Letzte Aktualisierung: 2. Juni 2021
Als globale Plattform, die von Benutzern auf der ganzen Welt genutzt wird, um sich an Forschungs-, Wissenschafts- und Innovationsaktivitäten zu beteiligen, ORCID ist bestrebt, auf Änderungen der Datenschutz- und Sicherheitsanforderungen einzugehen, die sich auf seine Benutzer auswirken.
Am 15. Juli 2020 erließ der Europäische Gerichtshof („EuGH“), das höchste Gericht im EU-Rechtssystem, seine Entscheidung Schrems II, wodurch das EU-US-Datenschutzschild gemäß der Datenschutz-Grundverordnung („DSGVO“) der EU für ungültig erklärt und die fortgesetzte Verwendung der Standardvertragsklauseln (SCCs) für die Übermittlung von Daten in ein Drittland bestätigt wird. Sehen Facebook Ireland und Schrems, Rechtssache C-311/18 (anhängig beim Gerichtshof der Europäischen Union („EuGH“) [im Folgenden „Schrems II"]. In seiner Entscheidung äußerte der EuGH Bedenken hinsichtlich der Frage, ob personenbezogene Daten, die aus der EU in die USA übertragen werden, nach ihrer Speicherung in den USA angemessen geschützt sind. Angesichts dieser Entscheidung ORCID beauftragte einen externen Berater mit der Durchführung einer Überprüfung der Auswirkungen Schrems II über seine Geschäftstätigkeit. Nachfolgend finden Sie zusätzliche Informationen bzgl ORCIDDer Ansatz der Kommission für weitere grenzüberschreitende Datenübermittlungen von der EU in die USA.
Beeinflusst die ORCID Übermitteln Sie derzeit personenbezogene Daten aus der EU in die USA?
Ja, ORCID überträgt im Rahmen seiner Netzwerkinfrastruktur personenbezogene Daten aus der EU in die USA. Die Live-Registrierungssoftware wird auf Servern in den USA gehostet.
ORCID stützt sich auf zwei Mechanismen zur Übermittlung personenbezogener Daten im Rahmen der DSGVO. Erste, ORCID holt zum Zeitpunkt der Registrierung die Einwilligung seiner Nutzer zur Übermittlung personenbezogener Daten aus der EU in die USA ein. Zweite, ORCID schließt bei Bedarf Standardvertragsklauseln (SCCs) mit Mitgliedsorganisationen ab.
ORCID schließt gerne die Standardvertragsklauseln mit jedem Mitglied in der EU, im EWR oder im Vereinigten Königreich ab, an das personenbezogene Daten übermittelt werden ORCID mithilfe der Member-API. Bitte wenden Sie sich an Ihren ORCID Kontaktieren Sie das Engagement-Team, um die Aufnahme der Standardvertragsklauseln in Ihre Mitgliedschaftsvereinbarung zu besprechen.
Ja, ORCID pflegt auf seiner Website eine Reihe von Dokumenten, die sich auf seine Datenschutz- und Sicherheitspraktiken beziehen. Zu diesen Dokumenten gehören:
Datenschutz-Bestimmungen - ORCID
ORCID Vertrauen - ORCID
ORCID, DSGVO und Ihre Rechte als Nutzer
ORCID TRUSTe-Bescheinigungsschreiben
Ja, zusätzlich zu den oben besprochenen Schutzmaßnahmen ORCID umfasst die folgenden ergänzenden Maßnahmen zum Datenschutz.
Kontrolle der betroffenen Person. Den Benutzern wird ein hohes Maß an Transparenz und Kontrolle in Bezug auf die mit ihnen geteilten Informationen geboten ORCID und andere Benutzer oder Mitgliedsorganisationen. ORCID hat Maßnahmen ergriffen, um die Menge der personenbezogenen Daten zu minimieren, die für die Einrichtung eines Unternehmens erforderlich sind ORCID erfassen, wobei lediglich ein Vorname und eine E-Mail-Adresse erforderlich sind. Zusätzlich, ORCID macht deutlich, dass seine Tools und Dienste Benutzern die Kontrolle über die Registrierung geben, was mit einer iD verbunden ist und wer auf Benutzerinformationen zugreifen kann.
Vereinbarungen zur Auftragsverarbeitung mit Drittanbietern. ORCID schließt mit seinen Auftragsverarbeitern Vereinbarungen ab, die Datenschutz- und Sicherheitsbestimmungen beinhalten. Vor dem Abschluss von Verträgen mit Auftragsverarbeitern ORCID führt eine Due-Diligence-Prüfung durch, die sich mit Datenschutz- und Sicherheitskomponenten befasst. Um diese Due Diligence durchzuführen, ORCID stellt zunächst fest, ob der Drittanbieter Zugriff auf personenbezogene Daten hat und/oder Kopien davon erhält. Wenn die Antwort ja ist, dann ORCID treibt die Aushandlung einer Datenverarbeitungsvereinbarung voran, die den Anforderungen der DSGVO und allen anderen geltenden Datenschutzanforderungen entspricht.
Datenverschlüsselung. ORCID implementiert angemessene Verschlüsselungsmaßnahmen für alle Daten im Ruhezustand und während der Übertragung. Darüber hinaus sind alle Backups verschlüsselt.
Technische und organisatorische Maßnahmen. ORCID implementiert eine Vielzahl von Sicherheitskontrollen, um die sichere Verwaltung seiner Datenbanken und Infrastruktur zu unterstützen. Zu diesen Sicherheitskontrollen gehören die Verwaltung von Sicherheitspatches; Überwachung des Systemzugriffs; Audit-Protokollierung; Zugangskontrolle; und Änderungskontrollmechanismen. Zusätzlich, ORCID unterhält einen Notfallreaktionsplan sowie einen Notfall- und Datenwiederherstellungsprozess.
Ja, ORCID macht den Benutzern klar, dass sie im Falle einer behördlichen Datenanfrage „nur solche Daten bereitstellen wird, die wir in der jeweiligen Situation für notwendig erachten“. Sehen Datenschutzerklärung, Abschnitt 6.4. Weiter ORCID stellt klar, dass es, sofern dies zulässig ist, „den relevanten Dateninhabern umgehend Informationen über alle eingegangenen behördlichen Datenanfragen und betroffenen Konten zur Verfügung stellen wird“.
Das ist unwahrscheinlich ORCID würde den in der Schrems-II-Entscheidung hervorgehobenen Anforderungen des US-Überwachungsrechts unterliegen. Seit ORCID ist kein „Anbieter elektronischer Kommunikationsdienste“ im Sinne von Abschnitt 50 USC § 1881(b)(4) und unterliegt nicht dem Foreign Intelligence Services Act („FISA“). ORCID stellt ein Online-Register bereit, das zur Identifizierung von Forschern aus Mitgliedsorganisationen verwendet wird; Daher würde Abschnitt 702 des FISA nicht auf diese Anwendung anwendbar sein ORCID und seine Daten.
Ja, ORCID unterscheidet nicht zwischen Benutzern mit Sitz in der EU oder außerhalb der EU. Während in bestimmten Regionen möglicherweise unterschiedliche Datenschutzgesetze gelten, ORCID ist bestrebt, allen Benutzern Datenschutz gemäß seiner Datenschutzrichtlinie zu bieten, die Sie unter finden https://info.orcid.org/privacy-policy/.