Nutzungsbedingungen DMP4NFDI

Datum: 08.10.2024

1. Vorbemerkung

Diese Nutzungsbedingungen regeln die Nutzung des Service RDMO im Rahmen des Base4NFDI-Basisdienstes DMP4NFDI. RDMO wird von der Universitäts- und Landesbibliothek Darmstadt betrieben. Der Dienst wird für die Konsortien der Nationalen Forschungsdaten-Infrastruktur (NFDI) von der ULB Darmstadt bereitgestellt und inhaltlich von den jeweiligen Konsortien betreut.

Über die Nutzungsbedingungen hinaus gelten die allgemeinen Richtlinien und Regelungen für die Benutzung der IT-Systeme der Technischen Universität Darmstadt oder für den Betrieb oder die Bereitstellung von IT-Services im Netz der Technischen Universität Darmstadt, die auf der HRZ-Webseite veröffentlicht sind.

IT-Sicherheitsvorfälle und -notfälle jeder Art sind meldepflichtig unter security@hrz.tu-darmstadt.de oder Tel. +49 6151 16 27777. Die Mitglieder des TU Computer Emergency Teams (CERT) sind vom Präsidium benannt. Den Weisungen der TUDA-CERT-Mitglieder ist im IT-Sicherheitsvorfall oder -notfall Folge zu leisten. Siehe hierzu auch: https://www.hrz.tu-darmstadt.de/vorfallmanagement. Die Nutzer_innen sind zur Einhaltung dieser Vorschriften verpflichtet.

2. Allgemeines

Der Service RDMO (Research Data Management Organiser) ermöglicht das kollaborative Erstellen und Pflegen von Datenmanagementplänen (DMPs) im Laufe eines Forschungs- oder Lehrvorhabens, für das in RDMO entsprechende Projekte angelegt werden können. Datenmanagementpläne umfassen die Beschreibung von technischen und organisatorischen Maßnahmen der Erhebung, Speicherung, Sicherung, Verschlüsselung, Auswertung und Aufbereitung von Forschungsdaten sowie Beschreibungen der Art und des Umfangs der Daten. Des Weiteren enthalten DMPs Angaben zu den verantwortlichen Organisatoren, Forschenden und Datenschutzbeauftragten der Forschungsprojekte. Datenmanagementpläne dienen dem Nachweis und der Dokumentation der wissenschaftlichen Sorgfaltspflicht, u.a. in Drittmittelanträgen. Für die Inhalte wird seitens der ULB Darmstadt keine Verantwortung übernommen. Bei Verstoß gegen die Nutzungsbedingungen kann es zur Sperrung einzelner Nutzerkonten kommen.

3. Nutzungsberechtigung

Der Dienst richtet sich an Forschende und Angehörige von Forschungseinrichtungen, sowie externe Personen und Einrichtungen, denen der Zugriff eingerichtet wurde.

4. Rechte und Pflichten der Projektinhaber_innen

Innerhalb von RDMO werden Nutzer_innen zu bestimmten Projekten zugeordnet, bzw. sind ‘Eigentümer’ von Projekten. Die Beiträge der Nutzer_innen werden in diesen Projekten gespeichert. Projektinhaber_innen können Zugriffsrechte an weitere Nutzer_innen vergeben. Der Import und Export von Projektdaten ist immer nur auf Basis von Zugriffsrechten der Projektbeteiligten möglich. Die Nutzerkonten der Projektinhaber_innen sind personengebunden und dürfen nicht weitergegeben werden. Somit übernehmen die Projektinhaber_innen die volle Verantwortung für ihr persönliches Nutzerkonto und die sorgfältige Aufbewahrung der Zugangsinformationen. Darüber hinaus übernehmen die Projektinhaber_innen die Verantwortung für alle Inhalte ihrer Projekte.

5. Rechte und Pflichten der Projektbeteiligten

Die Projektbeteiligten übernehmen die volle Verantwortung für ihr persönliches Nutzerkonto und die sorgfältige Aufbewahrung der Zugangsinformationen.

6. Rechte und Pflichten der Betreuer_innen

Die NFDI-RDMO-Mandanten werden durch Mitarbeitende der jeweiligen Konsortien betreut. Betreuer_innen eines Konsortiums haben Zugriff auf alle Projekte eines Mandanten, um Aufgaben im Rahmen der Beratung übernehmen zu können.

7. Rechte und Pflichten des Betreibers

Die ULB Darmstadt verarbeitet personenbezogene Daten ausschließlich im notwendigen Rahmen zur Bereitstellung des Dienstes, Sie verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Die ULB Darmstadt teilt den Nutzer_innen unverzüglich Störungen, Verstöße gegen datenschutzrechtliche Bestimmungen oder die in der Datenschutzerklärung genannten Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit.

8. Kosten

Die Nutzung von RDMO ist kostenfrei, ein Rechtsanspruch zur Nutzung besteht nicht.

9. Anmeldung am System

Für die Nutzung von RDMO ist die Einrichtung eines Nutzerkontos erforderlich. Die Erstellung eines Nutzerkontos erfolgt mittels initialem Login per SSO (Single-Sign-On) über den IAM4NFDI-Dienst.

10. Datenschutz

Bei der Nutzung des Dienstes werden personenbezogene Daten erhoben und gespeichert. Nähere Informationen sind der Datenschutzerklärung zu entnehmen. Innerhalb eines Projekts kann eine Weitergabe von personenbezogenen Informationen erfolgen, z.B. können Projektname, Projektverantwortliche, Projekt-Kennziffer usw. eingetragen werden. Die erstellten Projekte sind jedoch voneinander getrennt, d.h. Nutzer_innen können nur Projekte und Informationen abfragen, soweit sie Projektbeteiligte sind. Durch Ablage entsprechender Informationen willigt der/die Nutzer_in automatisch in die Speicherung und die damit verbundene Verarbeitung auf den Systemen des System-Providers ein. Bei der Freigabe von Daten an Dritte und vor allem an nicht in der Bundesrepublik Deutschland befindliche Personen ist das jeweils gültige Datenschutzgesetz einzuhalten. Projekte, die schutzwürdige, personenbezogene Daten zu Forschungszwecken erheben bzw. nutzen, müssen ggf. gesonderte Maßnahmen und Verfahren ergreifen.

Allgemeine Hinweise zur Verarbeitung Ihrer Daten

Die Verarbeitung der Daten durch die Technische Universität Darmstadt erfolgt gemäß den datenschutzrechtlichen Bestimmungen, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, kurz: DSGVO) und des Hessischen Datenschutz- und Informationsfreiheitsgesetzes vom 03.05.2018 in der aktuell gültigen Fassung (kurz: HDSIG).

Nach Artikel 13 DSGVO hat die Technische Universität Darmstadt eine Informationspflicht bei der Erhebung von personenbezogenen Daten. Die Verantwortliche „stellt […] der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten […] Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.”

Die Technische Universität Darmstadt nimmt den Schutz Ihrer Daten ernst. Wir möchten Sie in präziser, transparenter, verständlicher und leicht zugänglicher Form informieren, wann wir welche Daten bei Ihrem Zugriff auf die Webseite erheben und wie wir diese verwenden.

Durch die Weiterentwicklung der Webseite und die Umsetzung neuer Technologien können Änderungen am Inhalt dieser Datenschutzerklärung notwendig werden. Wir bitten Sie daher, sich diese Datenschutzerklärung von Zeit zu Zeit erneut durchzulesen.

Name und Anschrift des Verantwortlichen

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Webseite ist die

Technische Universität Darmstadt
vertreten durch ihre Präsidentin
Prof. Dr. Tanja Brühl
Karolinenplatz 5, 64289 Darmstadt
Telefon: +49 6151 16-01
Internet: https://www.tu-darmstadt.de
E-Mail: praesidentin@tu-darmstadt.de

Verarbeitung der Daten

Diese Datenschutzerklärung gilt für die Webanwendung des Forschungsdatenmanagement-Dienstes RDMO und für die darin erhobenen personenbezogenen und nicht-personenbezogenen Daten.

Zweck des Forschungsdatenmanagement-Dienstes RDMO ist die kollaborative Erstellung und Bearbeitung von Managementplänen für Forschungsdaten. Diese umfassen die Beschreibung von technischen und organisatorischen Maßnahmen der Erhebung, Speicherung, Sicherung, Verschlüsselung, Auswertung und Aufbereitung von Forschungsdaten sowie Beschreibungen der Art und des Umfangs dieser Daten. Des Weiteren enthalten Managementpläne Angaben zu den verantwortlichen Forschenden und Datenschutzbeauftragten der Forschungsprojekte bzw. Forschungsinstitutionen. Datenmanagementpläne dienen dem Nachweis und der Dokumentation der wissenschaftlichen Sorgfaltspflicht und werden u. a. von Drittmittelgebern gefordert.

Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten sind die Artikel 6 Abs. 1 UAbs. 1 lit. a) bis lit. c) und lit. e) DSGVO.

Personenbezogene Daten

Nach Artikel 4 DSGVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.”

Daten für die technische Auslieferung der Webseite

Zur Auslieferung der Webseite durch die Webanwendung an den Rechner der nutzenden Person beziehungsweise an den Webbrowser der nutzenden Person ist aus technischen Gründen eine vorübergehende Verarbeitung der vollständigen IP-Adresse durch den Webserver an der Technischen Universität Darmstadt und die nachgelagerten Webanwendungen notwendig.

Nicht-authentisierte Nutzung der Webanwendung

Bei nicht-authentisierten nutzenden Personen werden in der Webanwendung über die vorübergehende Verarbeitung der vollständigen IP-Adresse hinaus keine personenbezogenen Daten erhoben und verarbeitet.

Authentisierte Nutzung der Webanwendung mittels personenbezogenen Accounts

Bei authentisierten nutzenden Personen werden dem Zweck der Webanwendung entsprechend folgende personenbezogene Daten verarbeitet:

• Name der nutzenden Person
• Name der Heimatorganisation
• Im IdP der Heimatorganisation hinterlegte E-Mailadresse
• Benutzerkennung und Session Cookies
• Zugehörigkeiten zu Rollen und Gruppen, in der Webanwendung
• Von der nutzenden Person erstellte Dokumente mit typischerweise Titel, Name und Heimatorganisation der am Datenmanagement eines Forschungsprojekts beteiligten Personen

Die Übermittlung personenbezogener Daten im Rahmen des föderierten Shibboleth-Authentifizierungsdienstes des DFN-Vereins oder des IAM4NFDI-Dienstes an die Webanwendung und die anschließende Verarbeitung der personenbezogenen Daten erfolgt auf Basis der jeweils für die Heimatorganisation und der nutzenden Person geltenden rechtlichen Regelungen oder nach ausdrücklicher Einwilligung der nutzenden Person.

Die Erhebung, Verarbeitung und Übermittlung personenbezogener Daten der nutzenden Person der eigenen Hochschule erfolgt auf Basis der für die servicenehmende Hochschule und der nutzenden Person geltenden rechtlichen Regelungen (u. a. HHG, HImV, Tarifrecht, Beamtenrecht, Personalrecht, DSGVO) oder nach ausdrücklicher Einwilligung der nutzenden Person.

Die Übermittlung personenbezogener Daten im Rahmen der Nutzung nicht-einrichtungsgebundener Authentifizierungsdienste (z.B. ORCID) erfolgt nach ausdrücklicher Einwilligung der nutzenden Person.

Ort der Verarbeitung und Speicherung

Die in der Webanwendung verarbeiteten Daten werden in Darmstadt, im Land Hessen der Bundesrepublik Deutschland und nicht in Staaten außerhalb des Anwendungsbereichs der DSGVO verarbeitet und gespeichert.

Cookies

Ein sogenanntes Cookie ist ein Textfragment, das die Webseite über den Webbrowser auf dem Rechner des oder der Anfragenden platziert und dessen Inhalt bei jedem folgenden Zugriff des Webbrowsers auf die Webseite erneut an diese übermittelt wird.

Für rein auf die Funktionalität der Webanwendung begrenzte Zwecke werden temporäre Cookies gesetzt, die keine Anwendungs-übergreifende Identifizierung der nutzenden Person erlauben. Dies umfasst insbesondere folgende Zwecke:

• Authentisierung der aktuellen Web-Sitzung der nutzenden Person gegenüber der Webanwendung
• Authentisierung der aktuellen Web-Sitzung des zentralen Identity-Providers der nutzenden Person gegenüber der Webanwendung
• Speicher für Anwendungs-spezifische Einstellungen, z. B. von der nutzenden Person gewählte Sprache, Session-Laufzeit

Die Speicherung von Cookies kann im von der nutzenden Person verwendeten Webbrowser deaktiviert werden. In diesem Fall werden keine Cookies gespeichert. Infolgedessen können jedoch keine personenbezogenen Funktionen der Webseite ausgeführt werden (s. o.).

Auswertungen

Die Webanwendung nutzt keine Analysesoftware zur statistischen Auswertung der Zugriffe durch die nutzende Person.

Protokollierte Daten im Webserver

Bei Ihrem Zugriff auf die Webseite werden folgende personenbezogene Daten in Form von Zugriffsprotokollen des Webservers gespeichert:

• IP-Adresse
• User ID (Accountname)
• Zugriffsdatum/-zeit
• Zugriffsmethode
• Zugriffserfolg
• zugegriffene Ressource
• übertragenes Datenvolumen
• Bezeichnung des Webbrowsers, über den der Zugriff erfolgt

Die Zugriffsprotokolle mit den oben genannten Daten werden für eine Dauer von 7 vollständigen Tagen gespeichert und anschließend gelöscht.

Protokollierte Daten in der Webanwendung

Es werden keine Daten der nutzenden Person erfasst.

Verweise zu externen Webseiten

Die Webseiten enthalten gegebenenfalls Verweise („Links”) zu Webseiten anderer Rechtspersonen. Die Technische Universität Darmstadt hat keinen Einfluss darauf, ob die verantwortlichen Personen für diese externen Webseiten ebenfalls die gesetzlichen Datenschutzbestimmungen erfüllen. Bitte prüfen Sie stets dann die Datenschutzerklärungen der externen Webseiten.

Empfänger Ihrer Daten bei gesetzlicher oder gerichtlicher Verpflichtung

Die Daten, die bei Ihrem Zugriff auf die Webseite gespeichert wurden, werden nur an Dritte weitergegeben, soweit wir gesetzlich oder durch eine Gerichtsentscheidung dazu verpflichtet sind oder dies im Falle eines Angriffs auf die Webseite zur Rechts- oder Strafverfolgung notwendig ist.

Ihre Rechte

Als nutzende Person der Webseite haben Sie nach den Art. 15 bis 18, 20 und 21 DSGVO und dem HDSIG verschiedene Rechte: Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch, Recht auf Datenübertragbarkeit und Recht auf Beschwerde.

Auskunftsrecht

Nach Artikel 15 DSGVO können Sie über Ihre personenbezogenen Daten Auskunft verlangen, die wir verarbeiten. In Ihrem Auskunftsantrag sollten Sie Ihr Anliegen präzisieren, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern. Bitte beachten Sie, dass Ihr Auskunftsrecht durch Vorschriften des HDSIG eingeschränkt wird.

Berichtigungsrecht

Nach Artikel 16 DSGVO und § 53 HDSIG haben Sie das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt gemäß § 53 HDSIG an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall unterrichten wir Sie, bevor wir die Einschränkung wieder aufheben. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen.

Löschungsrecht

Entsprechend Artikel 17 DSGVO und § 34 HDSIG können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Ihr Anspruch auf Löschung hängt von einigen Bedingungen ab, beispielsweise ob wir Ihre Daten noch zur Erfüllung unserer gesetzlichen Aufgaben benötigen.

Recht auf Einschränkung der Verarbeitung

Nach Artikel 18 DSGVO haben Sie das Recht, unter bestimmten Voraussetzungen von uns die Einschränkung der Verarbeitung zu verlangen, beispielsweise wenn die Richtigkeit Ihrer personenbezogenen Daten von Ihnen bestritten wird, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen. Weitere Voraussetzungen werden in Artikel 18 DSGVO Absatz 1 genannt. Wurde die Verarbeitung demgemäß eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zu den in Artikel 18 DSGVO Absatz 2 definierten Zwecken verarbeitet werden. Haben Sie von uns eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten erwirkt, werden Sie von uns unterrichtet, bevor die Einschränkung aufgehoben wird.

Datenübertragbarkeitsrecht

Nach Artikel 20 DSGVO haben Sie das Recht, die Herausgabe Ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format von uns zu verlangen und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.

Widerspruchsrecht

Nach Artikel 21 DSGVO haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung von Daten zu widersprechen, die Sie betreffen. Ihrem Widerspruch können wir allerdings nicht immer entsprechen, beispielsweise wenn uns nach § 35 HDSIG eine Rechtsvorschrift zur Verarbeitung verpflichtet. Bitte beachten Sie auch, dass wir zwingend die IP‑Adresse Ihres Clients verarbeiten müssen, damit Sie die Webseite nutzen können.

Beschwerderecht

Wenn Sie der Auffassung sind, dass die servicenehmende Hochschule bei der Verarbeitung Ihrer Daten datenschutzrechtliche Vorschriften nicht beachtet hat, können Sie sich mit einer Beschwerde an die/den behördliche/-n Datenschutzbeauftragte/-n der servicenehmenden Hochschule, die/den behördliche/-n Datenschutzbeauftragte/-n der TU Darmstadt oder an die Aufsichtsbehörde für die Daten verarbeitenden öffentlichen Stellen des Landes Hessen wenden, um diese prüfen zu lassen.

Datenschutzbeauftragte der Verantwortlichen

Die Kontaktdaten der oder des Behördlichen Datenschutzbeauftragten der Technischen Universität Darmstadt befinden sich unter https://www.tu-darmstadt.de/datenschutz/.

Aufsichtsbehörde

Die Kontaktdaten der oder des Hessischen Beauftragten für Datenschutz und Informationsfreiheit befinden sich unter https://datenschutz.hessen.de.

10. Datensicherheit

Die Übertragung der Daten zwischen den Endgeräten und dem zentralen Speichersystem erfolgt verschlüsselt. Die Daten werden unverschlüsselt auf Speichersystemen der ULB Darmstadt abgelegt. Der Zugriff ist beschränkt auf den/die Nutzer_in, der/die die Daten initial gespeichert hat (Eigentümer_in) und ggfs. weitere Personen, denen Zugriff auf das Projekt gewährt wurde, sowie Betreuer_innen des Konsortiums im Rahmen ihrer Beratungstätigkeit. Ein_e Administrator_in (Superuser) kann alle Projekte sehen, er/sie hat jedoch auch die besondere Verpflichtung, diese Rechte nur im Rahmen seiner/ihrer administrativen Tätigkeiten anzuwenden.

11. Haftung

Die Technische Universität Darmstadt haftet unbeschränkt bei Vorsatz oder grober Fahrlässigkeit, bei Verletzung von Leben, Leib oder Gesundheit und nach den Vorschriften des Produkthaftungsgesetzes. Bei leicht fahrlässiger Verletzung einer Pflicht, die wesentlich für die Erreichung des Vertragszwecks ist (Kardinalpflicht), ist die Haftung Technischen Universität Darmstadt der Höhe nach begrenzt auf den Schaden, der nach der Art des fraglichen Geschäfts vorhersehbar und typisch ist. Eine weitergehende Haftung besteht nicht. Die vorstehende Haftungsbeschränkung gilt auch für die persönliche Haftung der Mitarbeiter und Vertreter.

12. Virenschutz

Da die Daten nur durch Virenschutz-Systeme auf den Endgeräten geschützt werden, liegt es in der Verantwortung der Nutzer_innen, solche zu installieren. Eine serverseitige Prüfung auf Viren erfolgt nicht.

13. Maßnahmen zur Betriebssicherung

Die ULB Darmstadt ist bestrebt, den Service 24 Stunden, 7 Tage die Woche bereitzustellen. Eine Garantie für die dauerhafte Verfügbarkeit ist damit nicht verbunden. Die Verfügbarkeit kann u.a. im Rahmen des Wartungsfensters (Di 06:30 - 08:30 Uhr) eingeschränkt sein. Die RDMO-Instanz wird über ein tägliches Backup zur Wiederherstellungsmöglichkeit des Gesamtsystems und nicht der einzelnen Nutzendendaten gesichert. Folglich ist es der ULB Darmstadt nicht möglich, ein gelöschtes DMP-Projekt wiederherzustellen.

14. Verzicht auf Nutzung von RDMO

Die Nutzer_innen, die sich entscheiden, den Dienst RDMO nicht mehr zu nutzen oder auf ein System eines anderen Providers zu wechseln, sind für die eventuell daraus resultierende Migration eigener Daten in das neue System selbst zuständig und verantwortlich.

15. Löschung von Daten und Zugangsberechtigungen

Der Zugriff auf RDMO ist u.a. mittels Hochschul-ID/IAM4NFDI möglich. Erlöscht diese Zugriffsberechtigung, ist eine Bearbeitung der Projekte und Zugriff auf enthaltene Daten nicht weiter möglich. Wir empfehlen Nutzer_innen vor dem Erlöschen, das Konto mit ihrer ORCD-ID zu verknüpfen, erstellte Projekte bei Bedarf zu exportieren oder Zugriffsrechte z.B. an weitere Projektbeteiligte zu vergeben.

Nutzer können erstellte Projekte und auch ihren Account löschen.

16. Änderungen an den Nutzungsbedingungen

Die ULB Darmstadt behält sich das Recht vor, die Bedingungen für die Nutzung des Service zu ändern. Dies gilt insbesondere dann, wenn eine Änderung aufgrund gesetzlicher Vorschriften notwendig wird.