projekts, dem sie zugeordnet sind, für 10 Jahre vorgehalten werden. Nutzende haben selbstständig die Möglichkeit, Daten früher zu löschen.
Von gelöschten Projekten und Ressourcen bleibt ein vollständig anonymisierter und minimaler Metadatensatz, ein sog. Tombstone, erhalten. Dieser beinhaltet:
Provenienzdaten von Nutzenden werden anonymisiert, wenn das Nutzendenprofil gelöscht wird und gelöscht, wenn das zugehörige Projekt gelöscht wird.
Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet.
Datenweitergabe zum Zweck der Verbindung mit Drittsystemen wird explizit nur direkt durch die Nutzenden veranlasst und autorisiert. Drittanwendungen, die über die API von Coscine angeschlossen werden, können maximal die Daten erhalten, die auch über die Weboberfläche zur Verfügung stehen. Vor der Inbetriebnahme sind diese Anwendungen gesondert datenschutzrechtlich zu betrachten.
Eine Datenübermittlung in Drittstaaten seitens Coscine findet nicht statt.
Nutzende haben jedoch die Möglichkeit, externe Systeme (z.B. Cloudspeicher) mit Coscine zu verknüpfen, um Funktionen dieser Systeme im Kontext von Coscine zu nutzen. Es kann nicht ausgeschlossen werden, dass solche Anwendungen in Drittstaaten betrieben werden. In diesem Fall müssen die Nutzenden die Datenübermittlung an das externe System explizit freigeben. Abhängig vom externen System werden dazu nur die jeweils erforderlichen Daten übermittelt (z.B. Login- bzw. Autorisierungsdaten). Welche Daten übertragen werden, unterscheidet sich je nach Anwendung. Eine Liste von Anwendungen und den jeweils übertragenen Daten findet sich in Anhang A.
Gemäß Art. 32 DSGVO werden verschiedene Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten in Coscine zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzendenkontrolle (User-ID und Passwort, sowie ggfs, einen zweiten Faktor). Der Zugriff auf den Server ist sowohl durch Benutzendenkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern.
Die gesamten Maßnahmen sind in einem gesonderten Dokument im Detail beschrieben. Sie sind entsprechend Art. 32 DSGVO getroffen.
Bei jedem Aufruf der Webseite von Coscine werden automatisiert Daten und Informationen über das Computersystem des aufrufenden Rechners erfasst.
Folgende Daten werden hierbei erhoben:
Die Daten werden in den Logfiles des Systems der Hochschule gespeichert und nach sieben Tagen gelöscht. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten der Nutzenden findet nicht statt.
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m. §3 Abs. 1 DSG NRW i.V.m. §3 Abs. 1 HG NRW.
Die Daten dienen zur Optimierung der Webseite und zur Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Normalerweise ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzenden gelöscht oder verfremdet, so dass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.
Coscine verwendet Cookies und LocalStorage. Dabei handelt es sich um Daten, die vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Cookies und LocalStorage enthalten charakteristische Zeichenfolgen (Token), die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht. Cookies werden bei jedem Aufruf der Seite vom Internetbrowser an den Server von Coscine gesendet. Informationen im LocalStorage werden nur bei Bedarf lokal vom Internetbrowser der Nutzenden verarbeitet.
Folgende Informationen werden gespeichert und übermittelt:
Cookies identifizieren eingeloggte Nutzende über eine anonyme ID und speichern die Anmeldung für die aktuelle Sitzung in Coscine. Dies muss erlaubt werden, damit der Login und die Zugriffsberechtigungen vom Authentifizierungsdienst an Coscine weitergegeben werden und innerhalb von Coscine während der Sitzung erhalten bleiben können. Das Cookie wird automatisch gelöscht, sobald sich die Nutzenden vom System abmelden oder den Webbrowser schließen.
Folgende Cookies werden gesetzt.
LocalStorage speichert Nutzendenpräferenzen im Internetbrowser. Auf Daten im LocalStorage können Dritte nicht zugreifen. Sie werden nicht an Dritte weitergegeben. Im LocalStorage werden Einstellungen, die Nutzende in der Weboberfläche von Coscine vorgenommen haben sowie Informationen über Zugriffberechtigungen in der aktuellen Sitzung gespeichert. Die personenbeziehbaren Token im LocalStorage werden vom Computersystem der Nutzenden gelöscht, sobald sich diese vom System abmelden.
Folgende Token werden eingesetzt.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m. § 3 Abs. 1 HG NRW.
Cookies und LocalStorage werden auf dem Rechner der Nutzenden gespeichert und von diesen an die Seite übermittelt. Daher haben Nutzende die volle Kontrolle über die Verwendung von Cookies und LocalStorage. Durch eine Änderung der Einstellungen im Internetbrowser können Nutzende die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Daten können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies und LocalStorage in Coscine deaktiviert, können möglicherweise nicht mehr alle Funktionen des Systems vollumfänglich genutzt werden.
Werden personenbezogene Daten der Nutzenden verarbeitet, sind diese Betroffene im Sinne der DSGVO und es stehen ihnen folgende Rechte gegenüber dem Verantwortlichen zu:
a) Werden personenbezogene Daten verarbeitet, so haben die Betroffenen das Recht Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. (Art. 15 DSGVO)
b) Sollten unrichtige personenbezogenen Daten verarbeitet werden, steht den Betroffenen ein Recht auf Berichtigung zu (Art. 16 DSGVO)
c) Liegen die gesetzlichen Voraussetzungen vor, so können die Betroffenen die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18, 21 DSGVO)
d) Wenn die Betroffenen in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht den Betroffenen gegebenenfalls ein Recht auf Datenübertragbarkeit zu. (Art. 20 DSGVO).
e) Beruht die Rechtsgrundlage auf einer Einwilligung, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung bleibt davon unberührt.
Sollten die Betroffenen von den genannten Rechten Gebrauch machen, prüft der/die Verantwortliche, ob die gesetzlichen Voraussetzungen hierfür vorliegen. Weiterhin besteht ein Beschwerderecht bei der Datenschutz-Aufsichtsbehörde (https://www.ldi.nrw.de/).
Liste von Anwendungen die mit Coscine verknüpft werden können und Beschreibung der dazu notwendigen Datenübermittlung an die Anwendung.
Sitz der Organisation: Deutschland
Eindeutige Log-In Daten für Sciebo.
Sitz der Organisation: Europäische Union
Eindeutige Log-In Daten für EUDAT.
Sitz der Organisation: USA
Eindeutige Log-In Daten für Gitlab.
Sitz der Organisation: USA
Sitz der Organisation: USA
Eindeutige Log-In Daten für Amazon S3.