Datenschutz und Datentracking in Verlagsverträgen

Bernhard Mittermaier, Forschungszentrum Jülich, Zentralbibliothek

Zusammenfassung

Dieser Beitrag erörtert das „Was?“, das „Wie?“ und das „Warum?“ des Datentracking von Verlagen und nimmt eine juristische Einordnung vor. Am Beispiel der DEAL-Verlage und ausgewählter weitere Verlage wird dargestellt, welches Datentracking in der Praxis geschieht und in welchem Umfang es in den DEAL-Verhandlungen gelungen ist, Datentracking zu begrenzen. Dabei wird deutlich, dass vertraglich häufig nicht mehr vereinbart werden konnte, als gesetzlich sowieso vorgeschrieben ist. In vielen Fällen werden mehr Daten und für einen längeren Zeitraum gespeichert, als es eigentlich notwendig wäre.

Summary

This article discusses the “what?”, the “how?” and the “why?” of data tracking by publishers, along with some legal considerations. Using the example of DEAL publishers and selected other publishers, it shows which data tracking happens in practice and to what extent it has been possible to limit data tracking in the German DEAL negotiations. It becomes clear that it is often not possible to contractually agree on more than is required by law anyway. In many cases, more data is stored and for a longer period of time than would actually be necessary.

Zitierfähiger Link (DOI): https://doi.org/10.5282/o-bib/6087

Autorenidentifikation: Mittermaier, Bernhard: ORCID: https://orcid.org/0000-0002-3412-6168; GND: https://d-nb.info/gnd/123436338

Schlagwörter: Datentracking; Datenschutz; Wissenschaftliches Publikationswesen; Verlage; Bibliotheken; DSGVO; DEAL

Dieses Werk steht unter der Lizenz Creative Commons Namensnennung 4.0 International.

1. Einleitung

Viele Online-Dienste wie Social-Media-Plattformen, Smartphone-Apps oder einzelne Artikel von Tageszeitungen werden schon seit langem ohne monetäre Bezahlung angeboten. Unternehmen, die hinter diesen „kostenlosen“ Angeboten stehen, erwirtschaften dennoch zum Teil erhebliche Umsätze und Gewinne. Diese werden in vielen Fällen auch durch die Weiterverwendung von Nutzerdaten generiert. So werden z.B. die bei der Nutzung ermittelten persönlichen Interessen für maßgeschneiderte Werbung genutzt und diese Werbeplätze entsprechend vergütet.1 Die Nutzenden bezahlen die Angebote mit ihren Daten, die persönlichen Informationen werden somit zur Währung. Seit dem 1. Januar 2022 ist diese Art der Bezahlung im Bürgerlichen Gesetzbuch (BGB § 312 Abs. 1a) auch ausdrücklich so geregelt: Die Weitergabe von Daten ist einer Geldzahlung gleichgesetzt.

Wenn sich Wissenschaftsverlage die Nutzung ihrer Online-Angebote mit Nutzerdaten bezahlen lassen, so könnte man dies in Anlehnung an das „klassische“ Double Dipping2, bei dem Hybrid-Open Access-APCs zusätzlich zu den Subskriptionsgebühren erhoben werden, als „Double Dipping 2.0“ bezeichnen. Im Unterschied zu den o. g. Geschäftsmodellen stellen Wissenschaftsverlage die Inhalte ja nicht kostenfrei zur Verfügung, sondern werden entweder für das Lesen (Subskriptionsverträge) oder für das Schreiben (Gold-OA-APCs)3 oder für beides in einem Vertrag (Transformationsverträge) bezahlt.

Dieser Beitrag4 diskutiert zunächst, warum Verlage mutmaßlich Daten erheben und wie sie dabei vorgehen, erörtert anschließend juristische Aspekte und die Reaktionen aus der Wissenschaft auf dieses Vorgehen, und analysiert dann die Behandlung des Themas in den Ende 2023 abgeschlossenen DEAL-Verträgen.

2. Motive des Datentracking

Beim Datentracking „werden die Daten von Wissenschaftlerinnen und Wissenschaftlern [...] bei der Nutzung von Informationsdiensten wie z.B. der Literaturrecherche getrackt, das heißt festgehalten und gespeichert.“5 Dies kann im unmittelbaren Interesse der Nutzenden liegen (z.B. Speicherung und Nutzung einer Email-Adresse zur Bearbeitung einer Anfrage), im Interesse der Einrichtung und somit in einem zumindest mittelbaren Interesse der Nutzenden (z.B. Erstellung von COUNTER-Statistiken für die Einrichtung der Nutzenden) oder in einem unbestrittenen Interesse der Verlage (z.B. Speicherung des Bereichs der IP-Adressen einer lizenzierenden Einrichtung bei zugangsbeschränkten Angeboten). In der Kritik sind nicht diese Zwecke der Datenspeicherung, sondern der Umstand, dass Verlage oftmals „alles“ speichern, und zwar über längere Zeiträume hinweg, ggf. Daten aus verschiedenen Nutzungszusammenhängen kombinieren und so Personenprofile anlegen. Warum tun dies Verlage? Die Personalisierung von Werbung als der übliche Grund für exzessives Datensammeln ist bei vielen Verlagen vermutlich nicht von großem Belang.6 Persönliche Profile von Nutzenden, die als Autor*in und/oder als Gutachter*in tätig sind, sind jedoch zweifellos sehr nützlich: Sie erlauben es, fachlich passende Zeitschriften als Publikationsort anzubieten und nur bei fachlich einschlägigen Manuskripten um Begutachtung zu bitten. Elsevier hat eine weitere potentielle Verwendungsmöglichkeit von Nutzungsdaten im Kontext von Scopus AI. Diese Erweiterung der Datenbank Scopus um Methoden der künstlichen Intelligenz ermöglicht es u.a., Namensvorschläge für Expert*innen zu einem bestimmten Thema zu erhalten. Als weiteres Beispiel sei die Beratungsdienstleistung mancher Publikationsdienstleister genannt, die Hochschulleitungen anbieten, sie bei der Verbesserung der Platzierung in Hochschulrankings zu unterstützen.7 Ein häufig zitiertes Beispiel ist der Verkauf personenbezogener Daten durch LexisNexis an die Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE)8 – für rund 20 Millionen Dollar.9 LexisNexis ist ebenso wie Elsevier ein Teil der RELX Group. Es ist offen, ob darunter auch Daten sind, die bei der Benutzung von ScienceDirect als Autor*in oder als Leser*in erhoben wurden. Dass dies zumindest nicht völlig fernliegend ist, zeigt der Umstand, dass auf ScienceDirect jedenfalls im Jahr 2020 ThreatMetrix implementiert war.10 ThreatMetrix kann nach eigenen Angaben 4,5 Milliarden Geräte identifizieren und gehört zu LexisNexis Risk Solutions, also ebenfalls zur RELX Group.11 Ganz anders gelagert wäre ein anderer „Grund“ für Datentracking: Auch Verlage verwenden zur Erstellung ihrer Webseiten Baukästen, die Trackingtools- und Einstellungen oftmals per default enthalten. Es wäre also prinzipiell denkbar, dass Verlage Datentracking unwissentlich betreiben und die gesammelten Daten überhaupt nicht verwenden. Ohne die juristische Frage zu diskutieren, wer in einem solchen Fall die Verantwortung trägt, ist aber mindestens festzuhalten, dass es nach den DEAL-Verhandlungen 2022/2023 eine unschuldige Unkenntnis nicht mehr geben kann.

3. Techniken des Datentracking

Nachstehend wird ein Überblick zu verschiedenen Techniken des Datentracking gegeben. Für eine vertiefte Darstellung sei auf die Publikation der AWBI/DEAL-Arbeitsgruppe12 und die dort zitierte weiterführende Literatur verwiesen. Eine einfach zu bedienende Webanwendung zur Untersuchung verschiedener Datenschutzaspekte beliebiger Webseiten ist Webbkoll.13

Die Erfassung von Daten erfolgt üblicherweise während der Verwendung eines Browsers, aber auch während der Nutzung von Apps oder E-Mail. Dabei gibt es sowohl direkte Datenflüsse an den Verlag (First-Party-Tracking) als auch Datenflüsse an Dritte, z.B. an Buchungs- oder Zahlungssysteme, an Cloud-Anbieter wie Amazon oder Cloudflare oder an Werbesysteme z.B. von Google oder Adobe (Third-Party-Tracking). Die Einbindung solcher Dritter ist für die Nutzenden nicht immer transparent. So ist beispielsweise die Einbindung von Drittdiensten zur Bereitstellung bestimmter Schriftarten („Google Fonts“) üblich und führt dazu, dass der Drittdienst zwangsläufig aufgerufen wird und dadurch Daten übermittelt werden. Oft ist es nur eingeschränkt oder gar nicht möglich, diese Art des Tracking zu verhindern.14

Tracking kann in verschiedenen Ausprägungen stattfinden, z.B.:

Auch wenn sich von außen aufgrund von Verschlüsselung viele Kommunikationsinhalte nur eingeschränkt beobachten lassen, können einige Eigenschaften dieser Datenübertragungen dennoch beobachtet werden. Dazu gehören das ausgetauschte Datenvolumen, die Anzahl der Kommunikationsvorgänge und die beteiligten Drittparteien.16 Diese Identifikation können potenziell Getrackte zusammen mit Informationen aus der Whois-Datenbank17 zudem auch nutzen, um die physische oder logische Position der Drittanbieter zu bestimmen. Was die Beobachtung der übermittelten Daten von außen jedoch nicht leisten kann, ist den Getrackten Aufschluss darüber zu geben, ob und wie lange diese Daten gespeichert werden, in welchen Ländern sie verarbeitet werden, ob sie an Dritte weitergeleitet werden usw. Ganz allgemein: Man kann allenfalls feststellen, was erhoben wird. Was mit den erhobenen Daten geschieht (Analysen, Produktentwicklungen, …), ist jedoch nicht festzustellen. Da die Verlage in den DEAL-Verhandlungen nur bereit waren mitzuteilen, welche Techniken eingesetzt werden, sie jedoch allenfalls sehr generische Angaben zum Zweck und zur Art der Verwendung machten, kann auch aus dieser Perspektive kein auch nur halbwegs erschöpfender Befund erhoben werden. Auch öffentliche Aussagen sind generisch, aber trotzdem „eindrucksvoll“, wie z.B. die Datenschutzrichtlinie von Wiley: „We collect this information through tracking technologies, including first and third-party cookies, web beacons (also known as tracking pixels or pixel tags), embedded scripts, location-identifying technologies, device recognition technologies, and session replay software. We may combine this information with other information that we hold.“ 18

Generell ist anzumerken, dass Wege, Mittel und Zwecke des Datentracking weder durch Gespräche im Rahmen der Vertragsverhandlungen noch, wie gezeigt, durch forensische IT in einem befriedigenden Umfang aufgeklärt werden können. Eine echte Handhabe besitzen nur die einzelnen Nutzenden selbst durch Wahrnehmung ihres Rechts auf Auskunft (Art. 15 Datenschutzgrundverordnung, DSGVO) sowie die Datenschutzbehörden im Rahmen ihrer gesetzlichen Aufgaben und Befugnisse.

4. Rechtliche Bedingungen für Datentracking

Die Datenschutzgrundverordnung setzt der Erhebung, Speicherung und Verarbeitung von Daten und somit auch dem Datentracking einen zwingend gültigen rechtlichen Rahmen. So gilt z.B. gemäß Art. 5 Abs. 1 DSGVO:

„Personenbezogene Daten müssen

  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] („Zweckbindung“);
  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  4. […]
  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist […] („Speicherbegrenzung“);“19

Der Autor kann auch nach monatelanger Beschäftigung mit der Thematik für sich nicht erkennen, dass lit. a erfüllt ist, und an der Erfüllung von lit. b, c, und e bestehen erhebliche Zweifel – vgl. hierzu die Ausführungen zu den DEAL-Verträgen in Abschnitt 6.

Zu den weiteren zwingenden Anforderungen zählt, dass alle Betroffenen stets umfangreich zu informieren sind (Art. 12–14 DSGVO) und dass hohe Anforderungen an die Sicherheit der Datenverarbeitung greifen (Art. 33 DSGVO). Zentral ist, dass die Verarbeitung personenbezogener Daten ausdrücklich erlaubt sein muss. Der datenschutzrechtliche Königsweg hierfür ist die informierte und freiwillige Einwilligung einschließlich der Möglichkeit der Nutzung auch ohne Einwilligung. Letztere ist hier aber offenbar nicht möglich: Ein bestimmter Artikel ist nur an dieser Stelle erhältlich und man erhält ihn nur, wenn man den angeblich essentiellen, rein technisch aber wohl nicht immer notwendigen Cookies zustimmt (siehe unten Abschnitt 6). Die aus Verlagssicht niedrigste Hürde ist das Vorliegen eines „berechtigten Interesses“ des Verlags oder eines Dritten (Art. 6 Abs. 1 lit. f DSGVO). „Berechtigtes Interesse“ ist ein unbestimmter Rechtsbegriff, zu dem die Erwägungsgründe 47–49 der DSGVO20 immerhin Erläuterungen geben. Die „Artikel 29 Arbeitsgruppe“ der EU führt in einer Stellungnahme zu Richtlinie 95/46/EG21 aus:

„In Artikel 7 Buchstabe f ist die letzte von sechs Voraussetzungen für die gesetzlich zulässige Verarbeitung personenbezogener Daten aufgeführt. Im Klartext wird darin eine Prüfung der Ausgewogenheit zwischen dem berechtigten Interesse des für die Verarbeitung Verantwortlichen oder Dritter, denen die Daten übermittelt werden, und den Interessen oder Grundrechten der betroffenen Person gefordert. Das Ergebnis dieser Prüfung der Ausgewogenheit der Interessen entscheidet darüber, ob Artikel 7 Buchstabe f als Rechtsgrundlage für eine Verarbeitung geltend gemacht werden kann.“22

Unklar ist, inwiefern diese Prüfung zwischen den Rechten betroffener Personen und den „berechtigten Interessen“ faktisch stattfindet.

Relevant sind diese Themen aber nicht nur für die von der Datenverarbeitung betroffenen Personen, sondern auch für die Bibliotheken/Einrichtungen, die Vertragspartner der Verlage sind. Es ist nämlich anzunehmen, dass eine gemeinsame Verantwortung im Sinne von Art. 26 DSGVO vorliegt, weil die Bibliothek/Einrichtung die Datenverarbeitung durch die Verlage ermöglicht und selbst von der Datenverarbeitung (auch nur mittelbar) profitiert:23 Bibliotheken vermitteln für ihre Einrichtungen den Zugang der Forschenden zu Verlagsplattformen, wodurch erst deren personenbezogene Daten durch die Verlage genutzt werden können. Die Bibliotheken erhalten von den Verlagen Statistiken, die teilweise nur auf Grundlage einer Identifikation der Nutzenden erhoben werden können, also das Datentracking voraussetzen. Bei der Verifikation der Autor*innen arbeiten Verlage und Bibliotheken eng zusammen, oft in einem gemeinsam genutzten Dashboard. Wenn eine solche gemeinsame Verantwortung vorliegt, dann können gemäß Art. 26 Abs. 3 DSGVO die betroffenen Personen Ansprüche gegen jeden Verantwortlichen geltend machen. Die Bibliothek würde dann also ‒ jedenfalls zunächst ‒ gegenüber betroffenen Personen aus ihrer Einrichtung auch für Verstöße des Verlags haften.24

5. Reaktionen von Wissenschaft und Bibliotheken

Seit einigen Jahren gibt es eine Gegenbewegung aus Wissenschaft und Bibliotheken zu den Data-Analytics-Ansätzen mancher Verlage25 und den damit verbundenen Datentracking-Aktivitäten. International ist beispielsweise die frühe Publikation von Cody Hanson26 aus dem Jahr 2019 zu nennen. Es folgten Veröffentlichungen von SPARC zu Überwachungsmechanismen der Verlage im Allgemeinen27 und von Elsevier im Speziellen28 sowie der Beitrag „Surveillance Publishing“ von Jefferson Pooley29 und die Monographie „Data Cartels“ von Sarah Lamdan30. Eine amerikanische Menschenrechtsorganisation hat sich klar gegen derartige Aktivitäten positioniert.31

In Deutschland ist u.a. das Engagement von Renke Siems32 und Gerhard Lauer33 hervorzuheben. Nach einer Beschäftigung des Ausschusses für Wissenschaftliche Bibliotheken und Informationssysteme (AWBI) der DFG mit dem Themenkomplex hat dieser 2021 ein Positionspapier34 veröffentlicht. Es folgte eine Aufarbeitung des Themas in der Zeitschrift ABI Technik35 mittels drei Beiträgen und einer Replik von Springer Nature. Der AWBI hat im Weiteren eine Arbeitsgruppe eingerichtet, die das Thema weiterbearbeiten sollte. Bei der BiblioCon 2023 wurde das Thema in einer Podiumsdiskussion36 und einem Hands-on Lab37 behandelt und die DEAL-Verhandlungen wurden mittels Rechtsgutachten unterstützt, die 2024 im Zuge einer gemeinsamen Publikation38 der Arbeitsgruppe veröffentlicht wurden.

6. DEAL-Verträge und Datentracking

Nachfolgend wird dargelegt, wie in den drei im Jahr 2023 von der MPDL Services gGmbH (MPDLS) abgeschlossenen DEAL-Verträgen mit Elsevier39, Wiley40 und Springer Nature41 einzelne Datenschutzaspekte geregelt wurden, zunächst in einer Übersicht (Tabelle 1).

Wiley Elsevier Springer Nature

Gemeinsame
Verarbeitung

Von Verlagen abgelehnt, stattdessen ein Workaround

Tracking

Erlaubt bei legitimen Interessen

Nur zur Vertragserfüllung

Wiederherstellung von Cookies

Verlag unternimmt
angemessene Anstrengungen

Der Verlag unterlässt es

Speicherdauer Cookies

Keine Begrenzung

Maximal 1 Monat

Datentransfer

Erlaubt gemäß Art. 44 ff DSGVO

nur mit Zustimmung der MPDLS

Speicherdauer
volle IP-Adresse

Nicht länger als notwendig;
gemeinsamer Workshop

Maximal 48 Stunden

Bei allen drei Verlagen war die Frage strittig, ob eine gemeinsame Verantwortlichkeit (Art. 26 Abs. 1
S. 1 DSGVO) vorliegt: Während die Jurist*innen der DFG-Arbeitsgruppe und der beteiligten Anwaltskanzlei und mit ihnen auch die DEAL-Verhandlungsgruppe deren Vorliegen bejahten, haben die Jurist*innen aller drei Verlage das Vorliegen verneint: Nach Meinung der Verlage sind die Verarbeitungsschritte klar voneinander abgrenzt und eindeutig jeweils einer Sphäre zugeordnet. Der Dissens konnte auch in mehreren Verhandlungsrunden speziell zu dieser Fragestellung nicht ausgeräumt werden. Letztlich einigte man sich auf einen Workaround: In den DEAL-Verträgen wird postuliert, dass keine gemeinsame Verantwortung vorliegt. Sollte ein Gericht oder eine Datenschutzbehörde ein Vorliegen bejahen, so verpflichten sich die Vertragsparteien, eine Regelung der gemeinsamen Verantwortung zu vereinbaren. Der jeweilige Verlag verpflichtet sich darüber hinaus, die MPDLS und alle Teilnehmereinrichtungen von eventuellen Strafzahlungen freizustellen.

Außer Frage steht, dass zur Umsetzung der Verträge Daten von Nutzenden erfasst, verarbeitet und verwendet werden müssen. Über das, was über das zwingend Notwendige hinaus geschieht – und darunter fällt auch das Datentracking – wurde in den DEAL-Verträgen erstmals in derartigen Verlagsverträgen Regelungen getroffen und so zumindest die Transparenz darüber verbessert, was getrackt wird. Unterbunden wird das Tracking aber nicht generell. Wortgleich zur ohnehin bestehenden gesetzlichen Lage ist Datentracking erlaubt, wenn Nutzende selbst zustimmen oder wenn es zur Erfüllung einer vertraglichen oder rechtlichen Verpflichtung notwendig ist. Im Unterschied zu Springer Nature ist bei Elsevier und Wiley das Datentracking darüber hinaus erlaubt, wenn berechtigtes Interesses gemäß Art. 6 Abs. 1 (f) DSGVO vorliegt. Zu den Problemen mit diesem „Gummiparagraphen“ sei auf die Ausführungen in Abschnitt 4 verwiesen. Es wird zu beobachten und ggf. auch zu überprüfen sein, wie Wiley und Elsevier diese Möglichkeiten nutzen und die Abwägungen vornehmen (vgl. hierzu besonders Seite 76 f. der einschlägigen Stellungnahme43). Bei Springer Nature haben Nutzende es selbst in der Hand, nicht-essentielle Cookies zu verweigern und dadurch im Ergebnis Datentracking weitgehend zu unterbinden.

Cookies können bekanntlich von Nutzenden selbst per Browsereinstellung zum Sitzungsende automatisiert gelöscht werden. Elsevier und Springer Nature haben sich verpflichtet, keine Techniken zur Wiederherstellung gelöschter Cookies einzusetzen. Wiley hat sich diesbezüglich nur zu „angemessenen Anstrengungen“ verpflichtet. Alle Verlage haben sich verpflichtet, eine Cookie-Management-Plattform einzurichten, auf der Nutzer*innen Informationen für ihre Entscheidung über Umfang und Art des Datentracking, dem sie zustimmen, finden können. Diese ist allerdings gesetzlich ohnehin stets notwendig, wenn nicht nur essentielle Cookies gespeichert werden sollen.

Hinsichtlich der Speicherdauer von Cookies sieht der Vertrag mit Springer Nature eine Begrenzung auf einen Monat oder kürzer vor; eine derartig klare Verpflichtung fehlt bei Wiley und Elsevier. Die konkrete Situation hinsichtlich der zwangsweise gespeicherten essentiellen Cookies der Plattformen der DEAL-Verlage und ergänzend dazu von je drei ausländischen und drei deutschen Verlagen waren bei einer Stichprobe wie folgt (Tabelle 2):

Verlag

Essential Cookies gesamt

Session Cookies

Speicherung bis 48 Stunden

Speicherung 3 bis 300 Tage

Speicherung über 300 Tage

unbekannte Speicher-dauer

Wiley

7

2

5

Elsevier

27

12

5

10

Springer Nature

22

22

MDPI

25

12

3

10

Frontiers

1

1

ACS

13

7

6

De Gruyter

5

1

4

Hogrefe

4

4

Thieme

5

3

2

Bei den DEAL-Verlagen sowie bei MDPI konnten die Angaben der jeweiligen Cookie-Management-Plattform entnommen werden. Bei Wiley fehlte allerdings bei einigen und bei Springer Nature sogar bei allen Cookies die Angabe der Speicherdauer. Daher kann nicht überprüft werden, ob Springer Nature die Beschränkung auf eine Speicherdauer von maximal 48 Stunden tatsächlich einhält. Elsevier, Wiley und MDPI haben (angeblich) essentiell notwendige Cookies mit Speicherdauern von über 300 Tagen (zumeist rund 1 Jahr, bei MDPI auch bis zu 1.800 Tage). Es ist schwer nachzuvollziehen, inwiefern diese Speicherdauer zur Erbringung des angefragten Dienstes notwendig sein soll. Dies gilt erst recht, wenn, wie bei MDPI, zwangsweise Cookies der Social-Media-Plattform LinkedIn gesetzt werden.

Bei den anderen untersuchten Verlagen (in Tabelle 2 unterhalb der dicken Linie) existieren zwar allgemeine Aussagen über Cookies, aber keine Cookie-Management-Plattform. Ohne sie dürfen gesetzlich nur technisch notwendige (essentielle) Cookies gespeichert werden. Um zumindest eine Abschätzung der Aktivitäten vorzunehmen, wurden die Verlagsplattformen besucht und dann in den Firefox-Einstellungen überprüft, wie viele Cookies gespeichert wurden (Spalte „Essential Cookies insgesamt“). Danach wurde der Browser geschlossen und neu gestartet. Die nun noch verzeichneten Cookies zählen zu „unbekannte Speicherdauer“ und die Differenz aus beiden Größen zu „Session Cookies“.

Für Springer Nature war das Thema „Datentransfer“ nachrangig, weil die Datenverarbeitung in der EU und der Schweiz stattfindet. Der Vertrag bietet ein faktisches Mitspracherecht, denn der Datentransfer in ein Drittland ohne Angemessenheitsabkommen bedarf der vorherigen Zustimmung der MPDLS. Dagegen bestanden Elsevier und Wiley mit Verweis auf die (IT-)Strukturen in ihren globalen Konzern auf die Möglichkeit eines solchen Datentransfers außerhalb Europas. Hier sehen die Verträge keine Mitsprache der MPDLS vor; der Datentransfer außerhalb der EU ist bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO erlaubt. Dies umfasst neben den Angemessenheitsbeschlüssen (Art. 45 DSGVO) auch bloß vertragliche Garantien der Verantwortlichen (Art. 46 DSGVO). Damit kann kaum noch von einem dem europäischen Rechtsrahmen angemessenen Datenschutzniveau gesprochen werden, denn die Daten der Angehörigen deutscher Wissenschaftseinrichtungen können auch in Ländern wie Indien, der VR China, den USA oder auch den Philippinen verarbeitet werden.44 Allerdings wird bei beiden Verlagen nicht ohne Weiteres klar, ob personenbezogene Daten aus Deutschland tatsächlich in diese Länder transferiert werden, und wenn doch, unter welchen Rahmenbedingungen dies erfolgt. Klar ist jedenfalls, dass beide Verlage ihre Zeitschriften (auch) bei Cloud-Anbietern mit Sitz in den USA hosten und dass das Open Access Agreement Team von Elsevier in Chennai (Indien) arbeitet. Da die Verträge keine gemeinsame Verantwortlichkeit vorsehen (siehe oben), gibt es keine Kontroll- oder Auskunftsrechte der Teilnehmereinrichtungen und der MPDLS. Allerdings haben Wissenschaftler*innen ein detailliertes Auskunftsrecht über die Verarbeitung ihrer Daten (Art. 15 DSGVO). Daher sind Auskunftsanfragen ein möglicher Weg, die rechtliche Grauzone aufzuhellen.

Mit Blick auf die Datensparsamkeit wurde versucht, die Verlage dazu zu bringen, die volle IP-Adresse nur möglichst kurz zu speichern. Die für die Erstellung und Nachvollziehbarkeit der COUNTER-Statistiken möglicherweise längerfristig notwendige Speicherung der IP-Adressen könnte nach Löschung der beiden letzten Oktette bei IPv4 auch in anonymisierter Form erfolgen. Springer Nature hat dieser Maßnahme zugestimmt. Mit Elsevier und Wiley konnte dies nicht vereinbart werden, aber es werden im ersten Vertragsjahr zumindest Workshops zur weiteren Erörterung des Sachverhalts durchgeführt.

7. Zusammenfassung und Bewertung

Wissenschaftstracking eröffnet ‒ insbesondere auch beim Einsatz von Verfahren der Künstlichen Intelligenz ‒ neue Geschäftsfelder für Verlage, die mit herkömmlicher Verlagstätigkeit nur noch wenig zu tun haben.45 Für die abwehrende Haltung der Verlage in den DEAL-Verhandlungen ist neben wirtschaftlichen Interessen sehr wahrscheinlich auch bedeutend, dass Präzedenzfälle und die damit verbundenen Auswirkungen auf ihre Verträge mit anderen (internationalen) Wissenschaftseinrichtungen vermieden werden sollen, z.B. mit Blick auf die gemeinsame Verantwortlichkeit.

Insgesamt bringen die Regelungen zum Datenschutz etwas Licht und – bei Elsevier und Wiley – zugleich auch viel Schatten: Einerseits gelang es erstmals in nationalen Verträgen, deutlich konkretere Bestimmungen zum Datenschutz zu vereinbaren. Andererseits ist mit Bedauern festzustellen, dass insbesondere beim Datentracking fast nur eine Wiederholung der gesetzlichen Vorgaben erfolgt. Insofern bringen die Verträge kaum Mehrwert gegenüber der geltenden Gesetzeslage.

In der Haftungsfrage konnte keine Joint-Controller-Vereinbarung erzielt werden, aber zumindest eine Freistellungsklausel, die Einrichtungen wie die Bibliotheken vor evtl. finanziellen Forderungen schützt. Unbefriedigend ist auch die uneinheitliche und vielfach nicht ausreichende Sicherung des Datenschutzniveaus in Bezug auf Datenverarbeitung außerhalb Europas. Hier konnten sich die Verlage auf die gelockerten Regelungen der Europäischen Union zurückziehen, sodass im Ergebnis außer bei Springer Nature nur ansatzweise zu greifen ist, ob und wie Daten außerhalb Europas weiterverarbeitet werden.46

Aus den Erfahrungen der drei DEAL-Verhandlungen sowie aus den Entwicklungen in Richtung immer detaillierter Datentracking-Techniken ist zu lernen, dass der Datenschutz frühzeitig Teil der Vertragsverhandlungen mit den Verlagen werden muss, und nicht erst nach der Einigung auf die wirtschaftlichen Rahmenbedingungen diskutiert werden sollte – dann ohne die Möglichkeit, Druck auszuüben. Hierfür sollten auch Musterklauseln erarbeitet werden. Eine Abstimmung der Wissenschaftseinrichtungen auf europäischer Ebene zur besseren Regulierung des Datentracking ist dringend vorzubereiten.

Die in den DEAL-Verträgen mit Elsevier und Wiley vereinbarten Workshops haben bei Finalisierung dieses Beitrags im September 2024 noch nicht stattgefunden. Es bleibt abzuwarten, ob die Verlage angesichts ihrer Oligopol-Struktur bereit sind, das Double Dipping 2.0 zu beenden und sie sich stattdessen in einem partnerschaftlichen Dialog mit den Wissenschaften die Grundsätze der Transparenz, Datensparsamkeit und Green-IT zu eigen machen werden.

Disclaimer

Der Autor ist Mitglied der DEAL-Gruppe und war an DEAL-Verhandlungen beteiligt. Er war außerdem Mitglied der AWBI/DEAL-Ad hoc-Arbeitsgruppe „Datentracking“. Keine Aussage in diesem Beitrag soll als Behauptung interpretiert werden, Verlage würden gegen gesetzliche Bestimmungen verstoßen.

Danksagung

Der Autor dankt den anonymen Gutachtenden für wertvolle Hinweise zu einer früheren Fassung des Manuskripts.

Literaturverzeichnis

Altschaffel, Robert; Beurskens, Michael; Dittmann, Jana u.a.: Datentracking und DEAL. Zu den Verhandlungen 2022/2023 und den Folgen für die wissenschaftlichen Bibliotheken, in: Recht und Zugang 5 (1), 2024, S. 23–40, https://doi.org/10.5771/2699-1284-2024-1-23.

Artikel-29-Datenschutzgruppe: Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf, Stand: 11.10.2024.

Bettinger, Eliza C.; Bursic, Meryl; Chandler, Adam: Disrupting the Digital Status Quo. Why and How to Staff for Privacy in Academic Libraries, 2023, https://publish.illinois.edu/divcensingpri vacy/files/2023/06/Whitepaper-on-Privacy-Staffing-Licensing-Privacy.pdf, Stand: 11.10.2024.

Beurskens, Michael: Wissenschaftstracking. Rechtliche Einführung, 2024, https://www.dfg.de/resource/blob/329532/30b36867841f89efa6473cf30190bf6a/divs-awbi-folien-webinar-science-tracking-20240311-data.pdf, Stand: 11.10.2024.

Biddle, Sam: LexisNexis Is Selling Your Personal Data to ICE So It Can Try to Predict Crimes, 2023, https://theintercept.com/2023/06/20/lexisnexis-ice-surveillance-license-plates/, Stand: 11.10.2024.

Bilic-Merdes, Michaela: Datentracking. Gefahr für die Wissenschaft?, Stuttgart 29.09.2023 (Workshop verTRACKte Infrastruktur?!).

Bilic-Merdes, Michaela; Lauer, Gerhard: Datentracking. Gefahr für die Freiheit der Wissenschaft?, 2023 (111. BiblioCon). https://dbt2023.abstractserver.com/program/#/details/presen tations/424, Stand: 11.10.2024.

DFG-Ausschuss für Wissenschaftliche Bibliotheken und Informationssysteme. Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage, 2021, https://doi.org/10.5281/zenodo.5900759.

Elsevier B.V.; MPDL Services gGmbH: Projekt DEAL. Elsevier Publish and Read Agreement, 2023, https://dx.doi.org/10.17617/2.3523659.

Freiberg, Michael: Third-Party-Tracking bei Wiley und Springer, in: ABI Technik 42 (2), 2022,
S. 96–104, https://doi.org/10.1515/abitech-2022-0017.

Hanson, Cody: User Tracking on Academic Publisher Platforms, 2019, https://www.codyh.com/writing/tracking.html, Stand: 11.10.2024.

Härting Rechtsanwälte PartGmbB: Datenschutzrechtliche Anforderungen im Rahmen des DEAL-Projektes, 2023.

John Wiley & Sons Inc.: Privacy policy, 2024, https://www.wiley.com/en-us/privacy, Stand: 11.10.2024.

Kiltz, Stefan; Altschaffel, Robert; Dittmann, Jana: Science-Tracker Fingerprinting with Uncertainty. Selected Common Characteristics of Publishers from Network to Application Trackers on the Example of Web, App and Email, in: Buchmann, Erik; Veith, Eric; Cavendish, Dirceu (Hg.): SECURWARE 2023. The Seventeenth International Conference on Emerging Security Information, Systems and Technologies : September 25–29, 2023, Porto, Portugal, Wilmington, DE, USA 2023, 88–97, https://www.thinkmind.org/articles/securware_2023_1_150_30092.pdf, Stand: 11.10.2024.

Lamdan, Sarah: Data cartels. The companies that control and monopolize our information, Stanford, California 2022.

Lauer, Gerhard: Datentracking in den Wissenschaften, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, S. 1–13, https://doi.org/10.5282/o-bib/5796.

Mittermaier, Bernhard: Double Dipping beim Hybrid Open Access. Chimäre oder Realität?, in: Informationspraxis 1 (1), 2015, S. 1–25, https://doi.org/10.11588/ip.2015.1.18274.

Mittermaier, Bernhard: Datenschutz und Datentracking in Verlagsverträgen. 112. BiblioCon Hamburg, 2024, https://doi.org/10.34734/FZJ-2024-03527.

Pooley, Jefferson: Surveillance Publishing, in: Elephant in the Lab, 2022, https://doi.org/
10.5281/zenodo.6384605
.

Reuter, Peter; Söllner, Konstanze: Datentracking in der Wissenschaft. Ein Sonderfall?, in:
ABI Technik 42 (2), 2022, S. 94–95, https://doi.org/10.1515/abitech-2022-0016.

Roßnagel, Alexander: Third-Party-Tracking. Ein Problem aus Sicht des Datenschutzes?, in:
ABI Technik 42 (2), 2022, S. 105–107, https://doi.org/10.1515/abitech-2022-0018.

Schonfeld, Roger C.: The Supercontinent of Scholarly Publishing?, 2018, https://scholarlykitchen.
sspnet.org/2018/05/03/supercontinent-scholarly-publishing
, Stand: 11.10.2024.

Schreiber, Kristina: Bezahlen mit Daten, 2021, https://digitalisierungsrecht.eu/bezahlen-mit-daten/, Stand: 11.10.2024.

Seltmann, Melanie; Siems, Renke; Steyer, Timo u.a.: „Alles DSGVO-konform! – Wirklich?“, in: o-bib. Das offene Bibliotheksjournal 10 (4), 2023, S. 1–10, https://doi.org/10.5282/o-bib/5958.

Siems, Renke: When your journal reads you. User tracking on science publisher platforms, in: Elephant in the Lab, 2021, https://doi.org/10.5281/zenodo.4683778.

Siems, Renke: Das Lesen der Anderen, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, 1–25, https://doi.org/10.5282/o-bib/5797.

SPARC: Addressing the Alarming Systems of Surveillance Built By Library Vendors, 2021, https://sparcopen.org/news/2021/addressing-the-alarming-systems-of-surveillance-built-by-library-vendors/, Stand: 11.10.2024.

SPARC: Navigating Risk in Vendor Data Privacy. An Analysis of Elsevier’s ScienceDirect, 2023, https://doi.org/10.5281/zenodo.10078610.

Springer Nature Customer Service Center GmbH; MPDL Services gGmbH: Projekt DEAL.
Springer Nature Publish and Read Agreement, 2024–2028, https://doi.org/10.17617/2.3551270.

Springer Nature Group: Kurzstatement von Springer Nature, in: ABI Technik 42 (2), 2022,
S. 108, https://doi.org/10.1515/abitech-2022-0019.

Tall, Vasudha: ACLU Calls On Tech Companies to End Their Alliance with ICE and CBP, American Civil Liberties Union 2020, https://www.aclu.org/news/immigrants-rights/aclu-calls-on-tech-companies-to-end-their-alliance-with-ice-and-cbp, Stand: 11.10.2024.

USASpending.gov: Definitive Contract PIID 70CMSD21C00000001, https://www.usaspending.gov/award/CONT_AWD_70CMSD21C00000001_7012_-NONE-_-NONE-, Stand: 07.07.2024.

Wiley-VCH GmbH; MPDL Services gGmbH: Projekt DEAL. Wiley Publish and Access Agreement, 2024–2028, 2023, https://dx.doi.org/10.17617/2.3551268.

Zotzmann-Koch, Klaudia: Dann haben die halt meine Daten. Na und?! Ein Buch für alle, die nichts zu verbergen haben, Wien 2023.

1 Schreiber, Kristina: Bezahlen mit Daten, 2021, https://digitalisierungsrecht.eu/bezahlen-mit-daten/, Stand: 11.10.2024. Ein empfehlenswertes Buch über Möglichkeiten, im Alltag datensparsam zu leben, ist das Werk „Dann haben die halt meine Daten. Na und?! Ein Buch für alle, die nichts zu verbergen haben“ von Klaudia Zotzmann-Koch.

2 Mittermaier, Bernhard: Double Dipping beim Hybrid Open Access. Chimäre oder Realität?, in: Informationspraxis 1 (1), 2015, S. 1–25, https://doi.org/10.11588/ip.2015.1.18274.

3 Article Processing Charges für Beiträge, die als Open-Access-Publikationen in sogenannten „goldenen“ Zeitschriften verfügbar gemacht werden.

4 Dieser Beitrag beruht auf den Vorträgen Bilic-Merdes, Michaela: Datentracking. Gefahr für die Wissenschaft?, Stuttgart 29.09.2023 (Workshop verTRACKte Infrastruktur ?!) und Mittermaier, Bernhard: Datenschutz und Datentracking in Verlagsverträgen. 112. BiblioCon Hamburg, 2024, https://doi.org/10.34734/FZJ-2024-03527 sowie der Publikation Altschaffel, Robert; Beurskens, Michael; Dittmann, Jana u.a.: Datentracking und DEAL. Zu den Verhandlungen 2022/2023 und den Folgen für die wissenschaftlichen Bibliotheken, in: Recht und Zugang 5 (1), 2024, S. 23–40, https://doi.org/10.5771/2699-1284-2024-1-23.

5 DFG-Ausschuss für Wissenschaftliche Bibliotheken und Informationssysteme. Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage, 2021, https://doi.org/10.5281/zenodo.5900759.

6 Ausnahmen hiervon sind z.B. die Stellenanzeigen, die Wiley zusammen mit Artikeln anzeigt.

7 Es sei ausdrücklich betont, dass die genannten Anwendungsfälle lediglich als potentielle Verwendungsmöglichkeiten personenbezogener Daten genannt wurden. Dem Autor liegen keine Hinweise vor, dass sie tatsächlich zum Einsatz kommen.

8 Biddle, Sam: LexisNexis Is Selling Your Personal Data to ICE So It Can Try to Predict Crimes, 2023, https://theinter cept.com/2023/06/20/lexisnexis-ice-surveillance-license-plates/, Stand: 01.10.2024; Lamdan, Sarah: Data cartels. The companies that control and monopolize our information, Stanford, California 2022.

9 USASpending.gov: Definitive Contract PIID 70CMSD21C00000001, https://www.usaspending.gov/award/CONT_AWD_70CMSD21C00000001_7012_-NONE-_-NONE-, Stand: 01.10.2024.

10 Vgl. https://x.com/WolfieChristl/status/1295655040741445632/photo/1 (Stand: 23.10.2024). Aktuell scheint ThreatMetrix auf ScienceDirect nicht implementiert zu sein.

11 DFG-Ausschuss für Wissenschaftliche Bibliotheken und Informationssysteme. Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage, 2021, https://doi.org/10.5281/zenodo.5900759.

12 Altschaffel, Beurskens, Dittmann, Horstmann, Kiltz, Lauer, Ludwig, Mittermaier, Stump: Datentracking und DEAL, 2024.

13 Vgl. https://webbkoll.dataskydd.net/de (Stand: 23.10.2024). Erstaunlicherweise erzeugt die Untersuchung von https://www.sciencedirect.com im Zeitraum der Erstellung dieses Artikels (Mai–Juli 2024) permanent eine Fehlermeldung. Dies war während der Verhandlung der DEAL-Verträge, in der Elsevier auf diese Seite hingewiesen worden war, noch nicht der Fall.

14 Bettinger, Eliza C.; Bursic, Meryl; Chandler, Adam: Disrupting the Digital Status Quo. Why and How to Staff for Privacy
in Academic Libraries, 2023, https://publish.illinois.edu/divcensingprivacy/files/2023/06/Whitepaper-on-Privacy-Staffing-Licensing-Privacy.pdf, Stand: 01.10.2024.

15 Im Rahmen der Studie „Browser Fingerprinting“ https://browser-fingerprint.cs.fau.de (Stand: 23.10.2024) wurde festgestellt, dass rund zwei Drittel der Nutzendenden eine einzigartige Browserkonfiguration haben und anhand dieser nachverfolgbar sind.

16 Kiltz, Stefan; Altschaffel, Robert; Dittmann, Jana: Science-Tracker Fingerprinting with Uncertainty. Selected Common Characteristics of Publishers from Network to Application Trackers on the Example of Web, App and Email, in: Buchmann, Erik; Veith, Eric; Cavendish, Dirceu (Hg.): SECURWARE 2023. The Seventeenth International Conference on Emerging Security Information, Systems and Technologies: September 25–29, 2023, Porto, Portugal, Wilmington, DE, USA 2023, 88–97, https://www.thinkmind.org/articles/securware_2023_1_150_30092.pdf, Stand: 01.10.2024.

18 John Wiley & Sons Inc.: Privacy policy, 2024, https://www.wiley.com/en-us/privacy, Stand: 01.10.2024.

19 Vgl. https://dsgvo-gesetz.de/art-5-dsgvo/, Stand: 01.10.2024.

21 Die Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde 2016 von der DSGVO abgelöst. Artikel 7 der Richtlinie entspricht sinngemäß Artikel 6 der DSGVO.

22 Artikel-29-Datenschutzgruppe: Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf, Stand: 01.10.2024.

23 Beurskens, Michael: Wissenschaftstracking. Rechtliche Einführung, 2024, https://www.dfg.de/resource/blob/329532/30b36867841f89efa6473cf30190bf6a/divs-awbi-folien-webinar-science-tracking-20240311-data.pdf, Stand: 01.10.2024.

24 Härting Rechtsanwälte PartGmbB: Datenschutzrechtliche Anforderungen im Rahmen des DEAL-Projektes, 2023.

25 Schonfeld, Roger C.: The Supercontinent of Scholarly Publishing?, 2018, https://scholarlykitchen.sspnet.org/2018/
05/03/supercontinent-scholarly-publishing
, Stand: 01.10.2024.

26 Hanson, Cody: User Tracking on Academic Publisher Platforms, 2019, https://www.codyh.com/writing/tracking.html, Stand: 01.10.2024.

27 SPARC: Addressing the Alarming Systems of Surveillance Built By Library Vendors, 2021, https://sparcopen.org/news/2021/addressing-the-alarming-systems-of-surveillance-built-by-library-vendors/, Stand: 01.10.2024.

28 SPARC: Navigating Risk in Vendor Data Privacy. An Analysis of Elsevier’s ScienceDirect, 2023, https://doi.org/
10.5281/zenodo.10078610
.

29 Pooley, Jefferson: Surveillance Publishing, in: Elephant in the Lab, 2022, https://doi.org/10.5281/zenodo.6384605.

30 Lamdan: Data cartels, 2022.

31 Tall, Vasudha: ACLU Calls On Tech Companies to End Their Alliance with ICE and CBP, American Civil Liberties Union 2020, https://www.aclu.org/news/immigrants-rights/aclu-calls-on-tech-companies-to-end-their-alliance-with-ice-and-cbp, Stand: 01.10.2024.

32 Siems, Renke: When your journal reads you. User tracking on science publisher platforms, in: Elephant in the Lab, 2021, https://doi.org/10.5281/zenodo.4683778; Siems, Renke: Das Lesen der Anderen, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, 1–25, https://doi.org/10.5282/o-bib/5797.

33 Lauer, Gerhard: Datentracking in den Wissenschaften, in: o-bib. Das offene Bibliotheksjournal 9 (1), 2022, S. 1–13. https://doi.org/10.5282/o-bib/5796.

34 DFG-Ausschuss für Wissenschaftliche Bibliotheken und Informationssysteme. Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage, 2021.

35 Freiberg, Michael: Third-Party-Tracking bei Wiley und Springer, in: ABI Technik 42 (2), 2022, S. 96–104, https://doi.org/10.1515/abitech-2022-0017; Reuter, Peter; Söllner, Konstanze: Datentracking in der Wissenschaft. Ein Sonderfall?, in: ABI Technik 42 (2), 2022, S. 94–95, https://doi.org/10.1515/abitech-2022-0016; Roßnagel, Alexander: Third-Party-Tracking. Ein Problem aus Sicht des Datenschutzes?, in: ABI Technik 42 (2), 2022, S. 105–107, https://doi.org/10.1515/abitech-2022-0018; Springer Nature Group: Kurzstatement von Springer Nature, in: ABI Technik 42 (2), 2022, S. 108, https://doi.org/10.1515/abitech-2022-0019.

36 Bilic-Merdes, Michaela; Lauer, Gerhard: Datentracking. Gefahr für die Freiheit der Wissenschaft?, 2023 (111. BiblioCon), https://dbt2023.abstractserver.com/program/#/details/presentations/424, Stand: 01.10.2024.

37 Seltmann, Melanie; Siems, Renke; Steyer, Timo u.a.: „Alles DSGVO-konform! – Wirklich?“, in: o-bib. Das offene Bibliotheksjournal 10 (4), 2023, S. 1–10, https://doi.org/10.5282/o-bib/5958.

38 Altschaffel, Beurskens, Dittmann, Horstmann, Kiltz, Lauer, Ludwig, Mittermaier, Stump: Datentracking und DEAL, 2024.

39 Elsevier B.V.; MPDL Services gGmbH: Projekt DEAL. Elsevier Publish and Read Agreement, 2023, https://dx.doi.org/
10.17617/2.3523659
.

40 Wiley-VCH GmbH; MPDL Services gGmbH: Projekt DEAL. Wiley Publish and Access Agreement, 2024–2028, 2023, https://dx.doi.org/10.17617/2.3551268.

41 Springer Nature Customer Service Center GmbH; MPDL Services gGmbH: Projekt DEAL. Springer Nature Publish and Read Agreement, 2024–2028, https://doi.org/10.17617/2.3551270.

42 Mittermaier: Datenschutz und Datentracking in Verlagsverträgen, 2024.

43 Artikel-29-Datenschutzgruppe: Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, 2014.

44 Elsevier Privacy Policy (Stand 22.05.2024): „Your personal information may be stored and processed in your region
or another country where Elsevier companies and their service providers maintain servers and facilities, including Australia, China, France, Germany, India, Ireland, the Netherlands, the Philippines, Singapore, the United Kingdom, and the United States.“ https://www.elsevier.com/de-de/legal/privacy-policy, Zugriff: 01.10.2024.

Wiley Privacy Policy (Stand 02.07.2024): „ We may transfer, store or process personal information in any country where Wiley or its service providers operate. This includes the United States, the United Kingdom, Germany, Singapore, Brazil, India, Sri Lanka, Australia, the Philippines, and China. “ https://www.wiley.com/en-us/privacy, Zugriff: 01.10.2024.

45 Beispiele hierfür sind die Entwicklung von Scopus AI durch Elsevier und der Verkauf von Texten an KI-Firmen ohne Einwilligung der Autor*innen durch Wiley, Oxford University Press und Taylor&Francis https://www.thebookseller.com/news/wiley-cambridge-university-press-and-oxford-university-press-confirm-ai-partnerships.