Erläuterungen zum Umgang mit Studierendendaten
Das Reglement Studierendendaten legt die Prinzipien über die Bearbeitung von Daten von Studienbewerbenden, Studierenden und ehemaligen Studierenden aller Studienstufen der ETH Zürich fest.
Das Reglement Studierendendaten regelt den Umgang mit Daten, die im Rahmen des Lehrbetriebs entstehen. Dies k?nnen u.a. Daten sein, die zum Zweck des Bewerbungs- bzw. Zulassungsprozesses, der Erteilung von akademischen Titeln oder der Planung und Statistik erhoben werden.
Es regelt nicht den Umgang mit Daten, die in der Lehre selbst entstehen, wie z.B. Leistungsnachweise.
Es werden folgende Fragen beantwortet:
- chevron_right Wer darf Daten bearbeiten?
- chevron_right Welche Daten sind vom neuen Reglement betroffen?
- chevron_right Wie ist die Datensicherheit geregelt?
- chevron_right Wie und wo dürfen die betroffenen Daten aufbewahrt werden?
- chevron_right Wie sind die Zugriffsrechte geregelt?
- chevron_right Wer darf welche Daten weitergeben?
- chevron_right Wie ist die Archivierung der Daten geregelt?
Erl?uterung
Mit der Regelung in Art. 4 wird festgelegt, wer in welchem Umfang das Recht hat, die Daten der Bewerbenden und Studierenden zu bearbeiten. Das Recht, Daten zu bearbeiten, besteht dabei grunds?tzlich jeweils im Rahmen der entsprechenden Aufgaben.
Dozierende verarbeiten Daten von Studierenden in Zusammenhang mit Lerneinheiten, z.B.:
- Zugriff auf pers?nliche Daten soweit erforderlich zur Erfüllung des Lehrauftrags
- Noten
- Resultate von Semesterleistungen und Leistungselementen
Dozierende k?nnen in eDoz Stellvertretungen definieren. Diese erhalten entsprechend auch Zugriff auf die relevanten Studierendendaten und müssen sich gleichermassen an die Vorgaben in Bezug auf Datenschutz und Datensicherheit halten.
Erl?uterung
Von Bewerbenden und Studierenden dürfen die in Art. 5 Abs. 1 aufgelisteten Kategorien von Daten bearbeitet werden. Es handelt sich um die Kategorien Personalien, Daten zur Personenidentifikation, Bewerbungs- und Anmeldedaten, Daten über die pers?nliche Situation sowie weitere Daten. Zu diesen aufgeführten Datenkategorien werden im Reglement jeweils einige Beispiele genannt.
Erl?uterung
Die Bestimmung erl?utert, wie die Daten der Bewerbenden und Studierenden vor unbefugtem Zugriff zu schützen sind.
Studierendendaten sind als ?vertraulich? zu behandeln.
Mit dem Zugang zu den Daten erhalten die Dozierenden die Verantwortung, Art. 6 einzuhalten. Wie die Datensicherheit gew?hrleistet wird, liegt in der Eigenverantwortung der Dozierenden.
Es gelten übergeordnete Regelungen, wie z.B. die Weisung Informationssicherheit an der ETH Zürich, RSETHZ 203.25.
Wichtig ist, dass Studierendendaten (z.B. Notenlisten) nicht in selbst organisierte Clouddienste, wie privaten E-Mailkonten, weitergeleitet werden dürfen. Eine Aufbewahrung in der Microsoft-Cloud oder Google-Suite ist nur mittels Nutzung des eigenen ETH-Accounts erlaubt.
Wie und wo dürfen die betroffenen Daten aufbewahrt werden?
Artikel 9, Abs. 1b
1 Die Aufbewahrung der Daten erfolgt in den nachfolgend aufgeführten Arten:
(…)
b. in weiteren, zentral durch das Rektorat betriebenen Systemen für die Lehre und die Unterstützung der Lehre resp. in zentral im Rektorat geführten Nebendossiers (…).
Erl?uterung
Der Zugriff auf die Daten wird den berechtigten Personen jeweils in demjenigen Umfang gew?hrt, der für die Erfüllung der Aufgaben erforderlich ist. Die Leiterin/der Leiter der Akademischen Dienste teilt den berechtigten Personen die passende Benutzerrolle zu. In Art. 12 Abs. 2 werden zudem die Zugriffsbeschr?nkungen explizit aufgeführt. Ein Zugriff auf Daten ausserhalb des definierten Bereichs ist grunds?tzlich nicht m?glich.
?ber eDoz wird den Dozierenden Zugriff auf die Daten gew?hrt, die sie für die Durchführung des Lehrbetriebs erfordern. Weitere Daten k?nnen alternativ über das Studiensekretariat bezogen werden.
Erl?uterung
Die Bekanntgabe von Personendaten ist gem?ss den Vorgaben des Datenschutzgesetzes nur unter bestimmten Voraussetzungen zul?ssig.
Die Zul?ssigkeit ist dabei unter anderem in denjenigen F?llen zu bejahen, in denen eine Rechtsgrundlage vorliegt oder die betroffene Person ihr Einverst?ndnis gegeben hat. Mit Art. 14 wurde die rechtliche Grundlage geschaffen, um bestimmte Daten aus dem zentralen Studieninformationssystem an Dritte bekannt zu geben. Die Zust?ndigkeit liegt bei den Akademischen Diensten.
Daraus ergibt sich für die Dozierenden, dass sie selbst keine Studierendendaten an ?Dritte? weitergeben k?nnen. Mit dem Begriff ?Dritte? sind auch Studierende gemeint. Das heisst, es dürfen keine Namenslisten oder Listen mit Telefonnummern von Studierenden für Gruppenarbeiten o.?. weitergereicht werden. Hingegen fallen die zu Art. 4 erl?uterten M?glichkeiten der Stellvertretung nicht unter den Begriff ?Dritte?.
Wie ist die Archivierung der Daten geregelt?
Artikel 22, Abs. 2 & 3
2 Dezentral gehaltene Daten werden sp?testens zehn Jahre nach Austritt der Studentin oder des Studenten dem Archiv der ETH Zürich zur ?bernahme angeboten. Erfolgt keine ?bernahme durch das Archiv, werden die Daten gel?scht oder vernichtet.
3 Vorbehalten bleiben besondere Bestimmungen für bestimmte Daten, z. B. für Buchhaltungsbelege und für Prüfungsunterlagen.
Erl?uterung
Art. 22 regelt die Archivierung, L?schung bzw. Vernichtung von Daten.
Hinsichtlich der Prüfungsunterlagen wird auf Art. 23 der Verordnung der ETH Zürich über die Lerneinheiten und Leistungskontrollen an der ETH Zürich (externe SeiteSR 414.135.1call_made) verwiesen.
Rechtsgrundlagen:
- externe SeiteBundesgesetz für Datenschutzcall_made
- externe SeiteETH-Gesetzcall_made