AP Recht - KoLaWiss
AP Recht - KoLaWiss AP Recht - KoLaWiss
KoLaWiss-Gutachten AP 4: Recht Seite 74 von 163 Frage 5/6: Wie kann eine rechtsgültige Authentizität und Integrität eines Dokumentes sicherge- stellt werden? Müssen Forschungsdaten in einem elektronischen Langzeitarchiv mit einer qualifizierten elektronischen Signatur versehen werden? Stellen medizinische Da- ten hierbei abweichende bzw. besondere Anforderungen? A. Sicherstellung der Authentizität und Integrität der Daten Sofern die Archivierung von wissenschaftlichen Primärdaten in elektronischer Form urheber- rechtlich zulässig ist, muss darüber hinaus die Integrität der einzelnen Dateien sichergestellt werden, da die Daten im Rahmen der Langzeitarchivierung gerade so erhalten werden sollen, wie sie ursprünglich erfasst wurden 150 . Um die Integrität und Authentizität von Daten sicher zu stellen, sind verschiedene Verfahren denkbar. Dabei kann man zwischen systembezogenen und organisatorischen Sicherungsmitteln, datenträgerbezogenen und dokumentbezogenen Sicherungsmitteln unterscheiden 151 . B. Systembezogene und organisatorische Sicherungsmittel Zunächst kann die Integrität und Authentizität der Daten dadurch sichergestellt werden, dass das Archiv so konfiguriert wird, dass nur ein bestimmter Personenkreis auf die Daten zugrei- fen kann. Des Weiteren sind auch Beschränkungen der Zugriffsfunktionen möglich. So kön- nen die archivierten Dateien anderen Forschungseinrichtungen beispielsweise nur derart zu- gänglich gemacht werden, dass diese sie nur lesen oder herunterladen, die Dateien jedoch nicht ändern können 152 . Darüber hinaus können auch integrierte Protokollierungssysteme als Sicherungsmittel eingesetzt werden. Diese zeichnen auf, wann und vor allem wer auf Dateien im Archiv zugegriffen hat 153 . Darüber hinaus besteht ferner die Möglichkeit zur Speicherung solche Datenträger zu verwenden, die lediglich einmal beschreibbar sind. C. Datenträgerbezogene Sicherungsmittel Des Weiteren besteht die Möglichkeit, zur Archvierung Speichermedien zu verwenden, die lediglich einmal beschreibbar sind, so dass eine Veränderung der Daten nach der Speicherung nicht mehr möglich ist. Bei optischen Medien, wie etwa CD oder DVD wird die Oberfläche 150 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S.44. 151 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 23. 152 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 24. 153 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 24. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
KoLaWiss-Gutachten AP 4: Recht Seite 75 von 163 bei einer Speicherung dabei irreversibel verändert. Bei Festplattensystemen kann eine einma- lige Beschreibbarkeit durch den Einsatz spezieller Software erreicht werden 154 . D. Dateibezogene Sicherungsmittel Schließlich ist es auch möglich, bei der Sicherung der Integrität und Authentizität bei den archivierten Dateien selbst anzusetzen. So können die Dateien derart verschlüsselt werden, dass sie entweder von Unbefugten gar nicht erst gelesen werden können. Durch eine Ver- schlüsselung kann jedoch auch der Schutz vor einer Manipulation der Daten erreicht und da- mit deren Integrität und Authentizität gesichert werden. Unterschieden werden kann dabei zwischen symmetrischen und asymmentrischen Verschlüsselungssystemen. Damit stellt sich jedoch die Frage, welchen rechtlichen Anforderungen die Verschlüsselung der Dateien genügen muss. Zunächst bleibt festzuhalten, dass keine gesetzlichen Regelungen existieren, wonach archivierte Dateien generell verschlüsselt werden müssen 155 . Die Universi- tät ist von daher grundsätzlich nicht verpflichtet, die Daten, die sie archiviert, zu verschlüsseln oder die Integrität der Daten anderweitig sicherzustellen. Vielmehr ergibt sich die Notwen- digkeit einer Sicherstellung der Integrität zunächst nur aus wissenschaftlicher Sicht, da die archivierten Daten sowohl für die Universität als auch ihre Kooperationspartner nahezu wert- los wären, wenn nicht sichergestellt wäre, dass diese nicht manipuliert wurden bzw. eine sol- che Manipulation für den Verwender der Daten nicht erkennbar wäre. Die Signatur der archivierten Dokumente könnte jedoch im Rahmen der Haftung der Univer- sität für Schäden, die auf manipulierten Daten beruhen, gegenüber ihren Kooperationspart- nern eine Rolle spielen. Die Universität müsste gem. § 280 Abs. 1 BGB für solche Schäden nämlich nur dann haften, wenn sie eine Pflicht verletzt hätte. Die Pflichtverletzung könnte hierbei darin bestehen, dass keine Sicherungsmaßnahmen getroffen wurden, die ein Manipu- lieren der Daten verhindert haben bzw. die es dem Empfänger ermöglicht hätten, die Manipu- lation zu erkennen. Dabei liegt gem. § 276 I BGB ein Vertretenmüssen grundsätzlich bei vor- sätzlichem oder fahrlässigem Handeln vor. Demzufolge könnte die Universität einer Haftung entgehen, wenn die Daten entsprechend verschlüsselt wären und es für den Empfänger damit möglich wäre, eine Manipulation selbst zu erkennen, bzw. die Daten gar nicht erst durch Drit- te manipuliert werden könnten. Damit stellt sich die Frage, welchen Anforderungen eine sol- 154 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 24. 155 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 107; zur Notwendigkeit der Verschlüsselung medizinischer Daten siehe unten E.III. S. 83. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
- Seite 23 und 24: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 25 und 26: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 27 und 28: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 29 und 30: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 31 und 32: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 33 und 34: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 35 und 36: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 37 und 38: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 39 und 40: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 41 und 42: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 43 und 44: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 45 und 46: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 47 und 48: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 49 und 50: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 51 und 52: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 53 und 54: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 55 und 56: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 57 und 58: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 59 und 60: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 61 und 62: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 63 und 64: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 65 und 66: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 67 und 68: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 69 und 70: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 71 und 72: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 73: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 77 und 78: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 79 und 80: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 81 und 82: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 83 und 84: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 85 und 86: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 87 und 88: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 89 und 90: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 91 und 92: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 93 und 94: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 95 und 96: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 97 und 98: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 99 und 100: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 101 und 102: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 103 und 104: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 105 und 106: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 107 und 108: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 109 und 110: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 111 und 112: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 113 und 114: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 115 und 116: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 117 und 118: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 119 und 120: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 121 und 122: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 123 und 124: KoLaWiss-Gutachten AP 4: Recht Seit
<strong>KoLaWiss</strong>-Gutachten <strong>AP</strong> 4: <strong>Recht</strong> Seite 75 von 163<br />
bei einer Speicherung dabei irreversibel verändert. Bei Festplattensystemen kann eine einma-<br />
lige Beschreibbarkeit durch den Einsatz spezieller Software erreicht werden 154 .<br />
D. Dateibezogene Sicherungsmittel<br />
Schließlich ist es auch möglich, bei der Sicherung der Integrität und Authentizität bei den<br />
archivierten Dateien selbst anzusetzen. So können die Dateien derart verschlüsselt werden,<br />
dass sie entweder von Unbefugten gar nicht erst gelesen werden können. Durch eine Ver-<br />
schlüsselung kann jedoch auch der Schutz vor einer Manipulation der Daten erreicht und da-<br />
mit deren Integrität und Authentizität gesichert werden. Unterschieden werden kann dabei<br />
zwischen symmetrischen und asymmentrischen Verschlüsselungssystemen.<br />
Damit stellt sich jedoch die Frage, welchen rechtlichen Anforderungen die Verschlüsselung<br />
der Dateien genügen muss. Zunächst bleibt festzuhalten, dass keine gesetzlichen Regelungen<br />
existieren, wonach archivierte Dateien generell verschlüsselt werden müssen 155 . Die Universi-<br />
tät ist von daher grundsätzlich nicht verpflichtet, die Daten, die sie archiviert, zu verschlüsseln<br />
oder die Integrität der Daten anderweitig sicherzustellen. Vielmehr ergibt sich die Notwen-<br />
digkeit einer Sicherstellung der Integrität zunächst nur aus wissenschaftlicher Sicht, da die<br />
archivierten Daten sowohl für die Universität als auch ihre Kooperationspartner nahezu wert-<br />
los wären, wenn nicht sichergestellt wäre, dass diese nicht manipuliert wurden bzw. eine sol-<br />
che Manipulation für den Verwender der Daten nicht erkennbar wäre.<br />
Die Signatur der archivierten Dokumente könnte jedoch im Rahmen der Haftung der Univer-<br />
sität für Schäden, die auf manipulierten Daten beruhen, gegenüber ihren Kooperationspart-<br />
nern eine Rolle spielen. Die Universität müsste gem. § 280 Abs. 1 BGB für solche Schäden<br />
nämlich nur dann haften, wenn sie eine Pflicht verletzt hätte. Die Pflichtverletzung könnte<br />
hierbei darin bestehen, dass keine Sicherungsmaßnahmen getroffen wurden, die ein Manipu-<br />
lieren der Daten verhindert haben bzw. die es dem Empfänger ermöglicht hätten, die Manipu-<br />
lation zu erkennen. Dabei liegt gem. § 276 I BGB ein Vertretenmüssen grundsätzlich bei vor-<br />
sätzlichem oder fahrlässigem Handeln vor. Demzufolge könnte die Universität einer Haftung<br />
entgehen, wenn die Daten entsprechend verschlüsselt wären und es für den Empfänger damit<br />
möglich wäre, eine Manipulation selbst zu erkennen, bzw. die Daten gar nicht erst durch Drit-<br />
te manipuliert werden könnten. Damit stellt sich die Frage, welchen Anforderungen eine sol-<br />
154 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 24.<br />
155 Roßnagel/Fischer-Dieskau/S.Jandt/M.Knopp, S. 107; zur Notwendigkeit der Verschlüsselung medizinischer<br />
Daten siehe unten E.III. S. 83.<br />
Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist