Datenschutz
Datenschutz heisst Persönlichkeitsschutz. Der Datenschutz ist immer dann relevant, wenn es um personenbezogene Daten geht. Personenbezogene Daten sind laut Datenschutzgesetz Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Anonymisierte Daten liegen vor, wenn der Personenbezug nicht hergestellt werden kann und zwar auch dann nicht, wenn einzelne Informationen miteinander kombiniert werden. Anonymisierte Daten fallen nicht unter den Geltungsbereich des Datenschutzgesetzes.
Reine Sachdaten können auch «sensitiv» oder vertraulich sein und Schutzbedarf haben. Die Datenschutzgesetze (Schweizer DSG oder EU-DSGVO) sind auf Sachdaten hingegen nicht anwendbar.
Personendaten und damit das Thema Datenschutz kommen an der ETH Zürich in verschiedenen Bereichen vor. So wird in Forschungsprojekten und in der Lehre, aber auch in der Verwaltungsarbeit mit personenbezogenen Daten gearbeitet. Dafür bestehen zahlreiche Regularien. Der "Compliance Guide" gibt dazu unter den Titeln «Datenschutz» sowie unter «Forschung mit Menschen und Personendaten» eine Übersicht.
Bei der Bearbeitung von personenbezogenen Daten sind folgende Grundsätze einzuhalten:
- Rechtmässigkeit: Die Bearbeitung braucht eine Rechtsgrundlage oder das Einverständnis der betroffenen Person;
- Zweckgebundenheit: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich ist oder gesetzlich vorgesehen ist;
- Verhältnismässigkeit: zur Zweckerfüllung dürfen nur so viele Personendaten wie nötig bearbeitet werden – nicht so viele wie möglich;
- Transparenz: die Beschaffung von Personendaten und insbesondere auch der Zweck der Bearbeitung müssen für die betroffenen Personen erkennbar sein;
- Richtigkeit: wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern;
- Sicherheit: Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen Verlust und unbefugtes Bearbeiten geschützt werden.
In diesem Moodle-Link können Sie das „E-Learning-Modul zum Datenschutz“ des ETH-Bereichs aufrufen. Sie wollen den korrekten Umgang mit persönlichen Daten und den Schutz der verfassungsmässigen Rechte von Personen kennen lernen und Ihr Bewusstsein dafür schärfen. Herzlich willkommen und viel Spass!
Erklärung, warum dieses Modul EPFL-bezogen ist und sich nur auf EPFL-Stellen und EPFL-Personen verweist: Die EPFL war die erste Institution des ETH-Bereichs, die im Hinblick auf die Erneuerung der schweizerischen Datenschutzgesetze ein solches E-Learning für ihre Angehörigen entwickelt hat. Der ETH-Bereich hat entschieden, dass das Modul die Eckpfeiler des Umgangs mit dem Datenschutz auf attraktive Weise erklärt und deshalb auch anderen Mitgliedern des ETH-Bereichs angeboten werden soll. Zu diesem Zweck wurde das EPFL-Modul ins Englische übersetzt, um es hier auf den Servern der ETH Zürich anbieten zu können, ohne ein ganz neues Modul entwerfen zu müssen. Ein massgeschneidertes Modul auf Deutsch kann zu einem späteren Zeitpunkt folgen.
Daher, wenn Sie das E-Learning durchgehen, konzentrieren Sie sich einfach auf den materiellen Inhalt. Er ist generisch, unabhängig davon, in welcher Institution des ETH-Bereichs Sie sich befinden. Wo im Modul Ämter oder Personen der EPFL erwähnt werden, müssen Sie sich natürlich auf das entsprechende Amt oder die Person in Ihrer Institution beziehen.
Bitte beachten Sie:
Da das Tracking in diesem Modul nicht aktiviert ist, wird Ihr Fortschritt im Modul nicht gespeichert. Das bedeutet, dass Sie das gesamte Modul neu starten müssen, wenn Sie es vor dem Ende verlassen.
Nutzungsbestimmungen/ Lizenz
Gemäss unserer Lizenzvereinbarung mit der EPFL als Rechteinhaberin dürfen nur Mitarbeitende der Institutionen des ETH-Bereichs und des ETH-Rats das Modul nutzen, und zwar ausschliesslich für interne Ausbildungszwecke. Sie dürfen das Modul nicht an Dritte weitergeben. Die kommerzielle oder anderweitige Nutzung der EPFL-Lizenz ist untersagt.
Wenn Sie als Mitarbeiterin oder Mitarbeiter der ETH Zürich im Rahmen Ihrer Aufgabenerfüllung Personendaten bearbeiten, sind Sie für die Einhaltung des Datenschutzes verantwortlich. Die wichtigsten Regularien dazu finden Sie im Compliance Guide unter „Informationssicherheit und Datenschutz“.
In Ihrem Berufsalltag sollten Sie vor allem folgende Regeln beachten:
- bearbeiten Sie nur so viele Personendaten wie zur Aufgabenerfüllung erforderlich sind;
- schützen elektronischen Daten durch ein Passwort, das Sie nach Kriterien der Informatikdienste bestimmt haben; halten Sie Ihr Passwort geheim, geben Sie es nicht weiter;
- halten Sie Daten, Unterlagen und Datenträger (z.B. USB-Sticks, CD, externe Festplatten etc.) unter Verschluss (z.B. Einschliessen in ein Büromöbel);
- sperren Sie beim Verlassen Ihres Arbeitsplatzes den Bildschirm oder fahren Sie Ihren Rechner herunter; schliessen Sie die Tür zum Büro ab;
- lassen Sie Ihre Dokumente nicht beim Drucker liegen;
- behandeln Sie die Personendaten vertraulich und achten Sie darauf, dass sie nur an Berechtigte bekanntgegeben werden (bei Unklarheiten bei der vorgesetzten Person nachfragen);
- grundsätzlich sollten Sie keine Personendaten ins Ausland übermitteln, es sei denn die betroffene Person hat zugestimmt.
In Forschungsprojekten, egal ob in nationalen oder internationalen (z.B. EU-Projekten) ist der/die Projektleiter/in (PI) für die Einhaltung des Datenschutzes verantwortlich. Er/sie hat seine/ihre Projektmitarbeitenden entsprechend zu instruieren. Das ergibt sich aus dem „Richtlinien für Integrität in der Forschung und gute wissenschaftliche Praxis an der ETH Zürich“
Es gibt verschiedene Stellen, die Sie betreffend Einhaltung des Datenschutzes beraten können → Hier finden Sie Unterstützung
Wenn immer möglich sollten in (Forschungs-)Projekten anonymisierte Daten verwendet werden. Wenn Sie in einem (Forschungs-)Projekt dennoch Personendaten bearbeiten, sollten Sie sich immer die sogenannten „W-Fragen“ stellen bzw. für Ihren Datenmanagementplan beantworten können: Wer bearbeitet welche Daten zu welchem Zweck für wie lange, wo werden sie aufbewahrt sowie wie werden sie geschützt und wann werden sie anonymisiert bzw. vernichtet? Ausführlicheres finden Sie im Factsheet geschützte Seite „Data protection in Research Projects“.
Das Schweizer Bundesgesetz über den Datenschutz (DSG) schreibt vor, dass eine Datenschutzfolgenabschätzung (DSFA) durchzuführen ist, wenn die Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Diese DSFA ist vor der eigentlichen Bearbeitung der Personendaten zu erstellen und - wenn trotz getroffener Massnahmen hohe Risiken verbleiben - dem eidgenössischen Datenschutzbeauftragten zur Prüfung einzureichen. Wir haben für die Durchführung einer DSFA ein geschützte Seite Factsheet samt Checkliste erstellt. Damit wird das Vorgehen erklärt und die Checkliste versucht alle relevanten Fragen zu einer Personendatenbearbeitung zu stellen, damit Sie bei Ihrer Projektüberprüfung keinen Aspekt vergessen. Die Checkliste dient daher auch allgemein zur Prüfung datenschutzrechtlicher Aspekte.
Daneben stellen wir Ihnen ein zweites Formular zur Verfügung, geschützte Seite das eigentliche DSFA-Formular, worin Sie die Ergebnisse Ihrer DSFA festhalten können.
Auch die europäische Datenschutzgrundverordnung (DSGVO), die in einzelnen Fällen auch für die ETH Zürich anwendbar ist, sieht die Pflicht zu einer vorgängigen Datenschutzfolgenabschätzung vor. Diese Pflicht ist auch hier gegeben, wenn die beabsichtigte Bearbeitung von personenbezogenen Daten ein hohes Risiko für die Interessen der betroffenen Personen, d.h. hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person birgt.
«Data Breaches» oder «Datenschutzpannen- oder -verletzungen» sind Verletzungen der Datensicherheit bei Personendaten (einschliesslich pseudonymisierter Personendaten), die dazu führen, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.
Solche Datenschutzverletzungen müssen dem Datenschutzberater der ETH Zürich gemeldet werden, falls diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen.
geschützte Seite Benützen Sie für Ihre Meldung dieses Formular. Es ist ausschliesslich für Mitarbeitende der ETH Zürich.
Datenschutzberater/ DPO der ETH Zürich ist Tomislav Mitar (). Stellvertretende Datenschutzberaterin/ DPO der ETH Zürich ist Ayse Sezer Cansev ().
Das ausgefüllte Formular übermitteln Sie uns bitte möglichst innerhalb von 72 Stunden nach Entdeckung der Datenschutzverletzung. Senden Sie das Formular dazu an folgende drei Adressen: und direkt an uns: sowie .
Bitte kontaktieren Sie den EDÖB nicht selbst. Der EDÖB ist eine Aufsichtsbehörde. Der Kontakt zu ihm muss über den Rechtsdienst bzw. Datenschutzberater laufen.
Ihre Meldung muss nicht in jedem Detail vollständig und endgültig sein. Wichtiger ist, dass die grossen Zusammenhänge schnell gemeldet werden, um einen ersten Überblick über den Vorfall zu gewinnen.
Wenn Sie als Verantwortlicher im Zusammenhang mit einem Vorfall nicht sicher sind, wie hoch das Risiko für die betroffenen Personen tatsächlich ist, oder wenn Sie zum Zeitpunkt der Meldung noch keine endgültige Risikobewertung vornehmen konnten, melden Sie uns Ihre vorläufigen Erkenntnisse nach aktuellem Stand. Sobald Ihnen mehr Informationen vorliegen, können Sie eine ergänzende Meldung übermitteln.
Wo die ETH Zürich Personendaten bearbeitet, tut sie dies in erster Linie gemäss der schweizerischen Datenschutzgesetzgebung. Soweit anwendbar richtet sie sich nach der EU-Datenschutzgrundverordnung (DSGVO; Verordnung [EU] 2016/679 vom 27. April 2016).
Die ETH Zürich als nicht im EU-Raum ansässige Hochschule kann unter den Anwendungsbereich der EU-DSGVO fallen, wenn sie personenbezogene Daten in der EU ansässiger Personen bearbeitet, z.B. indem sie solchen Personen ihre Bildungsdienstleistungen anbietet oder wenn von ihren Forschenden im Rahmen wissenschaftlicher Projekte das «Verhalten betroffener Personen in der EU beobachtet» wird (Umfragen, Datenerhebungen etc.). So sprechen beispielsweise ihre Masterangebote und Weiterbildungsangebote (School for Continuing Education) auch EU-ansässige Personen an. In Projekten aller Art kann ein Bezug zur EU-Datenschutzgesetzgebung gegeben sein, wenn beispielsweise Auftragsdatenbearbeiter in der EU eingesetzt werden, die sich selbst an der EU Gesetzgebung orientieren müssen.
Die Pflicht zur Benennung eines Vertreters in der EU gilt nicht für Behörden oder öffentliche Stellen. Die ETH Zürich ist eine autonome öffentlich-rechtliche Anstalt des Bundes mit eigener Rechtspersönlichkeit (Artikel 5 ETH-Gesetz; SR 414.110). Als dezentralisierte Verwaltungseinheit gehört sie zur Bundesverwaltung, steht unter der Aufsicht des Bundes und untersteht dem schweizerischen Recht (Art. 2 Abs. 3 Regierungs- und Verwaltungsorganisationsgesetz, RVOG; SR 172.010).
Als solche ist die ETH Zürich nicht verpflichtet, einen Vertreter in der EU für Datenschutzfragen zu benennen. Ansprechstelle für die Belange des Datenschutzes an der ETH Zürich sind mithin die handelnde Stelle der ETH Zürich, oder - in zweiter Linie - der Datenschutzberater der ETH Zürich in der Schweiz (Tomislav Mitar, DPO; ).
Diese Stellen können Sie beim Thema Datenschutz unterstützen:
- Rechtsdienst: Mit generellen Fragen rund um das Thema Datenschutz können Sie an den Rechtsdienst, insbesondere an Tomislav Mitar gelangen.
- Informatikdienste: Bei Fragen, die insbesondere die Datenspeicherung, -sicherheit und –archivierung betreffen, wenden Sie sich bitte an die Abteilung Informatikdienste (insbesondere an die Systemdienste oder Services for Departments).
- Bibliothek: Im Zusammenhang mit Fragen zum Datenmanagement, insbesondere auch bei Fragen zur Erstellung von Data Management Plans sowie zur Archivierung bietet die ETH-Bibliothek Unterstützung, und zwar die Fachstelle Digitaler Datenerhalt.
- Ethikkommission der ETH Zürich: Forschungsvorhaben, in denen nicht Personendaten für nicht personenbezogene Zweck bearbeitet werden und nicht die Kantonale Ethikkommission zuständig, werden von der Ethikkommission der ETH Zürich beurteilt. Bei Fragen dazu kontaktieren Sie bitte das Sekretariat der Ethikkommission.
- Chief Information Security Officer (CISO): Bei Fragen zum Thema Informations-sicherheit wenden Sie sich an Johannes Hadodo. Zudem verfügt jedes Departement und jede Abteilung über eine/n Information Security Officer (ISO), die/der ebenfalls Anlaufstelle für Fragen zur Informationssicherheit ist.