Datenschutz und Datentracking in Verlagsverträgen

Bernhard Mittermaier, Forschungszentrum Jülich, Zentralbibliothek

Zusammenfassung

Dieser Beitrag erörtert das „Was?“, das „Wie?“ und das „Warum?“ des Datentracking von Verlagen und nimmt eine juristische Einordnung vor. Am Beispiel der DEAL-Verlage und ausgewählter weitere Verlage wird dargestellt, welches Datentracking in der Praxis geschieht und in welchem Umfang es in den DEAL-Verhandlungen gelungen ist, Datentracking zu begrenzen. Dabei wird deutlich, dass vertraglich häufig nicht mehr vereinbart werden konnte, als gesetzlich sowieso vorgeschrieben ist. In vielen Fällen werden mehr Daten und für einen längeren Zeitraum gespeichert, als es eigentlich notwendig wäre.

Summary

This article discusses the “what?”, the “how?” and the “why?” of data tracking by publishers, along with some legal considerations. Using the example of DEAL publishers and selected other publishers, it shows which data tracking happens in practice and to what extent it has been possible to limit data tracking in the German DEAL negotiations. It becomes clear that it is often not possible to contractually agree on more than is required by law anyway. In many cases, more data is stored and for a longer period of time than would actually be necessary.

Zitierfähiger Link (DOI): https://doi.org/10.5282/o-bib/6087

Autorenidentifikation: Mittermaier, Bernhard: ORCID: https://orcid.org/0000-0002-3412-6168; GND: https://d-nb.info/gnd/123436338

Schlagwörter: Datentracking; Datenschutz; Wissenschaftliches Publikationswesen; Verlage; Bibliotheken; DSGVO; DEAL

Dieses Werk steht unter der Lizenz Creative Commons Namensnennung 4.0 International.

1. Einleitung

Viele Online-Dienste wie Social-Media-Plattformen, Smartphone-Apps oder einzelne Artikel von Tageszeitungen werden schon seit langem ohne monetäre Bezahlung angeboten. Unternehmen, die hinter diesen „kostenlosen“ Angeboten stehen, erwirtschaften dennoch zum Teil erhebliche Umsätze und Gewinne. Diese werden in vielen Fällen auch durch die Weiterverwendung von Nutzerdaten generiert. So werden z.B. die bei der Nutzung ermittelten persönlichen Interessen für maßgeschneiderte Werbung genutzt und diese Werbeplätze entsprechend vergütet.¹ Die Nutzenden bezahlen die Angebote mit ihren Daten, die persönlichen Informationen werden somit zur Währung. Seit dem 1. Januar 2022 ist diese Art der Bezahlung im Bürgerlichen Gesetzbuch (BGB § 312 Abs. 1a) auch ausdrücklich so geregelt: Die Weitergabe von Daten ist einer Geldzahlung gleichgesetzt.

Wenn sich Wissenschaftsverlage die Nutzung ihrer Online-Angebote mit Nutzerdaten bezahlen lassen, so könnte man dies in Anlehnung an das „klassische“ Double Dipping², bei dem Hybrid-Open Access-APCs zusätzlich zu den Subskriptionsgebühren erhoben werden, als „Double Dipping 2.0“ bezeichnen. Im Unterschied zu den o. g. Geschäftsmodellen stellen Wissenschaftsverlage die Inhalte ja nicht kostenfrei zur Verfügung, sondern werden entweder für das Lesen (Subskriptionsverträge) oder für das Schreiben (Gold-OA-APCs)³ oder für beides in einem Vertrag (Transformationsverträge) bezahlt.

Dieser Beitrag⁴ diskutiert zunächst, warum Verlage mutmaßlich Daten erheben und wie sie dabei vorgehen, erörtert anschließend juristische Aspekte und die Reaktionen aus der Wissenschaft auf dieses Vorgehen, und analysiert dann die Behandlung des Themas in den Ende 2023 abgeschlossenen DEAL-Verträgen.

2. Motive des Datentracking

Beim Datentracking „werden die Daten von Wissenschaftlerinnen und Wissenschaftlern [...] bei der Nutzung von Informationsdiensten wie z.B. der Literaturrecherche getrackt, das heißt festgehalten und gespeichert.“⁵ Dies kann im unmittelbaren Interesse der Nutzenden liegen (z.B. Speicherung und Nutzung einer Email-Adresse zur Bearbeitung einer Anfrage), im Interesse der Einrichtung und somit in einem zumindest mittelbaren Interesse der Nutzenden (z.B. Erstellung von COUNTER-Statistiken für die Einrichtung der Nutzenden) oder in einem unbestrittenen Interesse der Verlage (z.B. Speicherung des Bereichs der IP-Adressen einer lizenzierenden Einrichtung bei zugangsbeschränkten Angeboten). In der Kritik sind nicht diese Zwecke der Datenspeicherung, sondern der Umstand, dass Verlage oftmals „alles“ speichern, und zwar über längere Zeiträume hinweg, ggf. Daten aus verschiedenen Nutzungszusammenhängen kombinieren und so Personenprofile anlegen. Warum tun dies Verlage? Die Personalisierung von Werbung als der übliche Grund für exzessives Datensammeln ist bei vielen Verlagen vermutlich nicht von großem Belang.⁶ Persönliche Profile von Nutzenden, die als Autor*in und/oder als Gutachter*in tätig sind, sind jedoch zweifellos sehr nützlich: Sie erlauben es, fachlich passende Zeitschriften als Publikationsort anzubieten und nur bei fachlich einschlägigen Manuskripten um Begutachtung zu bitten. Elsevier hat eine weitere potentielle Verwendungsmöglichkeit von Nutzungsdaten im Kontext von Scopus AI. Diese Erweiterung der Datenbank Scopus um Methoden der künstlichen Intelligenz ermöglicht es u.a., Namensvorschläge für Expert*innen zu einem bestimmten Thema zu erhalten. Als weiteres Beispiel sei die Beratungsdienstleistung mancher Publikationsdienstleister genannt, die Hochschulleitungen anbieten, sie bei der Verbesserung der Platzierung in Hochschulrankings zu unterstützen.⁷ Ein häufig zitiertes Beispiel ist der Verkauf personenbezogener Daten durch LexisNexis an die Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE)⁸ – für rund 20 Millionen Dollar.⁹ LexisNexis ist ebenso wie Elsevier ein Teil der RELX Group. Es ist offen, ob darunter auch Daten sind, die bei der Benutzung von ScienceDirect als Autor*in oder als Leser*in erhoben wurden. Dass dies zumindest nicht völlig fernliegend ist, zeigt der Umstand, dass auf ScienceDirect jedenfalls im Jahr 2020 ThreatMetrix implementiert war.¹⁰ ThreatMetrix kann nach eigenen Angaben 4,5 Milliarden Geräte identifizieren und gehört zu LexisNexis Risk Solutions, also ebenfalls zur RELX Group.¹¹ Ganz anders gelagert wäre ein anderer „Grund“ für Datentracking: Auch Verlage verwenden zur Erstellung ihrer Webseiten Baukästen, die Trackingtools- und Einstellungen oftmals per default enthalten. Es wäre also prinzipiell denkbar, dass Verlage Datentracking unwissentlich betreiben und die gesammelten Daten überhaupt nicht verwenden. Ohne die juristische Frage zu diskutieren, wer in einem solchen Fall die Verantwortung trägt, ist aber mindestens festzuhalten, dass es nach den DEAL-Verhandlungen 2022/2023 eine unschuldige Unkenntnis nicht mehr geben kann.

3. Techniken des Datentracking

Nachstehend wird ein Überblick zu verschiedenen Techniken des Datentracking gegeben. Für eine vertiefte Darstellung sei auf die Publikation der AWBI/DEAL-Arbeitsgruppe¹² und die dort zitierte weiterführende Literatur verwiesen. Eine einfach zu bedienende Webanwendung zur Untersuchung verschiedener Datenschutzaspekte beliebiger Webseiten ist Webbkoll.¹³

Die Erfassung von Daten erfolgt üblicherweise während der Verwendung eines Browsers, aber auch während der Nutzung von Apps oder E-Mail. Dabei gibt es sowohl direkte Datenflüsse an den Verlag (First-Party-Tracking) als auch Datenflüsse an Dritte, z.B. an Buchungs- oder Zahlungssysteme, an Cloud-Anbieter wie Amazon oder Cloudflare oder an Werbesysteme z.B. von Google oder Adobe (Third-Party-Tracking). Die Einbindung solcher Dritter ist für die Nutzenden nicht immer transparent. So ist beispielsweise die Einbindung von Drittdiensten zur Bereitstellung bestimmter Schriftarten („Google Fonts“) üblich und führt dazu, dass der Drittdienst zwangsläufig aufgerufen wird und dadurch Daten übermittelt werden. Oft ist es nur eingeschränkt oder gar nicht möglich, diese Art des Tracking zu verhindern.¹⁴

Tracking kann in verschiedenen Ausprägungen stattfinden, z.B.:

• Tracking von Zugriffen auf Webseiten und deren Inhalte mit personalisierten Parametern wie Cookies. Dabei wird z.B. übermittelt, wer wann ein bestimmtes Dokument einsieht.
• Identifikation durch Analyse der Systemkonfiguration: Die auf einem Rechner vorhandene Kombination von Betriebssystemversion, Sprache, installierten Programmen etc. ist in der Summe meist einzigartig und somit genau einem Rechner zuordenbar. Wenn man sich von diesem Rechner aus nur einmal mit Klarnamen an einem System anmeldet, kann diese Verbindung fortan stets hergestellt werden.¹⁵
• Personalisierung der genutzten Dokumente: Eine PDF-Datei wird mit einem sichtbaren oder unsichtbaren Wasserzeichen versehen, das z.B. Tag und Uhrzeit des Abrufs sowie die verwendete IP-Adresse enthält und somit eine Nachverfolgung ermöglicht, wenn eine Publikation, die eigentlich hinter einer Paywall liegt, frei im Internet verfügbar ist.

Auch wenn sich von außen aufgrund von Verschlüsselung viele Kommunikationsinhalte nur eingeschränkt beobachten lassen, können einige Eigenschaften dieser Datenübertragungen dennoch beobachtet werden. Dazu gehören das ausgetauschte Datenvolumen, die Anzahl der Kommunikationsvorgänge und die beteiligten Drittparteien.¹⁶ Diese Identifikation können potenziell Getrackte zusammen mit Informationen aus der Whois-Datenbank¹⁷ zudem auch nutzen, um die physische oder logische Position der Drittanbieter zu bestimmen. Was die Beobachtung der übermittelten Daten von außen jedoch nicht leisten kann, ist den Getrackten Aufschluss darüber zu geben, ob und wie lange diese Daten gespeichert werden, in welchen Ländern sie verarbeitet werden, ob sie an Dritte weitergeleitet werden usw. Ganz allgemein: Man kann allenfalls feststellen, was erhoben wird. Was mit den erhobenen Daten geschieht (Analysen, Produktentwicklungen, …), ist jedoch nicht festzustellen. Da die Verlage in den DEAL-Verhandlungen nur bereit waren mitzuteilen, welche Techniken eingesetzt werden, sie jedoch allenfalls sehr generische Angaben zum Zweck und zur Art der Verwendung machten, kann auch aus dieser Perspektive kein auch nur halbwegs erschöpfender Befund erhoben werden. Auch öffentliche Aussagen sind generisch, aber trotzdem „eindrucksvoll“, wie z.B. die Datenschutzrichtlinie von Wiley: „We collect this information through tracking technologies, including first and third-party cookies, web beacons (also known as tracking pixels or pixel tags), embedded scripts, location-identifying technologies, device recognition technologies, and session replay software. We may combine this information with other information that we hold.“ ¹⁸

Generell ist anzumerken, dass Wege, Mittel und Zwecke des Datentracking weder durch Gespräche im Rahmen der Vertragsverhandlungen noch, wie gezeigt, durch forensische IT in einem befriedigenden Umfang aufgeklärt werden können. Eine echte Handhabe besitzen nur die einzelnen Nutzenden selbst durch Wahrnehmung ihres Rechts auf Auskunft (Art. 15 Datenschutzgrundverordnung, DSGVO) sowie die Datenschutzbehörden im Rahmen ihrer gesetzlichen Aufgaben und Befugnisse.

4. Rechtliche Bedingungen für Datentracking

Die Datenschutzgrundverordnung setzt der Erhebung, Speicherung und Verarbeitung von Daten und somit auch dem Datentracking einen zwingend gültigen rechtlichen Rahmen. So gilt z.B. gemäß Art. 5 Abs. 1 DSGVO:

„Personenbezogene Daten müssen

1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] („Zweckbindung“);
3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
4. […]
5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist […] („Speicherbegrenzung“);“¹⁹

Der Autor kann auch nach monatelanger Beschäftigung mit der Thematik für sich nicht erkennen, dass lit. a erfüllt ist, und an der Erfüllung von lit. b, c, und e bestehen erhebliche Zweifel – vgl. hierzu die Ausführungen zu den DEAL-Verträgen in Abschnitt 6.

Zu den weiteren zwingenden Anforderungen zählt, dass alle Betroffenen stets umfangreich zu informieren sind (Art. 12–14 DSGVO) und dass hohe Anforderungen an die Sicherheit der Datenverarbeitung greifen (Art. 33 DSGVO). Zentral ist, dass die Verarbeitung personenbezogener Daten ausdrücklich erlaubt sein muss. Der datenschutzrechtliche Königsweg hierfür ist die informierte und freiwillige Einwilligung einschließlich der Möglichkeit der Nutzung auch ohne Einwilligung. Letztere ist hier aber offenbar nicht möglich: Ein bestimmter Artikel ist nur an dieser Stelle erhältlich und man erhält ihn nur, wenn man den angeblich essentiellen, rein technisch aber wohl nicht immer notwendigen Cookies zustimmt (siehe unten Abschnitt 6). Die aus Verlagssicht niedrigste Hürde ist das Vorliegen eines „berechtigten Interesses“ des Verlags oder eines Dritten (Art. 6 Abs. 1 lit. f DSGVO). „Berechtigtes Interesse“ ist ein unbestimmter Rechtsbegriff, zu dem die Erwägungsgründe 47–49 der DSGVO²⁰ immerhin Erläuterungen geben. Die „Artikel 29 Arbeitsgruppe“ der EU führt in einer Stellungnahme zu Richtlinie 95/46/EG²¹ aus:

„In Artikel 7 Buchstabe f ist die letzte von sechs Voraussetzungen für die gesetzlich zulässige Verarbeitung personenbezogener Daten aufgeführt. Im Klartext wird darin eine Prüfung der Ausgewogenheit zwischen dem berechtigten Interesse des für die Verarbeitung Verantwortlichen oder Dritter, denen die Daten übermittelt werden, und den Interessen oder Grundrechten der betroffenen Person gefordert. Das Ergebnis dieser Prüfung der Ausgewogenheit der Interessen entscheidet darüber, ob Artikel 7 Buchstabe f als Rechtsgrundlage für eine Verarbeitung geltend gemacht werden kann.“²²

Unklar ist, inwiefern diese Prüfung zwischen den Rechten betroffener Personen und den „berechtigten Interessen“ faktisch stattfindet.

Relevant sind diese Themen aber nicht nur für die von der Datenverarbeitung betroffenen Personen, sondern auch für die Bibliotheken/Einrichtungen, die Vertragspartner der Verlage sind. Es ist nämlich anzunehmen, dass eine gemeinsame Verantwortung im Sinne von Art. 26 DSGVO vorliegt, weil die Bibliothek/Einrichtung die Datenverarbeitung durch die Verlage ermöglicht und selbst von der Datenverarbeitung (auch nur mittelbar) profitiert:²³ Bibliotheken vermitteln für ihre Einrichtungen den Zugang der Forschenden zu Verlagsplattformen, wodurch erst deren personenbezogene Daten durch die Verlage genutzt werden können. Die Bibliotheken erhalten von den Verlagen Statistiken, die teilweise nur auf Grundlage einer Identifikation der Nutzenden erhoben werden können, also das Datentracking voraussetzen. Bei der Verifikation der Autor*innen arbeiten Verlage und Bibliotheken eng zusammen, oft in einem gemeinsam genutzten Dashboard. Wenn eine solche gemeinsame Verantwortung vorliegt, dann können gemäß Art. 26 Abs. 3 DSGVO die betroffenen Personen Ansprüche gegen jeden Verantwortlichen geltend machen. Die Bibliothek würde dann also ‒ jedenfalls zunächst ‒ gegenüber betroffenen Personen aus ihrer Einrichtung auch für Verstöße des Verlags haften.²⁴

5. Reaktionen von Wissenschaft und Bibliotheken

Seit einigen Jahren gibt es eine Gegenbewegung aus Wissenschaft und Bibliotheken zu den Data-Analytics-Ansätzen mancher Verlage²⁵ und den damit verbundenen Datentracking-Aktivitäten. International ist beispielsweise die frühe Publikation von Cody Hanson²⁶ aus dem Jahr 2019 zu nennen. Es folgten Veröffentlichungen von SPARC zu Überwachungsmechanismen der Verlage im Allgemeinen²⁷ und von Elsevier im Speziellen²⁸ sowie der Beitrag „Surveillance Publishing“ von Jefferson Pooley²⁹ und die Monographie „Data Cartels“ von Sarah Lamdan³⁰. Eine amerikanische Menschenrechtsorganisation hat sich klar gegen derartige Aktivitäten positioniert.³¹

In Deutschland ist u.a. das Engagement von Renke Siems³² und Gerhard Lauer³³ hervorzuheben. Nach einer Beschäftigung des Ausschusses für Wissenschaftliche Bibliotheken und Informationssysteme (AWBI) der DFG mit dem Themenkomplex hat dieser 2021 ein Positionspapier³⁴ veröffentlicht. Es folgte eine Aufarbeitung des Themas in der Zeitschrift ABI Technik³⁵ mittels drei Beiträgen und einer Replik von Springer Nature. Der AWBI hat im Weiteren eine Arbeitsgruppe eingerichtet, die das Thema weiterbearbeiten sollte. Bei der BiblioCon 2023 wurde das Thema in einer Podiumsdiskussion³⁶ und einem Hands-on Lab³⁷ behandelt und die DEAL-Verhandlungen wurden mittels Rechtsgutachten unterstützt, die 2024 im Zuge einer gemeinsamen Publikation³⁸ der Arbeitsgruppe veröffentlicht wurden.

6. DEAL-Verträge und Datentracking

Nachfolgend wird dargelegt, wie in den drei im Jahr 2023 von der MPDL Services gGmbH (MPDLS) abgeschlossenen DEAL-Verträgen mit Elsevier³⁹, Wiley⁴⁰ und Springer Nature⁴¹ einzelne Datenschutzaspekte geregelt wurden, zunächst in einer Übersicht (Tabelle 1).

Tabelle 1: Regelungen ausgewählter Aspekte mit Datenschutzrelevanz in den DEAL-Verträgen⁴²

	Wiley	Elsevier	Springer Nature
Gemeinsame Verarbeitung	Von Verlagen abgelehnt, stattdessen ein Workaround
Tracking	Erlaubt bei legitimen Interessen		Nur zur Vertragserfüllung
Wiederherstellung von Cookies	Verlag unternimmt angemessene Anstrengungen	Der Verlag unterlässt es
Speicherdauer Cookies	Keine Begrenzung		Maximal 1 Monat
Datentransfer	Erlaubt gemäß Art. 44 ff DSGVO		nur mit Zustimmung der MPDLS
Speicherdauer volle IP-Adresse	Nicht länger als notwendig; gemeinsamer Workshop		Maximal 48 Stunden

Bei allen drei Verlagen war die Frage strittig, ob eine gemeinsame Verantwortlichkeit (Art. 26 Abs. 1
S. 1 DSGVO) vorliegt: Während die Jurist*innen der DFG-Arbeitsgruppe und der beteiligten Anwaltskanzlei und mit ihnen auch die DEAL-Verhandlungsgruppe deren Vorliegen bejahten, haben die Jurist*innen aller drei Verlage das Vorliegen verneint: Nach Meinung der Verlage sind die Verarbeitungsschritte klar voneinander abgrenzt und eindeutig jeweils einer Sphäre zugeordnet. Der Dissens konnte auch in mehreren Verhandlungsrunden speziell zu dieser Fragestellung nicht ausgeräumt werden. Letztlich einigte man sich auf einen Workaround: In den DEAL-Verträgen wird postuliert, dass keine gemeinsame Verantwortung vorliegt. Sollte ein Gericht oder eine Datenschutzbehörde ein Vorliegen bejahen, so verpflichten sich die Vertragsparteien, eine Regelung der gemeinsamen Verantwortung zu vereinbaren. Der jeweilige Verlag verpflichtet sich darüber hinaus, die MPDLS und alle Teilnehmereinrichtungen von eventuellen Strafzahlungen freizustellen.

Außer Frage steht, dass zur Umsetzung der Verträge Daten von Nutzenden erfasst, verarbeitet und verwendet werden müssen. Über das, was über das zwingend Notwendige hinaus geschieht – und darunter fällt auch das Datentracking – wurde in den DEAL-Verträgen erstmals in derartigen Verlagsverträgen Regelungen getroffen und so zumindest die Transparenz darüber verbessert, was getrackt wird. Unterbunden wird das Tracking aber nicht generell. Wortgleich zur ohnehin bestehenden gesetzlichen Lage ist Datentracking erlaubt, wenn Nutzende selbst zustimmen oder wenn es zur Erfüllung einer vertraglichen oder rechtlichen Verpflichtung notwendig ist. Im Unterschied zu Springer Nature ist bei Elsevier und Wiley das Datentracking darüber hinaus erlaubt, wenn berechtigtes Interesses gemäß Art. 6 Abs. 1 (f) DSGVO vorliegt. Zu den Problemen mit diesem „Gummiparagraphen“ sei auf die Ausführungen in Abschnitt 4 verwiesen. Es wird zu beobachten und ggf. auch zu überprüfen sein, wie Wiley und Elsevier diese Möglichkeiten nutzen und die Abwägungen vornehmen (vgl. hierzu besonders Seite 76 f. der einschlägigen Stellungnahme⁴³). Bei Springer Nature haben Nutzende es selbst in der Hand, nicht-essentielle Cookies zu verweigern und dadurch im Ergebnis Datentracking weitgehend zu unterbinden.

Cookies können bekanntlich von Nutzenden selbst per Browsereinstellung zum Sitzungsende automatisiert gelöscht werden. Elsevier und Springer Nature haben sich verpflichtet, keine Techniken zur Wiederherstellung gelöschter Cookies einzusetzen. Wiley hat sich diesbezüglich nur zu „angemessenen Anstrengungen“ verpflichtet. Alle Verlage haben sich verpflichtet, eine Cookie-Management-Plattform einzurichten, auf der Nutzer*innen Informationen für ihre Entscheidung über Umfang und Art des Datentracking, dem sie zustimmen, finden können. Diese ist allerdings gesetzlich ohnehin stets notwendig, wenn nicht nur essentielle Cookies gespeichert werden sollen.

Hinsichtlich der Speicherdauer von Cookies sieht der Vertrag mit Springer Nature eine Begrenzung auf einen Monat oder kürzer vor; eine derartig klare Verpflichtung fehlt bei Wiley und Elsevier. Die konkrete Situation hinsichtlich der zwangsweise gespeicherten essentiellen Cookies der Plattformen der DEAL-Verlage und ergänzend dazu von je drei ausländischen und drei deutschen Verlagen waren bei einer Stichprobe wie folgt (Tabelle 2):

Tabelle 2: Charakteristik der essentiellen Cookies bei verschiedenen Verlagen am 15.06.2024. IP-Adresse 134.94.59.79 (IP-Bereich des Forschungszentrums Jülich). Verwendeter Browser: Firefox V115.12.0esr. Die Angaben zu den Verlagen oberhalb der dicken Linie wurden der jeweiligen Cookie-Management-Plattform entnommen, die Angaben zu den Verlagen unterhalb der dicken Linie indirekt durch den Vergleich der gespeicherten Cookies bei Nutzung der Verlagsseite und nach Schließen und Neustart des Browsers.

Verlag	Essential Cookies gesamt	Session Cookies	Speicherung bis 48 Stunden	Speicherung 3 bis 300 Tage	Speicherung über 300 Tage	unbekannte Speicher-dauer
Wiley	7				2	5
Elsevier	27	12		5	10
Springer Nature	22					22
MDPI	25	12		3	10
Frontiers	1					1
ACS	13	7				6
De Gruyter	5	1				4
Hogrefe	4					4
Thieme	5	3				2

Bei den DEAL-Verlagen sowie bei MDPI konnten die Angaben der jeweiligen Cookie-Management-Plattform entnommen werden. Bei Wiley fehlte allerdings bei einigen und bei Springer Nature sogar bei allen Cookies die Angabe der Speicherdauer. Daher kann nicht überprüft werden, ob Springer Nature die Beschränkung auf eine Speicherdauer von maximal 48 Stunden tatsächlich einhält. Elsevier, Wiley und MDPI haben (angeblich) essentiell notwendige Cookies mit Speicherdauern von über 300 Tagen (zumeist rund 1 Jahr, bei MDPI auch bis zu 1.800 Tage). Es ist schwer nachzuvollziehen, inwiefern diese Speicherdauer zur Erbringung des angefragten Dienstes notwendig sein soll. Dies gilt erst recht, wenn, wie bei MDPI, zwangsweise Cookies der Social-Media-Plattform LinkedIn gesetzt werden.

Bei den anderen untersuchten Verlagen (in Tabelle 2 unterhalb der dicken Linie) existieren zwar allgemeine Aussagen über Cookies, aber keine Cookie-Management-Plattform. Ohne sie dürfen gesetzlich nur technisch notwendige (essentielle) Cookies gespeichert werden. Um zumindest eine Abschätzung der Aktivitäten vorzunehmen, wurden die Verlagsplattformen besucht und dann in den Firefox-Einstellungen überprüft, wie viele Cookies gespeichert wurden (Spalte „Essential Cookies insgesamt“). Danach wurde der Browser geschlossen und neu gestartet. Die nun noch verzeichneten Cookies zählen zu „unbekannte Speicherdauer“ und die Differenz aus beiden Größen zu „Session Cookies“.

Für Springer Nature war das Thema „Datentransfer“ nachrangig, weil die Datenverarbeitung in der EU und der Schweiz stattfindet. Der Vertrag bietet ein faktisches Mitspracherecht, denn der Datentransfer in ein Drittland ohne Angemessenheitsabkommen bedarf der vorherigen Zustimmung der MPDLS. Dagegen bestanden Elsevier und Wiley mit Verweis auf die (IT-)Strukturen in ihren globalen Konzern auf die Möglichkeit eines solchen Datentransfers außerhalb Europas. Hier sehen die Verträge keine Mitsprache der MPDLS vor; der Datentransfer außerhalb der EU ist bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO erlaubt. Dies umfasst neben den Angemessenheitsbeschlüssen (Art. 45 DSGVO) auch bloß vertragliche Garantien der Verantwortlichen (Art. 46 DSGVO). Damit kann kaum noch von einem dem europäischen Rechtsrahmen angemessenen Datenschutzniveau gesprochen werden, denn die Daten der Angehörigen deutscher Wissenschaftseinrichtungen können auch in Ländern wie Indien, der VR China, den USA oder auch den Philippinen verarbeitet werden.⁴⁴ Allerdings wird bei beiden Verlagen nicht ohne Weiteres klar, ob personenbezogene Daten aus Deutschland tatsächlich in diese Länder transferiert werden, und wenn doch, unter welchen Rahmenbedingungen dies erfolgt. Klar ist jedenfalls, dass beide Verlage ihre Zeitschriften (auch) bei Cloud-Anbietern mit Sitz in den USA hosten und dass das Open Access Agreement Team von Elsevier in Chennai (Indien) arbeitet. Da die Verträge keine gemeinsame Verantwortlichkeit vorsehen (siehe oben), gibt es keine Kontroll- oder Auskunftsrechte der Teilnehmereinrichtungen und der MPDLS. Allerdings haben Wissenschaftler*innen ein detailliertes Auskunftsrecht über die Verarbeitung ihrer Daten (Art. 15 DSGVO). Daher sind Auskunftsanfragen ein möglicher Weg, die rechtliche Grauzone aufzuhellen.

Mit Blick auf die Datensparsamkeit wurde versucht, die Verlage dazu zu bringen, die volle IP-Adresse nur möglichst kurz zu speichern. Die für die Erstellung und Nachvollziehbarkeit der COUNTER-Statistiken möglicherweise längerfristig notwendige Speicherung der IP-Adressen könnte nach Löschung der beiden letzten Oktette bei IPv4 auch in anonymisierter Form erfolgen. Springer Nature hat dieser Maßnahme zugestimmt. Mit Elsevier und Wiley konnte dies nicht vereinbart werden, aber es werden im ersten Vertragsjahr zumindest Workshops zur weiteren Erörterung des Sachverhalts durchgeführt.

7. Zusammenfassung und Bewertung

Wissenschaftstracking eröffnet ‒ insbesondere auch beim Einsatz von Verfahren der Künstlichen Intelligenz ‒ neue Geschäftsfelder für Verlage, die mit herkömmlicher Verlagstätigkeit nur noch wenig zu tun haben.⁴⁵ Für die abwehrende Haltung der Verlage in den DEAL-Verhandlungen ist neben wirtschaftlichen Interessen sehr wahrscheinlich auch bedeutend, dass Präzedenzfälle und die damit verbundenen Auswirkungen auf ihre Verträge mit anderen (internationalen) Wissenschaftseinrichtungen vermieden werden sollen, z.B. mit Blick auf die gemeinsame Verantwortlichkeit.

Insgesamt bringen die Regelungen zum Datenschutz etwas Licht und – bei Elsevier und Wiley – zugleich auch viel Schatten: Einerseits gelang es erstmals in nationalen Verträgen, deutlich konkretere Bestimmungen zum Datenschutz zu vereinbaren. Andererseits ist mit Bedauern festzustellen, dass insbesondere beim Datentracking fast nur eine Wiederholung der gesetzlichen Vorgaben erfolgt. Insofern bringen die Verträge kaum Mehrwert gegenüber der geltenden Gesetzeslage.

In der Haftungsfrage konnte keine Joint-Controller-Vereinbarung erzielt werden, aber zumindest eine Freistellungsklausel, die Einrichtungen wie die Bibliotheken vor evtl. finanziellen Forderungen schützt. Unbefriedigend ist auch die uneinheitliche und vielfach nicht ausreichende Sicherung des Datenschutzniveaus in Bezug auf Datenverarbeitung außerhalb Europas. Hier konnten sich die Verlage auf die gelockerten Regelungen der Europäischen Union zurückziehen, sodass im Ergebnis außer bei Springer Nature nur ansatzweise zu greifen ist, ob und wie Daten außerhalb Europas weiterverarbeitet werden.⁴⁶

Aus den Erfahrungen der drei DEAL-Verhandlungen sowie aus den Entwicklungen in Richtung immer detaillierter Datentracking-Techniken ist zu lernen, dass der Datenschutz frühzeitig Teil der Vertragsverhandlungen mit den Verlagen werden muss, und nicht erst nach der Einigung auf die wirtschaftlichen Rahmenbedingungen diskutiert werden sollte – dann ohne die Möglichkeit, Druck auszuüben. Hierfür sollten auch Musterklauseln erarbeitet werden. Eine Abstimmung der Wissenschaftseinrichtungen auf europäischer Ebene zur besseren Regulierung des Datentracking ist dringend vorzubereiten.

Die in den DEAL-Verträgen mit Elsevier und Wiley vereinbarten Workshops haben bei Finalisierung dieses Beitrags im September 2024 noch nicht stattgefunden. Es bleibt abzuwarten, ob die Verlage angesichts ihrer Oligopol-Struktur bereit sind, das Double Dipping 2.0 zu beenden und sie sich stattdessen in einem partnerschaftlichen Dialog mit den Wissenschaften die Grundsätze der Transparenz, Datensparsamkeit und Green-IT zu eigen machen werden.

Disclaimer

Der Autor ist Mitglied der DEAL-Gruppe und war an DEAL-Verhandlungen beteiligt. Er war außerdem Mitglied der AWBI/DEAL-Ad hoc-Arbeitsgruppe „Datentracking“. Keine Aussage in diesem Beitrag soll als Behauptung interpretiert werden, Verlage würden gegen gesetzliche Bestimmungen verstoßen.

Danksagung

Der Autor dankt den anonymen Gutachtenden für wertvolle Hinweise zu einer früheren Fassung des Manuskripts.

Literaturverzeichnis

–Altschaffel, Robert; Beurskens, Michael; Dittmann, Jana u.a.: Datentracking und DEAL. Zu den Verhandlungen 2022/2023 und den Folgen für die wissenschaftlichen Bibliotheken, in: Recht und Zugang 5 (1), 2024, S. 23–40, https://doi.org/10.5771/2699-1284-2024-1-23.

–Artikel-29-Datenschutzgruppe: Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf, Stand: 11.10.2024.

–Bettinger, Eliza C.; Bursic, Meryl; Chandler, Adam: Disrupting the Digital Status Quo. Why and How to Staff for Privacy in Academic Libraries, 2023, https://publish.illinois.edu/divcensingpri vacy/files/2023/06/Whitepaper-on-Privacy-Staffing-Licensing-Privacy.pdf, Stand: 11.10.2024.

–Beurskens, Michael: Wissenschaftstracking. Rechtliche Einführung, 2024, https://www.dfg.de/resource/blob/329532/30b36867841f89efa6473cf30190bf6a/divs-awbi-folien-webinar-science-tracking-20240311-data.pdf, Stand: 11.10.2024.

–Biddle, Sam: LexisNexis Is Selling Your Personal Data to ICE So It Can Try to Predict Crimes, 2023, https://theintercept.com/2023/06/20/lexisnexis-ice-surveillance-license-plates/, Stand: 11.10.2024.

–Bilic-Merdes, Michaela: Datentracking. Gefahr für die Wissenschaft?, Stuttgart 29.09.2023 (Workshop verTRACKte Infrastruktur?!).

–Bilic-Merdes, Michaela; Lauer, Gerhard: Datentracking. Gefahr für die Freiheit der Wissenschaft?, 2023 (111. BiblioCon). https://dbt2023.abstractserver.com/program/#/details/presen tations/424, Stand: 11.10.2024.

–DFG-Ausschuss für Wissenschaftliche Bibliotheken und Informationssysteme. Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage, 2021, https://doi.org/10.5281/zenodo.5900759.

–Elsevier B.V.; MPDL Services gGmbH: Projekt DEAL. Elsevier Publish and Read Agreement, 2023, https://dx.doi.org/10.17617/2.3523659.

–Freiberg, Michael: Third-Party-Tracking bei Wiley und Springer, in: ABI Technik 42 (2), 2022,
S. 96–104, https://doi.org/10.1515/abitech-2022-0017.

–Hanson, Cody: User Tracking on Academic Publisher Platforms, 2019, https://www.codyh.com/writing/tracking.html, Stand: 11.10.2024.

–Härting Rechtsanwälte PartGmbB: Datenschutzrechtliche Anforderungen im Rahmen des DEAL-Projektes, 2023.

–John Wiley & Sons Inc.: Privacy policy, 2024, https://www.wiley.com/en-us/privacy, Stand: 11.10.2024.

–Kiltz, Stefan; Altschaffel, Robert; Dittmann, Jana: Science-Tracker Fingerprinting with Uncertainty. Selected Common Characteristics of Publishers from Network to Application Trackers on the Example of Web, App and Email, in: Buchmann, Erik; Veith, Eric; Cavendish, Dirceu (Hg.): SECURWARE 2023. The Seventeenth International Conference on Emerging Security Information, Systems and Technologies : September 25–29, 2023, Porto, Portugal, Wilmington, DE, USA 2023, 88–97, https://www.thinkmind.org/articles/securware_2023_1_150_30092.pdf, Stand: 11.10.2024.

–Lamdan, Sarah: Data cartels. The companies that control and monopolize our information, Stanford, California 2022.

–Lauer, Gerhard: Datentracking in den Wissenschaften, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, S. 1–13, https://doi.org/10.5282/o-bib/5796.

–Mittermaier, Bernhard: Double Dipping beim Hybrid Open Access. Chimäre oder Realität?, in: Informationspraxis 1 (1), 2015, S. 1–25, https://doi.org/10.11588/ip.2015.1.18274.

–Mittermaier, Bernhard: Datenschutz und Datentracking in Verlagsverträgen. 112. BiblioCon Hamburg, 2024, https://doi.org/10.34734/FZJ-2024-03527.

–Pooley, Jefferson: Surveillance Publishing, in: Elephant in the Lab, 2022, https://doi.org/
10.5281/zenodo.6384605.

–Reuter, Peter; Söllner, Konstanze: Datentracking in der Wissenschaft. Ein Sonderfall?, in:
ABI Technik 42 (2), 2022, S. 94–95, https://doi.org/10.1515/abitech-2022-0016.

–Roßnagel, Alexander: Third-Party-Tracking. Ein Problem aus Sicht des Datenschutzes?, in:
ABI Technik 42 (2), 2022, S. 105–107, https://doi.org/10.1515/abitech-2022-0018.

–Schonfeld, Roger C.: The Supercontinent of Scholarly Publishing?, 2018, https://scholarlykitchen.
sspnet.org/2018/05/03/supercontinent-scholarly-publishing, Stand: 11.10.2024.

–Schreiber, Kristina: Bezahlen mit Daten, 2021, https://digitalisierungsrecht.eu/bezahlen-mit-daten/, Stand: 11.10.2024.

–Seltmann, Melanie; Siems, Renke; Steyer, Timo u.a.: „Alles DSGVO-konform! – Wirklich?“, in: o-bib. Das offene Bibliotheksjournal 10 (4), 2023, S. 1–10, https://doi.org/10.5282/o-bib/5958.

–Siems, Renke: When your journal reads you. User tracking on science publisher platforms, in: Elephant in the Lab, 2021, https://doi.org/10.5281/zenodo.4683778.

–Siems, Renke: Das Lesen der Anderen, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, 1–25, https://doi.org/10.5282/o-bib/5797.

–SPARC: Addressing the Alarming Systems of Surveillance Built By Library Vendors, 2021, https://sparcopen.org/news/2021/addressing-the-alarming-systems-of-surveillance-built-by-library-vendors/, Stand: 11.10.2024.

–SPARC: Navigating Risk in Vendor Data Privacy. An Analysis of Elsevier’s ScienceDirect, 2023, https://doi.org/10.5281/zenodo.10078610.

–Springer Nature Customer Service Center GmbH; MPDL Services gGmbH: Projekt DEAL.
Springer Nature Publish and Read Agreement, 2024–2028, https://doi.org/10.17617/2.3551270.

–Springer Nature Group: Kurzstatement von Springer Nature, in: ABI Technik 42 (2), 2022,
S. 108, https://doi.org/10.1515/abitech-2022-0019.

–Tall, Vasudha: ACLU Calls On Tech Companies to End Their Alliance with ICE and CBP, American Civil Liberties Union 2020, https://www.aclu.org/news/immigrants-rights/aclu-calls-on-tech-companies-to-end-their-alliance-with-ice-and-cbp, Stand: 11.10.2024.

–USASpending.gov: Definitive Contract PIID 70CMSD21C00000001, https://www.usaspending.gov/award/CONT_AWD_70CMSD21C00000001_7012_-NONE-_-NONE-, Stand: 07.07.2024.

–Wiley-VCH GmbH; MPDL Services gGmbH: Projekt DEAL. Wiley Publish and Access Agreement, 2024–2028, 2023, https://dx.doi.org/10.17617/2.3551268.

–Zotzmann-Koch, Klaudia: Dann haben die halt meine Daten. Na und?! Ein Buch für alle, die nichts zu verbergen haben, Wien 2023.